LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 27 Mai 2018, 17:54

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 04 Mai 2018, 00:26 
Offline

Registriert: 23 Jul 2005, 01:42
Beiträge: 264
Hallo,

ich habe hier in der Zentrale 2* Lancom (10.12.RU6) mit VRRP (gegenseitiger Backup, pro Gerät ein ISP) und u.a. einmal Endgerät (Filiale).
U.g. VPN Verbindung ist aktiv und funktioniert auch korrekt, die VPN Verbindung läuft aber aus Lastgründe nicht auf dem aktiven VRRP Master.
Jetzt habe ich allerdings einige Subnetze (Segmentierte VLANs) auf beiden Seiten und möchte diese auch selektiv über die bestehende VPN Verbindung routen. Leider funktioniert es aus verschiedenen Gründen nicht einfach aus /24 /16 zu machen.

D.h. 172.21.5.0/24 -> 172.21.0.1 und 172.20.5.0/24 -> 172.20.0.11

Wie kann ich feststellen wo was verloren geht?

Um es abzukürzen:

tr + ip-r arp firewall eth ipv4-wan ipv4-lan @ 172.21.5.11
IP-Router ON @ 172.21.5.11
ARP ON @ 172.21.5.11
Firewall ON @ 172.21.5.11
Ethernet ON @ 172.21.5.11
IPv4-WAN-Packet ON @ 172.21.5.11
IPv4-LAN-Packet ON @ 172.21.5.11

root@GW11:/
> ping 172.21.5.11

[IP-Router] 2018/05/04 00:15:04,652
IP-Router Rx (intern, RtgTag: 0):
DstIP: 172.21.5.11, SrcIP: 172.20.0.11, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x01c9, seq: 0x0000
Route: WAN Tx (FILIALE)

Gleicher Trace auf der anderen Seite:

Nichts.

Ping zw. 172.20.0.0/255.255.254.0 (172.21.0.1) und 172.21.0.0/255.255.255.0 (172.20.0.11) okay.

Danke

Henri

Rule #11 ikev2 172.20.0.0/255.255.254.0:0 <-> 172.21.0.0/255.255.255.0:0 any
Name: FILIALE
Unique Id: ipsec-0-FILIALE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 172.20.0.0/255.255.254.0)
Local Gateway: IPV4_ADDR(any:0, x)
Remote Gateway: IPV4_ADDR(any:0, x)
Remote Network: IPV4_ADDR_SUBNET(any:0, 172.21.0.0/255.255.255.0)


Nach oben
 Profil  
 
BeitragVerfasst: 04 Mai 2018, 11:16 
Offline

Registriert: 10 Okt 2011, 14:29
Beiträge: 940
Hi,
Der VPN-Packet-trace sollte dir erstmal anzeigen über welche SPIs die jeweiligen Packet verschickt werden.
Von dort kannst du dich dann weiterhangeln.
Gruß

_________________
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.


Nach oben
 Profil  
 
BeitragVerfasst: 05 Mai 2018, 15:04 
Offline

Registriert: 23 Jul 2005, 01:42
Beiträge: 264
Hallo MariusP,

gefunden.

Bei VPN Verbindungen scheint nur das Routing TAG 0 zu funktionieren.
Alle Pakete mit einen Routing Tag <> 0 (bzw. 65535) werden kommentarlos weggeworfen, obwohl in der Routing Tabelle passen Routen vorhanden sind.

Ist das so beabsichtigt?

Danke

Henri


Nach oben
 Profil  
 
BeitragVerfasst: 05 Mai 2018, 15:07 
Offline

Registriert: 23 Jul 2005, 01:42
Beiträge: 264
P.S. ich hatte aus lauter Verzweiflung auch mit GRE experimentiert. Dort sind die Pakete im GRE Tunnel auf der anderen Seite angekommen aber wurde auf kommentarlos weggeworfen. Vermutlich das gleiche Problem, ich hatte hier als Tag 1005 verwendet.


Nach oben
 Profil  
 
BeitragVerfasst: 06 Mai 2018, 17:58 
Offline

Registriert: 23 Jul 2005, 01:42
Beiträge: 264
Bei GRE hatte ich den Fehler eingebaut.
Zwischenzeitlich durfte ich feststellen, dass die Verbindung sogar funktioniert, leider aber nur zwischen den beiden Geräten auf denen der VPN Tunnel terminiert wird.
Ich finde es weiterhin sehr blöd, dass auf dem GW11 keinerlei Trace Pakete anzeigt, es kommt nur "ICMP Destination unreachable: network unreachable by 172.20.5.15", Routen & FW Reglen (VPN für alle Tags) und für die Verbindung sind vorhanden.

Danke

Henri

Router (VRRP Master) -> GW11 <---- VPN ----> Filiale

Router:

tr + ip-r @ 172.21.5.1
IP-Router ON @ 172.21.5.1

admin@Router:/Status/IP-Router/Act.-IP-Routing-Tab.

Router:/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 172.20.5.15 VLAN5_DMZ 3 No RIP
172.21.0.0 255.255.0.0 2 172.20.2.15 VLAN2_SECURITY 3 No RIP
172.21.0.0 255.255.0.0 0 172.20.1.1 INTRANET 3 No RIP

/Status/IP-Router/VRRP/Virtual-Router
> dir 105

Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 200 0 INTERNET Master No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 10 1 FILIALE Standby No 172.20.5.11 BRG-1 5 VLAN5_DMZ

> ping -a 172.20.5.5 172.21.5.1

[IP-Router] 2018/05/06 17:47:06,830
IP-Router Rx (intern, RtgTag: 5):
DstIP: 172.21.5.1, SrcIP: 172.20.5.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0e7b, seq: 0x0000
Route: 172.20.5.15, BRG-1 Tx (VLAN5_DMZ):

ICMP Destination unreachable: network unreachable by 172.20.5.15

---172.21.5.1 ping statistic---
56 Bytes Data, 1 Packets transmitted, 0 Packets received, 100% loss


GW11:

/Status/IP-Router/VRRP/Virtual-Router
> dir 105

Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 1 0 Standby No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 200 1 Master No 172.20.5.11 BRG-1 5 VLAN5_DMZ

/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 2 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 0 217.227.208.124 FILIALE 2 No Static

ping -a 172.20.5.11 172.21.5.1

56 Byte Packet from 172.21.5.1 seq.no=0 time=27.303 ms
56 Byte Packet from 172.21.5.1 seq.no=1 time=25.746 ms
56 Byte Packet from 172.21.5.1 seq.no=2 time=25.775 ms
56 Byte Packet from 172.21.5.1 seq.no=3 time=25.822 ms
56 Byte Packet from 172.21.5.1 seq.no=4 time=26.803 ms
56 Byte Packet from 172.21.5.1 seq.no=5 time=25.633 ms
56 Byte Packet from 172.21.5.1 seq.no=6 time=25.450 ms

---172.21.5.1 ping statistic---
56 Bytes Data, 7 Packets transmitted, 7 Packets received, 0% loss


Nach oben
 Profil  
 
BeitragVerfasst: 07 Mai 2018, 11:40 
Offline

Registriert: 10 Okt 2011, 14:29
Beiträge: 940
Hi,
Da sehe ich keinen VPN-Packet trace.
Mach mal wenn die Verbindung aufgebaut ist ein "show vpn sadb" und schau dir an welche netze nun wirklich ausverhandelt wurden.
Im VPN-Packet trace siehst du außerdem, ob ein Packet garnicht für entfernte Netz gedacht ist und daher nicht versendet wird.
Gruß

_________________
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Syslog: Packet Alarm

Bernie137

3

797

10 Jan 2014, 10:01

Bernie137 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Packet matched rule intruder detection

Henri

0

678

11 Feb 2016, 03:40

Henri Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Lancom Syslog Eintrag PACKET NOTICE "service list start"

otellodb

1

724

26 Apr 2014, 14:42

Jirka Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. trace identifizieren

averlon

2

2607

08 Okt 2012, 18:34

averlon Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. firewall trace

averlon

1

771

14 Apr 2013, 18:55

mächti Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group