VPN - Routing anders Subnets - Packet loss - Trace wie?
Moderator: Lancom-Systems Moderatoren
VPN - Routing anders Subnets - Packet loss - Trace wie?
Hallo,
ich habe hier in der Zentrale 2* Lancom (10.12.RU6) mit VRRP (gegenseitiger Backup, pro Gerät ein ISP) und u.a. einmal Endgerät (Filiale).
U.g. VPN Verbindung ist aktiv und funktioniert auch korrekt, die VPN Verbindung läuft aber aus Lastgründe nicht auf dem aktiven VRRP Master.
Jetzt habe ich allerdings einige Subnetze (Segmentierte VLANs) auf beiden Seiten und möchte diese auch selektiv über die bestehende VPN Verbindung routen. Leider funktioniert es aus verschiedenen Gründen nicht einfach aus /24 /16 zu machen.
D.h. 172.21.5.0/24 -> 172.21.0.1 und 172.20.5.0/24 -> 172.20.0.11
Wie kann ich feststellen wo was verloren geht?
Um es abzukürzen:
tr + ip-r arp firewall eth ipv4-wan ipv4-lan @ 172.21.5.11
IP-Router ON @ 172.21.5.11
ARP ON @ 172.21.5.11
Firewall ON @ 172.21.5.11
Ethernet ON @ 172.21.5.11
IPv4-WAN-Packet ON @ 172.21.5.11
IPv4-LAN-Packet ON @ 172.21.5.11
root@GW11:/
> ping 172.21.5.11
[IP-Router] 2018/05/04 00:15:04,652
IP-Router Rx (intern, RtgTag: 0):
DstIP: 172.21.5.11, SrcIP: 172.20.0.11, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x01c9, seq: 0x0000
Route: WAN Tx (FILIALE)
Gleicher Trace auf der anderen Seite:
Nichts.
Ping zw. 172.20.0.0/255.255.254.0 (172.21.0.1) und 172.21.0.0/255.255.255.0 (172.20.0.11) okay.
Danke
Henri
Rule #11 ikev2 172.20.0.0/255.255.254.0:0 <-> 172.21.0.0/255.255.255.0:0 any
Name: FILIALE
Unique Id: ipsec-0-FILIALE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 172.20.0.0/255.255.254.0)
Local Gateway: IPV4_ADDR(any:0, x)
Remote Gateway: IPV4_ADDR(any:0, x)
Remote Network: IPV4_ADDR_SUBNET(any:0, 172.21.0.0/255.255.255.0)
ich habe hier in der Zentrale 2* Lancom (10.12.RU6) mit VRRP (gegenseitiger Backup, pro Gerät ein ISP) und u.a. einmal Endgerät (Filiale).
U.g. VPN Verbindung ist aktiv und funktioniert auch korrekt, die VPN Verbindung läuft aber aus Lastgründe nicht auf dem aktiven VRRP Master.
Jetzt habe ich allerdings einige Subnetze (Segmentierte VLANs) auf beiden Seiten und möchte diese auch selektiv über die bestehende VPN Verbindung routen. Leider funktioniert es aus verschiedenen Gründen nicht einfach aus /24 /16 zu machen.
D.h. 172.21.5.0/24 -> 172.21.0.1 und 172.20.5.0/24 -> 172.20.0.11
Wie kann ich feststellen wo was verloren geht?
Um es abzukürzen:
tr + ip-r arp firewall eth ipv4-wan ipv4-lan @ 172.21.5.11
IP-Router ON @ 172.21.5.11
ARP ON @ 172.21.5.11
Firewall ON @ 172.21.5.11
Ethernet ON @ 172.21.5.11
IPv4-WAN-Packet ON @ 172.21.5.11
IPv4-LAN-Packet ON @ 172.21.5.11
root@GW11:/
> ping 172.21.5.11
[IP-Router] 2018/05/04 00:15:04,652
IP-Router Rx (intern, RtgTag: 0):
DstIP: 172.21.5.11, SrcIP: 172.20.0.11, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x01c9, seq: 0x0000
Route: WAN Tx (FILIALE)
Gleicher Trace auf der anderen Seite:
Nichts.
Ping zw. 172.20.0.0/255.255.254.0 (172.21.0.1) und 172.21.0.0/255.255.255.0 (172.20.0.11) okay.
Danke
Henri
Rule #11 ikev2 172.20.0.0/255.255.254.0:0 <-> 172.21.0.0/255.255.255.0:0 any
Name: FILIALE
Unique Id: ipsec-0-FILIALE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 172.20.0.0/255.255.254.0)
Local Gateway: IPV4_ADDR(any:0, x)
Remote Gateway: IPV4_ADDR(any:0, x)
Remote Network: IPV4_ADDR_SUBNET(any:0, 172.21.0.0/255.255.255.0)
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
Hi,
Der VPN-Packet-trace sollte dir erstmal anzeigen über welche SPIs die jeweiligen Packet verschickt werden.
Von dort kannst du dich dann weiterhangeln.
Gruß
Der VPN-Packet-trace sollte dir erstmal anzeigen über welche SPIs die jeweiligen Packet verschickt werden.
Von dort kannst du dich dann weiterhangeln.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
Hallo MariusP,
gefunden.
Bei VPN Verbindungen scheint nur das Routing TAG 0 zu funktionieren.
Alle Pakete mit einen Routing Tag <> 0 (bzw. 65535) werden kommentarlos weggeworfen, obwohl in der Routing Tabelle passen Routen vorhanden sind.
Ist das so beabsichtigt?
Danke
Henri
gefunden.
Bei VPN Verbindungen scheint nur das Routing TAG 0 zu funktionieren.
Alle Pakete mit einen Routing Tag <> 0 (bzw. 65535) werden kommentarlos weggeworfen, obwohl in der Routing Tabelle passen Routen vorhanden sind.
Ist das so beabsichtigt?
Danke
Henri
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
P.S. ich hatte aus lauter Verzweiflung auch mit GRE experimentiert. Dort sind die Pakete im GRE Tunnel auf der anderen Seite angekommen aber wurde auf kommentarlos weggeworfen. Vermutlich das gleiche Problem, ich hatte hier als Tag 1005 verwendet.
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
Bei GRE hatte ich den Fehler eingebaut.
Zwischenzeitlich durfte ich feststellen, dass die Verbindung sogar funktioniert, leider aber nur zwischen den beiden Geräten auf denen der VPN Tunnel terminiert wird.
Ich finde es weiterhin sehr blöd, dass auf dem GW11 keinerlei Trace Pakete anzeigt, es kommt nur "ICMP Destination unreachable: network unreachable by 172.20.5.15", Routen & FW Reglen (VPN für alle Tags) und für die Verbindung sind vorhanden.
Danke
Henri
Router (VRRP Master) -> GW11 <---- VPN ----> Filiale
Router:
tr + ip-r @ 172.21.5.1
IP-Router ON @ 172.21.5.1
admin@Router:/Status/IP-Router/Act.-IP-Routing-Tab.
Router:/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 172.20.5.15 VLAN5_DMZ 3 No RIP
172.21.0.0 255.255.0.0 2 172.20.2.15 VLAN2_SECURITY 3 No RIP
172.21.0.0 255.255.0.0 0 172.20.1.1 INTRANET 3 No RIP
/Status/IP-Router/VRRP/Virtual-Router
> dir 105
Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 200 0 INTERNET Master No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 10 1 FILIALE Standby No 172.20.5.11 BRG-1 5 VLAN5_DMZ
> ping -a 172.20.5.5 172.21.5.1
[IP-Router] 2018/05/06 17:47:06,830
IP-Router Rx (intern, RtgTag: 5):
DstIP: 172.21.5.1, SrcIP: 172.20.5.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0e7b, seq: 0x0000
Route: 172.20.5.15, BRG-1 Tx (VLAN5_DMZ):
ICMP Destination unreachable: network unreachable by 172.20.5.15
---172.21.5.1 ping statistic---
56 Bytes Data, 1 Packets transmitted, 0 Packets received, 100% loss
GW11:
/Status/IP-Router/VRRP/Virtual-Router
> dir 105
Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 1 0 Standby No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 200 1 Master No 172.20.5.11 BRG-1 5 VLAN5_DMZ
/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 2 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 0 217.227.208.124 FILIALE 2 No Static
ping -a 172.20.5.11 172.21.5.1
56 Byte Packet from 172.21.5.1 seq.no=0 time=27.303 ms
56 Byte Packet from 172.21.5.1 seq.no=1 time=25.746 ms
56 Byte Packet from 172.21.5.1 seq.no=2 time=25.775 ms
56 Byte Packet from 172.21.5.1 seq.no=3 time=25.822 ms
56 Byte Packet from 172.21.5.1 seq.no=4 time=26.803 ms
56 Byte Packet from 172.21.5.1 seq.no=5 time=25.633 ms
56 Byte Packet from 172.21.5.1 seq.no=6 time=25.450 ms
---172.21.5.1 ping statistic---
56 Bytes Data, 7 Packets transmitted, 7 Packets received, 0% loss
Zwischenzeitlich durfte ich feststellen, dass die Verbindung sogar funktioniert, leider aber nur zwischen den beiden Geräten auf denen der VPN Tunnel terminiert wird.
Ich finde es weiterhin sehr blöd, dass auf dem GW11 keinerlei Trace Pakete anzeigt, es kommt nur "ICMP Destination unreachable: network unreachable by 172.20.5.15", Routen & FW Reglen (VPN für alle Tags) und für die Verbindung sind vorhanden.
Danke
Henri
Router (VRRP Master) -> GW11 <---- VPN ----> Filiale
Router:
tr + ip-r @ 172.21.5.1
IP-Router ON @ 172.21.5.1
admin@Router:/Status/IP-Router/Act.-IP-Routing-Tab.
Router:/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 172.20.5.15 VLAN5_DMZ 3 No RIP
172.21.0.0 255.255.0.0 2 172.20.2.15 VLAN2_SECURITY 3 No RIP
172.21.0.0 255.255.0.0 0 172.20.1.1 INTRANET 3 No RIP
/Status/IP-Router/VRRP/Virtual-Router
> dir 105
Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 200 0 INTERNET Master No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 10 1 FILIALE Standby No 172.20.5.11 BRG-1 5 VLAN5_DMZ
> ping -a 172.20.5.5 172.21.5.1
[IP-Router] 2018/05/06 17:47:06,830
IP-Router Rx (intern, RtgTag: 5):
DstIP: 172.21.5.1, SrcIP: 172.20.5.5, Len: 84, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0e7b, seq: 0x0000
Route: 172.20.5.15, BRG-1 Tx (VLAN5_DMZ):
ICMP Destination unreachable: network unreachable by 172.20.5.15
---172.21.5.1 ping statistic---
56 Bytes Data, 1 Packets transmitted, 0 Packets received, 100% loss
GW11:
/Status/IP-Router/VRRP/Virtual-Router
> dir 105
Router-ID virt.-Address Prio B-Prio Peer State Backup Master Port VLAN-ID Network-name
===========------------------------------------------------------------------------------------------------------------------------------------
5 172.20.5.1 1 0 Standby No 172.20.5.5 BRG-1 5 VLAN5_DMZ
105 172.20.5.15 200 1 Master No 172.20.5.11 BRG-1 5 VLAN5_DMZ
/Status/IP-Router/Act.-IP-Routing-Tab.
> dir 172.21.0.0
IP-Address IP-Netmask Rtg-tag Gateway Peer Distance Masquerade Type
===========================================-----------------------------------------------------------------
172.21.0.0 255.255.0.0 5 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 2 217.227.208.124 FILIALE 2 No Static
172.21.0.0 255.255.0.0 0 217.227.208.124 FILIALE 2 No Static
ping -a 172.20.5.11 172.21.5.1
56 Byte Packet from 172.21.5.1 seq.no=0 time=27.303 ms
56 Byte Packet from 172.21.5.1 seq.no=1 time=25.746 ms
56 Byte Packet from 172.21.5.1 seq.no=2 time=25.775 ms
56 Byte Packet from 172.21.5.1 seq.no=3 time=25.822 ms
56 Byte Packet from 172.21.5.1 seq.no=4 time=26.803 ms
56 Byte Packet from 172.21.5.1 seq.no=5 time=25.633 ms
56 Byte Packet from 172.21.5.1 seq.no=6 time=25.450 ms
---172.21.5.1 ping statistic---
56 Bytes Data, 7 Packets transmitted, 7 Packets received, 0% loss
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
Hi,
Da sehe ich keinen VPN-Packet trace.
Mach mal wenn die Verbindung aufgebaut ist ein "show vpn sadb" und schau dir an welche netze nun wirklich ausverhandelt wurden.
Im VPN-Packet trace siehst du außerdem, ob ein Packet garnicht für entfernte Netz gedacht ist und daher nicht versendet wird.
Gruß
Da sehe ich keinen VPN-Packet trace.
Mach mal wenn die Verbindung aufgebaut ist ein "show vpn sadb" und schau dir an welche netze nun wirklich ausverhandelt wurden.
Im VPN-Packet trace siehst du außerdem, ob ein Packet garnicht für entfernte Netz gedacht ist und daher nicht versendet wird.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
Die Ursache war ich, die VRRP Adresse war falsch, die Adresse existierte schon auf einen WLC.
Re: VPN - Routing anders Subnets - Packet loss - Trace wie?
VLANs und ARF Tags werden eh nicht über VPN geroutet, sofern ich weiß...
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN