[Gelöst] IKEv2-VPN Tunnel scheinbar in Ordnung aber kein Trafic möglich

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
LarsE
Beiträge: 2
Registriert: 15 Apr 2023, 21:36

[Gelöst] IKEv2-VPN Tunnel scheinbar in Ordnung aber kein Trafic möglich

Beitrag von LarsE »

Hallo zusammen,

ich habe seit zwei Tagen ein kleines Problem mit einer Remote Office anbindung.

Folgende Situation:

Zentrale:
LANCOM 1793VA - FW:10.72.0092SU2
172.19.12.0/24
FesteIP - VDSL Business
Mehrere funktionierende VPN Punkte -IKEv1 sowie IKEv2

Remote-Office:
LANCOM 1781VAW - FW:10.50.1107RU10
192.168.0.0/24
Vodafone KabelZugang - leider kein Business (durch BridgeModem aber IPv4)

Bis vor einem Internetausfall am Remote-Office vor 2 Tagen funktionierte die Anbindung des Remote-Platzes problemlos.
Danach hat sich die VPN Verbindung laut LanMonitor zwar aufgebaut, es war aber kein Datentransfer möglich.
Auch ein Ping direkt auf die Router läuft ins Leere.

Ich habe dann die Verbindung komplett gelöscht und mit den Assistenen neu angelegt.
Zentrale Responder - Remote Initiator

Durch entsprechende VPN / IP-Router Trace konnte ich feststellen, dass der Ping aus dem Remote Netzwerk in der Filiale ankommt und dort auch scheinbar wieder ins VPN zurück geschickt wird.
Nur an der Nebenstelle sehe ich davon nichts mehr im Trace?

Der Trace hier zeigt jetzt einen Ping Versuch Zentrale -> Remote-Router(192.168.0.254)

Code: Alles auswählen

[IP-Router] 2023/04/15 22:42:19,208  Devicetime: 2023/04/15 22:42:19,143
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.0.254, SrcIP: 172.19.12.200, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0117
Route: WAN Tx (REMOTE1)

[VPN-Packet] 2023/04/15 22:42:19,208  Devicetime: 2023/04/15 22:42:19,143 [INTRANET (3)]
ICMP (1) packet, scope global, routing tag 0, thread 31 IPV4/0:
for send on REMOTE1: 172.19.12.200->192.168.0.254 60
Internet Protocol Version 4
  Header length: 20
  Total length: 60
  Payload length: 40
  DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Identification: 0x4a7c
  Flags: 0x0000
  Fragment offset: 0
  Time to live: 127
  Protocol: ICMP (1)
  Header checksum: 0x76c3
  Source: 172.19.12.200
  Destination: 192.168.0.254
Internet Control Message Protocol
  Type: Echo (ping) request (8)
  Code: 0
  Checksum: 0x4c44
  Identifier: 1
  Sequence number: 279

 --> passed to qos

[VPN-Packet] 2023/04/15 22:42:19,208  Devicetime: 2023/04/15 22:42:19,144 [INTRANET (3)]
ICMP (1) packet, scope global, routing tag 0, thread 148 VPN-Catcher/0:
for send on REMOTE1: 172.19.12.200->192.168.0.254 60
Internet Protocol Version 4
  Header length: 20
  Total length: 60
  Payload length: 40
  DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Identification: 0x4a7c
  Flags: 0x0000
  Fragment offset: 0
  Time to live: 127
  Protocol: ICMP (1)
  Header checksum: 0x76c3
  Source: 172.19.12.200
  Destination: 192.168.0.254
Internet Control Message Protocol
  Type: Echo (ping) request (8)
  Code: 0
Checksum: 0x4c44
  Identifier: 1
  Sequence number: 279

 --> passed to encryption stack
Ich weiß jetzt auch nicht mehr, welche Traces ich noch ausprobieren könnte.

Die anderen Verbindungen laufen ohne Probleme. (Andere Telekom VDSL Business, Mobile Zugänge)

Ich habe fast den Verdacht, das Vodafone da etwas umgestellt hat - nur was?
Eine Synology die ebenfalls am Remote-Router hängt, lässt sich ohne Probleme über IP und Port aufrufen.

Evtl. hat jemand noch eine Idee?

Vielen Dank schonmal im Vorraus
Zuletzt geändert von LarsE am 16 Apr 2023, 12:25, insgesamt 1-mal geändert.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IKEv2-VPN Tunnel scheinbar in Ordnung aber kein Trafic möglich

Beitrag von Dr.Einstein »

Hallo,

werf mal auf dem Office Router Wireshark für die WAN Schnittstelle an (WebConfig > Extras) und sende zeitgleich ein paar Pings von der Zentrale aus über den Tunnel. Siehst du diese verschlüsselten ESP-Pakete (gut auch erkennbar an dem regelmäßigen Abstand)? Wenn nicht, testweise auf UDP4500 umstellen, also die Encapsulierung/NAT-T erzwingen.
LarsE
Beiträge: 2
Registriert: 15 Apr 2023, 21:36

Re: IKEv2-VPN Tunnel scheinbar in Ordnung aber kein Trafic möglich

Beitrag von LarsE »

Moin Dr.Einstein,

super Tipp mit der Encapsulierung/NAT-T - vielen Dank, nach der Umstellung lief es sofort.
Hatte ich gerade nicht auf dem Schirm.

An der WAN Schnittstelle kam vorher auch kein ESP-Paket an.
Scheinbar wird da jetzt der Port 500 von Vodafone geblockt.
Ich komme remote auch nicht auf das Modem um zu schauen, ob da jetzt eine Firewall aktiv ist - Aufgaben für den nächsten Vor-Ort-Termin.

Aber läuft ja jetzt ;-)

Vielen Dank nochmal.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: [Gelöst] IKEv2-VPN Tunnel scheinbar in Ordnung aber kein Trafic möglich

Beitrag von Dr.Einstein »

Dann hat Vodafone wohl ein Update in ihrer Netzinfrastruktur verhauen, wäre nicht das erste Mal. Port 500 UDP wird schon noch gehen, das portlose Protokoll ESP dagegen wird vermutlich verschluckt werden. Eine Störungsmeldung macht hier Sinn da meist auch andere Dinge nicht mehr korrekt funktionieren werden.
Antworten