VPN - Routing anders Subnets - Packet loss - Trace wie?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von Henri »

Hallo,

ich habe hier in der Zentrale 2* Lancom (10.12.RU6) mit VRRP (gegenseitiger Backup, pro Gerät ein ISP) und u.a. einmal Endgerät (Filiale).
U.g. VPN Verbindung ist aktiv und funktioniert auch korrekt, die VPN Verbindung läuft aber aus Lastgründe nicht auf dem aktiven VRRP Master.
Jetzt habe ich allerdings einige Subnetze (Segmentierte VLANs) auf beiden Seiten und möchte diese auch selektiv über die bestehende VPN Verbindung routen. Leider funktioniert es aus verschiedenen Gründen nicht einfach aus /24 /16 zu machen.

D.h. 172.21.5.0/24 -> 172.21.0.1 und 172.20.5.0/24 -> 172.20.0.11

Wie kann ich feststellen wo was verloren geht?

Um es abzukürzen:

tr + ip-r arp firewall eth ipv4-wan ipv4-lan @ 172.21.5.11
IP-Router ON @ 172.21.5.11
ARP ON @ 172.21.5.11
Firewall ON @ 172.21.5.11
Ethernet ON @ 172.21.5.11
IPv4-WAN-Packet ON @ 172.21.5.11
IPv4-LAN-Packet ON @ 172.21.5.11

root@GW11:/
> ping 172.21.5.11

[IP-Router] 2018/05/04 00:15:04,652
IP-Router Rx (intern, RtgTag: 0):
DstIP: 172.21.5.11, SrcIP: 172.20.0.11, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x01c9, seq: 0x0000
Route: WAN Tx (FILIALE)

Gleicher Trace auf der anderen Seite:

Nichts.

Ping zw. 172.20.0.0/255.255.254.0 (172.21.0.1) und 172.21.0.0/255.255.255.0 (172.20.0.11) okay.

Danke

Henri

Rule #11 ikev2 172.20.0.0/255.255.254.0:0 <-> 172.21.0.0/255.255.255.0:0 any
Name: FILIALE
Unique Id: ipsec-0-FILIALE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 172.20.0.0/255.255.254.0)
Local Gateway: IPV4_ADDR(any:0, x)
Remote Gateway: IPV4_ADDR(any:0, x)
Remote Network: IPV4_ADDR_SUBNET(any:0, 172.21.0.0/255.255.255.0)
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von MariusP »

Hi,
Der VPN-Packet-trace sollte dir erstmal anzeigen über welche SPIs die jeweiligen Packet verschickt werden.
Von dort kannst du dich dann weiterhangeln.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von Henri »

Hallo MariusP,

gefunden.

Bei VPN Verbindungen scheint nur das Routing TAG 0 zu funktionieren.
Alle Pakete mit einen Routing Tag <> 0 (bzw. 65535) werden kommentarlos weggeworfen, obwohl in der Routing Tabelle passen Routen vorhanden sind.

Ist das so beabsichtigt?

Danke

Henri
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von Henri »

P.S. ich hatte aus lauter Verzweiflung auch mit GRE experimentiert. Dort sind die Pakete im GRE Tunnel auf der anderen Seite angekommen aber wurde auf kommentarlos weggeworfen. Vermutlich das gleiche Problem, ich hatte hier als Tag 1005 verwendet.
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von Henri »

Bei GRE hatte ich den Fehler eingebaut.
Zwischenzeitlich durfte ich feststellen, dass die Verbindung sogar funktioniert, leider aber nur zwischen den beiden Geräten auf denen der VPN Tunnel terminiert wird.
Ich finde es weiterhin sehr blöd, dass auf dem GW11 keinerlei Trace Pakete anzeigt, es kommt nur "ICMP Destination unreachable: network unreachable by 172.20.5.15", Routen & FW Reglen (VPN für alle Tags) und für die Verbindung sind vorhanden.

Danke

Henri

Router (VRRP Master) -> GW11 <---- VPN ----> Filiale

Router:

tr + ip-r @ 172.21.5.1
IP-Router ON @ 172.21.5.1

admin@Router:/Status/IP-Router/Act.-IP-Routing-Tab.

Router:/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 172.20.5.15 VLAN5_DMZ 3 No RIP
172.21.0.0 255.255.0.0 2 172.20.2.15 VLAN2_SECURITY 3 No RIP
172.21.0.0 255.255.0.0 0 172.20.1.1 INTRANET 3 No RIP

/Status/IP-Router/VRRP/Virtual-Router
> dir 105

Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 200 0 INTERNET Master No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 10 1 FILIALE Standby No 172.20.5.11 BRG-1 5 VLAN5_DMZ

> ping -a 172.20.5.5 172.21.5.1

[IP-Router] 2018/05/06 17:47:06,830
IP-Router Rx (intern, RtgTag: 5):
DstIP: 172.21.5.1, SrcIP: 172.20.5.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0e7b, seq: 0x0000
Route: 172.20.5.15, BRG-1 Tx (VLAN5_DMZ):

ICMP Destination unreachable: network unreachable by 172.20.5.15

---172.21.5.1 ping statistic---
56 Bytes Data, 1 Packets transmitted, 0 Packets received, 100% loss


GW11:

/Status/IP-Router/VRRP/Virtual-Router
> dir 105

Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 1 0 Standby No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 200 1 Master No 172.20.5.11 BRG-1 5 VLAN5_DMZ

/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0

IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 2 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 0 217.227.208.124 FILIALE 2 No Static

ping -a 172.20.5.11 172.21.5.1

56 Byte Packet from 172.21.5.1 seq.no=0 time=27.303 ms
56 Byte Packet from 172.21.5.1 seq.no=1 time=25.746 ms
56 Byte Packet from 172.21.5.1 seq.no=2 time=25.775 ms
56 Byte Packet from 172.21.5.1 seq.no=3 time=25.822 ms
56 Byte Packet from 172.21.5.1 seq.no=4 time=26.803 ms
56 Byte Packet from 172.21.5.1 seq.no=5 time=25.633 ms
56 Byte Packet from 172.21.5.1 seq.no=6 time=25.450 ms

---172.21.5.1 ping statistic---
56 Bytes Data, 7 Packets transmitted, 7 Packets received, 0% loss
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von MariusP »

Hi,
Da sehe ich keinen VPN-Packet trace.
Mach mal wenn die Verbindung aufgebaut ist ein "show vpn sadb" und schau dir an welche netze nun wirklich ausverhandelt wurden.
Im VPN-Packet trace siehst du außerdem, ob ein Packet garnicht für entfernte Netz gedacht ist und daher nicht versendet wird.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von Henri »

Die Ursache war ich, die VRRP Adresse war falsch, die Adresse existierte schon auf einen WLC.
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: VPN - Routing anders Subnets - Packet loss - Trace wie?

Beitrag von ecox »

VLANs und ARF Tags werden eh nicht über VPN geroutet, sofern ich weiß...
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Antworten