dann müsste man das weiter analysieren. Aber ich kann da jetzt nichts zu sagen, kenne die Konfig nicht (genau genug).Koppelfeld hat geschrieben:"Mein" Problem ist kein unmittelbares mit dem VCM - denn bereits ein Ping, wie im Beispiel gezeigt, funktioniert nicht mit der Adresse des Routers selbst.
Dass ein Ping nicht mit der IP-Adresse des Routers selbst funktioniert, ist nicht grundsätzlich ein Fehler. Zunächst gibt es nicht die Adresse des Routers, sondern im Normalfall ja immer mehrere Adressen. Und da verschiedene Adressen auch zu unterschiedlichen Netzen gehören und die wiederum unterschiedliche Routing-Tags haben können, muss ein Ping mit falschem Tag letztlich nicht funktionieren, ja soll sogar nicht funktionieren. Letztlich gilt auch hier: Das Routing-Tag muss passen. Ohne die Option "-a" wird standardmäßig das Tag 0 verwendet. Und wenn es jetzt keine Route mit Routing-Tag 0 zum Ziel gibt, ist Schluss. Ist also die Route zum VPN mit einem Routing-Tag versehen, so muss dieses Routing-Tag auch vom Ping her mitkommen. Ob man die ganze Sache so als glücklich gelöst ansieht oder nicht, steht auf einem anderen Blatt Papier. Dass der LANCOM-Router zwar ohne Verwendung der Option "-a" durchaus die richtige Quell-IP hat, aber eben nicht das passende Schnittstellen-Tag, das verstehe ich persönlich nicht.
Oh je, ich verstehe jetzt erst, was Du hier geschrieben hast... Du könntest aber auch die richtige Adresse mit der "-a"-Option angeben und es würde auch funktionieren, oder etwa nicht? Denn wie oben schon geschrieben, wird mit der Option dann eben auch das passende Routing-Tag mitgegeben.Koppelfeld hat geschrieben:Sobald man mit der '-a' - Option eine falsche Absenderadresse angibt (aus dem lokalen Intranet), geht der Ping durch.
Falls Du das bezogen auf den VCM meinst: Dazu müsste den Fehler mit der falschen Quell-IP bei über VPN angemeldeten SIP-Benutzern erst mal jemand melden. Ich mache es nicht, ich habe mein Guthaben jetzt mit dem T.38-Bug verschossen und habe es da noch nicht mal geschafft, die versprochenen Traces zu liefern (was jetzt aber auch verschiedene Gründe hat).Koppelfeld hat geschrieben:Es wäre aber tatsächlich schon schön, wenn die 10.12 so gefixt werden würde, daß die originierende IP-Adresse a) richtig ist
Falls Du das bezogen auf den Ping-Befehl auf der Konsole meinst: Die Option "-a" musste man auch bisher schon verwenden, das ist mit der 10.12 jetzt nicht neu. Was hingegen neu ist, ist die Situation, dass die Reihenfolge der lokalen Netze (zu sehen mit 'show bind') anscheinend anders sortiert ist. Wonach und wieso ist mir auch noch unklar. Aber ich hatte mal einen Standort umgestellt auf die 10.12, da war die Reihenfolge der Netze anders, musste dann wieder auf die 9.24 zurück, weil VoIP ja nicht lief, und nun ist wieder alles normal (das Intranet steht oben). [Noch eine Anmerkung: Ich rede hier immer von der Reihenfolge von lokalen Netzen an einem logischen Interface (z. B. mit VLAN-Tags getrennt). Es sind nicht mehrere lokale Netze an unterschiedlichen Interfaces gemeint.]
Also dass eine VPN-Verbindung nur Pakete akzeptiert, die mit Quelle und Ziel Teil der SA sind, darüber sind wir uns doch einig, oder?Koppelfeld hat geschrieben:und b) auch nicht, von welcher Instanz auch immer, geblockt wird.
Zu der Sache, dass das passende Routing-Tag fehlt, hatte ich oben schon was geschrieben. Man kann sich auch ganz von den ganzen Tags verabschieden, ich habe da schon mal drüber nachgedacht. Dann macht man halt alles (nur) mit der Firewall. Hat wie immer Vor- und Nachteile. Was mich mal interessieren würde wäre, ob das eine oder andere effizienter ist. Ich bilde mir nämlich ein, dass das Taggen effizienter und sicherer ist (sicherer gegenüber z. B. Konfigurations-Fehlern).
Viele Grüße,
Jirka