1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
McHam
Beiträge: 3
Registriert: 09 Jan 2015, 17:42

1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von McHam »

Hallo ihr Lieben,

ich sitze nun schon seit geraumer Zeit an dem 1781VA (Firmware 9.04.0084). Mein Endziel ist es eine Filiale und 3 Roadwarrior (2x Windows, 1x MacOS [Nativer Client]) per VPN anzubinden.

Ich habe es nun endlich hinbekommen mit dem ShrewSoft VPNClient eine IPSec VPN (PSK) Verbindung zu dem Router aufzubauen. Den Versuch das über den nativen Windowsclient zu machen habe ich mittlerweile komplett aufgegeben.

Für die Einrichtung bin ich nach dieser Anleitung vorgegangen https://www.shrew.net/support/Howto_Lancom. An anderer Stelle habe ich gelesen, dass man wohl trotzdem noch die Firewalleinstellungen im Lancom anpassen müsste, wie die Einstellung nun aussehen sollten ist mir aber leider nicht klar. Um die Einstellungen der FW zu Prüfen habe ich den Artikel VPN Client - access to all destination addresses zur Hilfe genommen.

Der 1781VA hat im Netz die IP 192.168.0.112, mein Client (WIN_VPN) bekommt erfolgreich die vorausgewählte IP 192.168.0.98. (Optimal wäre DHCP, wie das gehen soll ist mir nun aber komplett schleierhaft)

Kann mir hier jemand von euch helfen meinem Roadwarrior Zugang zum lokalen Netz zu geben?

Beste Grüße
Jan



Angehängt habe ich die Ausgaben »show vpn«, »trace + vpn-status« und die Ausgabe des ShrewSoft VPNClients.

Bei Aufgebauter Verbindung gibt »show vpn« folgende Ausgabe, die zumindest für mich eigentlich ganz gut aussieht.

Code: Alles auswählen

  
> show vpn

  # of connections = 2

  Connection #1  ikev1          0.0.0.0/0.0.0.0:0 <-> 192.168.0.98/255.255.255.255:0 any

    Name:                       WIN_VPN
    Unique Id:                  ipsec-0-WIN_VPN-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Network:             IPV4_ADDR(any:0, 192.168.0.98/255.255.255.255)

  Connection #2  ikev1          0.0.0.0/0.0.0.0:0 <-> 192.168.0.99/255.255.255.255:0 any

    Name:                       APPLE_VPN
    Unique Id:                  ipsec-0-APPLE_VPN-pr0-l0-r0
    Flags:                      aggressive-mode ikecfg
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
    Local  Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Gateway:             IPV4_ADDR(any:0, 0.0.0.0)
    Remote Network:             IPV4_ADDR(any:0, 192.168.0.99/255.255.255.255)
ShrewSoft VPNClient Ausgabe:

Code: Alles auswählen

attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Und die komplette Ausgabe für: trace + vpn-status

Code: Alles auswählen

root@Lancom1781VA:/
> trace + vpn-status
VPN-Status           ON 

[VPN-Status] 2015/01/17 13:11:03,833
IKE info: The remote server 77.20.82.12:59931 (UDP) peer def-aggr-peer id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2015/01/17 13:11:03,833
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local proposal 1


[VPN-Status] 2015/01/17 13:11:03,923
IKE info: Phase-1 [responder] for peer WIN_VPN initiator id my.vpn.domain, responder id my.vpn.domain
IKE info: initiator cookie: 0x83abb4a0a3f04524, responder cookie: 0x0d5f2672d6aa187e
IKE info: SA ISAKMP for peer WIN_VPN encryption aes-cbc authentication SHA1
IKE info: life time ( 86400 sec/ 0 kb)


[VPN-Status] 2015/01/17 13:11:03,924
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer WIN_VPN set to 77760 seconds (Responder)


[VPN-Status] 2015/01/17 13:11:03,924
IKE info: Phase-1 SA Timeout (Hard-Event) for peer WIN_VPN set to 86400 seconds (Responder)


[VPN-Status] 2015/01/17 13:11:03,929
IKE info: NOTIFY received of type INITIAL_CONTACT for peer WIN_VPN


[VPN-Status] 2015/01/17 13:11:03,929
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer WIN_VPN (77.20.82.12)


[VPN-Status] 2015/01/17 13:11:03,929
IKE info: Phase-1 SA removed: peer WIN_VPN rule WIN_VPN removed


[VPN-Status] 2015/01/17 13:11:03,929
IKE info: IKE-CFG: Received REQUEST message with id 0 from peer WIN_VPN
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_ADDRESS_EXPIRY  len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NETMASK     len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 0 value (none) received
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_SUBNET      len 0 value (none) received


[VPN-Status] 2015/01/17 13:11:03,930
VPN: set local server addresses for WIN_VPN (0.0.0.0)
   DNS:  192.168.0.112, 0.0.0.0
   NBNS: 192.168.0.112, 0.0.0.0

[VPN-Status] 2015/01/17 13:11:03,929
IKE info: IKE-CFG: Creating REPLY message with id 0 for peer WIN_VPN
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_SUBNET      len 8 value 0.0.0.0/0.0.0.0 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NBNS        len 4 value 192.168.0.112 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_DNS         len 4 value 192.168.0.112 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_NETMASK     len 0 skipped
IKE info: IKE-CFG:   Attribute INTERNAL_ADDRESS_EXPIRY  len 4 value 1200 added
IKE info: IKE-CFG:   Attribute INTERNAL_IP4_ADDRESS     len 4 value 192.168.0.98 added
IKE info: IKE-CFG: Sending message


[VPN-Status] 2015/01/17 13:11:09,136
IKE info: Phase-2 remote proposal 1 for peer WIN_VPN matched with local proposal 1


[VPN-Status] 2015/01/17 13:11:09,453
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer WIN_VPN set to 3240 seconds (Responder)


[VPN-Status] 2015/01/17 13:11:09,453
IKE info: Phase-2 SA Timeout (Hard-Event) for peer WIN_VPN set to 3600 seconds (Responder)


[VPN-Status] 2015/01/17 13:11:09,453
IKE info: Phase-2 [responder] done with 2 SAS for peer WIN_VPN rule ipsec-0-WIN_VPN-pr0-l0-r0
IKE info: rule:' ipsec 0.0.0.0/0.0.0.0 <-> 192.168.0.98/255.255.255.255 '
IKE info: SA ESP [0xa929df60]  alg AES_CBC keylength 256 +hmac HMAC_SHA outgoing
IKE info: SA ESP [0x3bfc17c5]  alg AES_CBC keylength 256 +hmac HMAC_SHA incoming
IKE info: life soft( 3240 sec/0 kb) hard (3600 sec/0 kb)
IKE info: tunnel between src: 192.168.0.112 dst: 77.20.82.12  


[VPN-Status] 2015/01/17 13:11:09,454
VPN: WAN state changed to WanCalled for WIN_VPN (77.20.82.12), called by: 009d2774

[VPN-Status] 2015/01/17 13:11:09,454
vpn-maps[21], remote: WIN_VPN, nego, static-name, connected-by-name

[VPN-Status] 2015/01/17 13:11:09,454
VPN: wait for IKE negotiation from WIN_VPN (77.20.82.12)

[VPN-Status] 2015/01/17 13:11:09,454
VPN: WAN state changed to WanProtocol for WIN_VPN (77.20.82.12), called by: 009d2774

[VPN-Status] 2015/01/17 13:11:10,454
VPN: WIN_VPN connected

[VPN-Status] 2015/01/17 13:11:10,454
VPN: WAN state changed to WanConnect for WIN_VPN (77.20.82.12), called by: 009d2774

[VPN-Status] 2015/01/17 13:11:10,454
vpn-maps[21], remote: WIN_VPN, connected, static-name, connected-by-name
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von MariusP »

Hi,
Bitte mache einen ping vom Roadwarrior zu dem Lancom durch den VPN Tunnel.
Zur gleichen Zeit nimm bitte einen "IP-R"-trace auf.
Beste Grüße
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
McHam
Beiträge: 3
Registriert: 09 Jan 2015, 17:42

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von McHam »

Hallo Marius,

danke für die Antwort den Befehl kannte ich noch nicht. Das ist bisher auch mein erster Kontakt mit einem Lancomgerät.

Auf dem Lancom kommt bei einem Ping keine Ausgabe. Ich vermute daher einfach mal, dass die Route nicht korrekt an den Roadwarrior gepusht wird. Könnte das hinkommen?

Beste Grüße

Code: Alles auswählen

C:\Users\Admin>ping 192.168.0.112

Ping wird ausgeführt für 192.168.0.112 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.0.112:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust)

Während des Tunnelaufbaus gibt's folgende Ausgabe.

Code: Alles auswählen

root@Lancom1781VA:/
> trace + ip-r
IP-Router            ON 

[IP-Router] 2015/01/20 18:48:03,912
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 77.20.82.12, SrcIP: 192.168.0.112, Len: 429, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 49685, SrcPort: 500
Route: LAN Tx ((unknown)): 

[IP-Router] 2015/01/20 18:48:04,003
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 77.20.82.12, SrcIP: 192.168.0.112, Len: 136, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 49685, SrcPort: 500
Route: LAN Tx ((unknown)): 

[IP-Router] 2015/01/20 18:48:07,182
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 77.20.82.12, SrcIP: 192.168.0.112, Len: 200, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 49685, SrcPort: 500
Route: LAN Tx ((unknown)):
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von MariusP »

Hi,
es zeigt das der Fehler irgendwo zwischen dem VPN-Stacks(Schnittstelle auf dem PC) des Roadwarriors liegt und dem IP-Router des Lancoms. Also liegt der Fehler nicht an der Rückroute.
Du solltest mit Wireshark mitschneiden wohin der PC die ESP Pakete schickt.
Wireshark ist ein sehr gutes Tool um den Paketverkehr eingehen und ausgehend zu beobachten.
Wenn sie dort an die Richtige IP rausgehen, solltest du auf dem Lancom weiter schauen.
Lass in diesem Fall einen VPN-Paket Trace auf dem Lancom laufen.
Wenn bei dem VPN-Paket Trace die Pakete ankommen kannst du nochmal mit nem Firewall Trace schauen ob vielleicht die Firewall die Pakete verwirft.
Mit einer solche Vorgehensweise kann man sehr gut den Fehler in einer "Kommunikationskette" herrausfinden.

Bitte gib auserdem mal ein "show vpn sadb" aus wenn die VPN Verbindung aufgebaut wurde. Anbei ein paar Links was eine SAD(B) ist. (http://en.wikipedia.org/wiki/IPsec#Security_association http://tools.ietf.org/html/rfc4301#page-34)
Beste Grüße
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
Dr.Einstein
Beiträge: 3226
Registriert: 12 Jan 2010, 14:10

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von Dr.Einstein »

McHam hat geschrieben:

Code: Alles auswählen


[IP-Router] 2015/01/20 18:48:03,912
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 77.20.82.12, SrcIP: 192.168.0.112, Len: 429, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 49685, SrcPort: 500
Route: LAN Tx ([color=#FF0000](unknown)[/color]):
Wenn man dieses unknown sieht, existieren meist grundlegende Fehler im Lancom zwischen Routing-Tabelle, Schnittstellentags, und IP-Adressen insgesamt. Der Lancom weiß nicht, wo er es hinschicken soll...

Gruß Dr.Einstein
Nach oben
h.harry
Beiträge: 3
Registriert: 31 Mär 2015, 16:23

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von h.harry »

Hallo.

Läßt sich das noch etwas konkretisieren?

Ich habe genau die selbe Meldung und komme seit geraumer Zeit nicht weiter.

Mein Szenario ist ein 1781AV an VDSL und forwarding zu VPN7100. Ich bekomme einen Trace wenn ich versuche u verbinden. Auf beiden geräten. Sie senden und empfangen zyklisch, empfangen jedoch das gesendete nicht. Der Zugang über LAN funktioniert grundsätzlich.

Ich habe keine Routen, da das Gateway im Subnetz des 1781 liegt und dort nur forwardet wird(500 und 4500). Die Firewall ist zu Gateway offen.

Trace 1781

Code: Alles auswählen

[IP-Router] 2015/03/31 16:28:40,317  Devicetime: 2015/03/31 16:28:45,834
IP-Router Rx (TNG, RtgTag: 0): 
DstIP: 192.168.4.20, SrcIP: 80.187.109.155, Len: 572, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 500, SrcPort: 2552
Route: LAN Tx (DMZ):
Trace 7100

Code: Alles auswählen

[VPN-IKE] 2015/03/31 16:21:09,436  Devicetime: 2015/03/31 16:21:15,437
Sending packet :
IKE 1.0 Header:
Source/Port         : 192.168.4.20:500
Destination/Port    : 80.187.109.155:30308
| Initiator cookie  : E5 F2 57 FB 29 72 92 89
| Responder cookie  : AC E4 D2 15 F2 39 10 7D
.......

[IP-Router] 2015/03/31 16:21:09,436  Devicetime: 2015/03/31 16:21:15,437
IP-Router Rx (intern, RtgTag: 0): 
DstIP: 80.187.109.155, SrcIP: 192.168.4.20, Len: 492, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 30308, SrcPort: 500
Route: LAN Tx ((unknown)):
Ich wäre für etwas Hilfe sehr dankbar. Bin am Ende mit meiner Weisheit.

Harry
Nach oben
garfield0815

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von garfield0815 »

ist nat traversal an ??
Nach oben
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von MariusP »

Hi,
Was du dir auch mal anschauen könntest:
Nach erfolgreichem Verbindungsaufbau:

Code: Alles auswählen

show vpn sadb
Das sollte dir alle erfolgreich ausgehandelten SAs anzeigen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Nach oben
h.harry
Beiträge: 3
Registriert: 31 Mär 2015, 16:23

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von h.harry »

Code: Alles auswählen

> show vpn sadb

SA-REPORT

SA: Peer CLIENT_0003, phase 1 ikev1
Flags 0x00108001   Ready
   Dead Peer Detection active
   LANCOM-NCP Client SN 21169164
   authentication method: preshared key (1)
   encryption aes-cbc  hash SHA1
   initiator cookie: 0x360b0cceff70d0ac
   responder cookie: 0x01127da29fdb1ad7
   life secs 86400 kb 0 byte_cnt 0
   initiator id: harry@intern, responder id: harry@intern,
   src: 192.168.4.20 dst: 192.168.4.197

SA: Peer CLIENT_0003, Rule ipsec-0-CLIENT_0003-pr0-l0-r0 phase 2 ikev1
Flags 0x00001001   Ready
   life secs 28800 kb 0 byte_cnt 1136
   initiator id: harry@intern, responder id: harry@intern,
   src: 192.168.4.20 dst: 192.168.4.197
   0.0.0.0/0.0.0.0 <-> 192.168.4.182/255.255.255.255
   proposal 1 protocol IPSEC_ESP algorithm AES_CBC
     spi[outgoing]   0xe5eb1794
     spi[incoming]   0x45b6dc0f
Hier die Ausgabe. Allerdings kommt diese Verbindung nur über LAN zustande. Remote durch den 1781 und dann auf das 7100 geht das mit der oben gezeigten Meldung nicht.

Ich glaube diese Meldung ist das Problem:

Code: Alles auswählen

Route: LAN Tx ((unknown)):
nur weiß ich leider nicht was diese bedeutet.

Harry
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von backslash »

Hi h.harry
Hier die Ausgabe. Allerdings kommt diese Verbindung nur über LAN zustande. Remote durch den 1781 und dann auf das 7100 geht das mit der oben gezeigten Meldung nicht.
wie garfield0815 schon schrieb: ist nat traversal an ??

Also: Einerseits mußt du in deinem 1781 NAT-T aktivieren und andererseits im 7100 neben dem UDP-Port 500 auch noch den Port 4500 an den 1781 weiterleiten. Dann sollte es funktionieren.

Das einzige, was mich wundert ist das hier:

Code: Alles auswählen

[IP-Router] 2015/03/31 16:21:09,436  Devicetime: 2015/03/31 16:21:15,437
IP-Router Rx (intern, RtgTag: 0):
DstIP: 80.187.109.155, SrcIP: 192.168.4.20, Len: 492, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 30308, SrcPort: 500
Route: LAN Tx ((unknown)):
Betreibst du den 1781 etwa als DHCP-Client im LAN, statt ihm statisch eine IP-Adresse zu geben und die Default-Route auf den 7100 zu setzen?

Ganz nebenbei: Wieso nutzt du nicht einfach den 7100 als VPN-Gateway, sondern machst dir das Leben unnötig kompliziert, indem du den 1781 zusätzlich ins Netz hängst?

Gruß
Backslash
Nach oben
h.harry
Beiträge: 3
Registriert: 31 Mär 2015, 16:23

Re: 1781VA VPN wird aufgebaut doch Traffic nicht geroutet

Beitrag von h.harry »

Hallo und vielen Dank für die Hinweise.

Ich muss das Setup evtl. noch einmal erläutern. Ich baue ein zwei stufiges Gateway auf.

Der 1781 ist ein VDSL Router welcher die I-Netverbindung herstellt und in dem Übergabe LAN als DHCP läuft. Dieser stellt Firewall nach außen und Contendfilter bereit und leitet Port 500 und 4500 an das 7100 weiter, welches hinter dem 1781 steht. Es hängt auch direkt in diesem Übergabe LAN. Auf dem 1781 gibt es keine VPN Funktionalität. Es ist deaktiviert. Also auch kein NAT-T. Er leitet nur weiter.

Ich gehe nun von Port4 des 1781 mit IP 192.168.4.1/24 an Port 2 des 7100 mit IP 192.168.4.20/24 . Im 1781 sind die Interfaces alle zusammen geschaltet und haben alle ein LAN-1. Im 7100 sind die Ports im private Mode. Dieser hat zwei Interfaces beschaltet mit dem Übergabe LAN und dann dem lokalen LAN. Hier solls natürlich nur über VPN hin. :wink: Der 7100 hat noch eine Default Route nach 192.168.4.1 und eine Route 192.168.4.0/24 nach 192.168.4.1 . NAT-T ist auf dem 7100 aktiviert.

Und da scheint ja ein Fehler zu sein, wenn das 7100 nicht auf die IKE Meldungen antworten kann. Erreichen tun sie das 7100 ja. Das kann ich sehen.

Tjo, so siehts aus. Ich bin sicher, dass es etwas total blödes ist, aber ich sehe es halt nicht. :(
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“