[gelöst] VPN mit 2 Netzwerken

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

[gelöst] VPN mit 2 Netzwerken

Beitrag von Lothrien »

Hallo,

die Verbindung klappt mit dem 192.168.178.X Netz, was zuerst eingerichtet wurde. Von der Linux-Seite aus, sind die Ziele ping bar, auch eine ssh Verbindung zur LANCOM klappt.
Leider kommt die Verbindung zum 2. Netz 192.168.0.0 nicht zu stande. Von der Linux Seite müsste alles ok sein. Ein Trace sagt auch, dass ein Ping von der LANCOM von 192.168.0.130 ausgeht. Ich sehe auch nicht, dass etwas im Tunnel (weder LANCOM noch Linux) ankommt.
Wo ist hier der Denkfehler oder welche Konfiguration fehlt noch?
VPN-Regelerzeugung steht auf "automatisch". Bei Manueller Konfiguration "WIZ-ANY-TO-ANY" funktioniert es auch nicht, leider auch nicht wenn ich unter Netzwerk-Regeln-IPv4-Regeln "INTRANET" und "XX-LOCAL" auf die 192.168.1.0 leite...

Code: Alles auswählen

LANCOM
SA: Peer XX-1, Rule IPSEC-0-XX-1-PR0-L0-R0 CHILD_SA ikev2 initiator
Flags 0x0000000102000000   Ready
   Routing-tag 0, Com-channel 26
   life secs 14400 rekeying_in 11417 secs life_cnt_sec 14297 secs kb 2000000 byte_cnt_o 22912 byte_cnt_i 15130
   src: XX.XX.XX.XX dst: XX.XX.XX.XX
   192.168.178.0/24 <-> 192.168.1.0/24
   proposal 1 protocol IPSEC_ESP   Encryption AES-CBC-256   Integrity AUTH-HMAC-SHA-256   PFS-DH-Group None
     spi[outgoing]   0xc51fd120
     spi[incoming]   0x6054915d

Code: Alles auswählen

IPv4
LAN-1: INTRANET 192.168.178.1
LAN-2: XX-LOCAL 192.168.0.130

Code: Alles auswählen

IP-Router 
192.168.1.0 XX-1

Code: Alles auswählen

Firewall - IPv4-Regeln
LOCALNET 192.168.1.0
192.168.1.0 LOCALNET

Code: Alles auswählen

DEBIAN (mit LANCOM VPN-Regelerzeugung "automatisch")
  XX-1:  XX.XX.XX.XX...%any,0.0.0.0/0,::/0  IKEv2, dpddelay=30s
  XX-1:   local:  [XX] uses pre-shared key authentication
  XX-1:   remote: [XX] uses pre-shared key authentication
  XX-1:   child:  192.168.1.0/24 === 192.168.178.0/24 192.168.0.0/24 TUNNEL, dpdaction=restart

  XX-1[1905]: ESTABLISHED 11 minutes ago, XX.XX.XX.XX[XX]...XX.XX.XX.XX[XX]
  XX-1[1905]: IKEv2 SPIs: 023e583e79207c7c_i e9bdbec22bf38572_r*, pre-shared key reauthentication in . hours
  XX-1[1905]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
  XX-1{3815}:  INSTALLED, TUNNEL, ESP SPIs: c51fd120_i 6054915d_o
  XX-1{3815}:  AES_CBC_256/HMAC_SHA2_256_128, 20252 bytes_i (129 pkts, 14s ago), 17878 bytes_o (213 pkts, 14s ago), rekeying in 11 hours
  XX-1{3815}:   192.168.1.0/24 === 192.168.178.0/24

mit LANCOM VPN-Regelerzeugung "WIZ-ANY-TO-ANY"
  XX-1{3843}:   192.168.1.0/24 === 192.168.178.0/24 192.168.0.0/24
 
Zuletzt geändert von Lothrien am 26 Okt 2022, 19:54, insgesamt 2-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: VPN mit 2 Netzwerken

Beitrag von GrandDixence »

Wenn die entsprechenden Routingtabelleneinträge vorhanden sind, so liegt wahrscheinlich ein Konfigurationsfehler im Bereich der SA's vor. Siehe dazu die Hinweise und verlinkten Beiträge zum Thema "IPv4-Regeln" unter:

fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Eventuell muss eine SA für 192.168.0.0/16 (255.255.0.0) erstellt werden.
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

So habe das nochmal neu eingegeben mit 192.168.0.0 gibt es auch keine Veränderung-
Bin etwas verwirrt, das hier nur eine Rule unter SA angegeben wird. Die Rule IPSEC-0-XX-1-PR0-L0-R0 bleibt aber, wenn ich alle meine Rules lösche und nur die WINS und CONTENT-Filter Rule in Firewall/QoS stehen lasse, oder was wird für diese Rule herangezogen - das ist wohl WIZ-ANY-TO-ANY.

Code: Alles auswählen

IP Router
192.168.1.0 255.255.255.0 An, sticky für RIP XX-1 0 Aus 0

Code: Alles auswählen

Firewall/QoS
mit Hacken bei aktiv,SA,Verbindungszustand
IN XX-1 (ganzes Netzwerk 192.168.178.0 255.255.255.0) Gegenstelle-LAN (192.168.1.0 255.255.255.0)
OUT Gegenstelle-LAN (192.168.1.0 255.255.255.0) XX-1 (ganzes Netzwerk 192.168.178.0 255.255.255.0)

INT-IN XXINT-1 (ganzes Netzwerk 192.168.0.0 255.255.255.0) Gegenstelle-LAN (192.168.1.0 255.255.255.0)
INT-OUT Gegenstelle-LAN (192.168.1.0 255.255.255.0) XXINT-1 (ganzes Netzwerk 192.168.0.0 255.255.255.0)

Code: Alles auswählen

show vpn sadb
  Rule #1          ikev2        192.168.178.0/24 ANY ANY <-> 192.168.1.0/24 ANY ANY
         Unique Id:                  IPSEC-1-XX-1-PR0-L0-R0
  Rule #2          ikev2        192.168.0.0/24 ANY ANY <-> 192.168.1.0/24 ANY ANY
        Unique Id:                  IPSEC-2-XX-1-PR0-L0-R0
  Rule #3          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/0 ANY ANY
        Unique Id:                  IPSEC-0-XX-1-PR0-L0-R0
(hier unten verändert sich nix)
...
SA: Peer XX-1, Rule IPSEC-0-XX-1-PR0-L0-R0 CHILD_SA ikev2 initiator
   192.168.178.0/24 <-> 192.168.1.0/24
...
Zuletzt geändert von Lothrien am 22 Okt 2022, 07:02, insgesamt 1-mal geändert.
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

Jetzt ein paar Firewall Regeln entrümpelt und man bekommt für einen Ping von der Linux Seite zum Lancom Router zumindest folgendes Log (leider keine Antwort)...

Code: Alles auswählen

[ICMP] 2022/10/21 16:44:47,519  Devicetime: 2022/10/21 16:54:36,427
ICMP packet received
  Internet Protocol Version 4
    Header length: 20
    Total length: 84
    Payload length: 64
    DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Identification: 0x1435
    Flags: 0x4000
    Fragment offset: 0
    Time to live: 64
    Protocol: ICMP (1)
    Header checksum: 0xa38d
    Source: 192.168.1.20
    Destination: 192.168.0.130
  Internet Control Message Protocol
    Type: Echo (ping) request (8)
    Code: 0
    Checksum: 0xb3cb
    Identifier: 1301
    Sequence number: 934
--->TX [id: 2166632, ICMP (1) {incoming unicast, fixed source address, negotiating}, dst: 192.168.1.20, tag 0 (U), src: 192.168.0.130, hop limit: 64, pmtu: 1415, iface: XX-1 (6), mac address: ff:ff:ff:ff:ff:ff, port 0] Echo reply, ID: 1301, Seq: 934
Ich kann auf der Linux Seite im Tunnel per tcpdump esp keine Antwort erkennen, die dann vielleicht nicht weitergeleitet wird.
Wird der Echo Reply nun von der Lancom wirklich in den Tunnel gespeist, kann man das an diesem Log sehen?
Zuletzt geändert von Lothrien am 22 Okt 2022, 06:58, insgesamt 1-mal geändert.
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: VPN mit 2 Netzwerken

Beitrag von hotzenplotz »

Moin!

Versuch mal, Deine Logs/Traces hier in Code-Tags zu packen. Das ist für alle dann deutlich besser lesbar.

Was für ein Router? Welche Firmware?

So wie es für mich ausschaut, hast du die SA über die Firewall definiert.
Das ist m.W. ab irgendeiner der letzten Versionen nicht mehr supported, sondern nur noch über die Regel-Tabelle.

Code: Alles auswählen

/Setup/VPN/Networks/IPv4-Rules
Was sagt ein

Code: Alles auswählen

show VPN
am Router?

Grüße!
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

Modell R884VA
LCOS 10.50.0819 (RU7)

Code: Alles auswählen

>ls /Setup/VPN/Networks/IPv4-Rules
Name                                          Local-Networks     Remote-Networks        
RAS-WITH-CONFIG-PAYLOAD          0.0.0.0/0             0.0.0.0/32                     
RAS-WITH-NETWORK-SELECTION    0.0.0.0/0             0.0.0.0/0                            
WIZ-ANY-TO-ANY                           0.0.0.0/0             0.0.0.0/0            

Code: Alles auswählen

> show VPN
VPN SPD and IKE configuration:
  # of rules = 3
  Rule #1          ikev2        192.168.178.0/24 ANY ANY <-> 192.168.1.0/24 ANY ANY
    Name:                       XX-1
    Unique Id:                  IPSEC-1-XX-1-PR0-L0-R0
    Local  Gateway:             IPV4_ADDR(any:0, XX)
    Remote Gateway:             IPV4_ADDR(any:0, XX)

  Rule #2          ikev2        192.168.0.0/24 ANY ANY <-> 192.168.1.0/24 ANY ANY
    Name:                       XX-1
    Unique Id:                  IPSEC-2-XX-1-PR0-L0-R0
    Local  Gateway:             IPV4_ADDR(any:0, XX)
    Remote Gateway:             IPV4_ADDR(any:0, XX)

  Rule #3          ikev2        0.0.0.0/0 ANY ANY <-> 0.0.0.0/0 ANY ANY
    Name:                       XX-1
    Unique Id:                  IPSEC-0-XX-1-PR0-L0-R0
    Local  Gateway:             IPV4_ADDR(any:0, XX)
    Remote Gateway:             IPV4_ADDR(any:0, XX)
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: VPN mit 2 Netzwerken

Beitrag von hotzenplotz »

Erstelle mal eine VPN-Regel für Deine beiden lokalen Netze und as Remote Netz.

Code: Alles auswählen

cd /Setup/VPN/Networks/IPv4-Rules
add XX-1 "192.168.178.0/24, 192.168.0.0/24" 192.168.1.0/24
Und dann änderst Du noch in der IKEv2 Gegenstelle die Regelerstellung von Auto auf manuell und wählst die oben erstellte Regel aus.
Die SA-Regeln in der FIrewall können/sollten dann weg.

Grüße!
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

Aha ja, das führt dazu, dass nun die 192.168.0.130 (aber nicht 192.168.0.X) erreichbar ist - aber nicht mehr die 192.168.178.1 bzw. 192.168.178.X
Zumindest ist mal geklärt, dass auf der Linux Seite alles ankommt und es sich hier um ein LANCOM Problem handelt.

Code: Alles auswählen

PING 192.168.0.130 (192.168.0.130) 56(84) bytes of data.
64 bytes from 192.168.0.130: icmp_seq=1 ttl=64 time=18.4 ms
--- 192.168.0.12 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Code: Alles auswählen

--- 192.168.178.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms
--- 192.168.178.200 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: VPN mit 2 Netzwerken

Beitrag von hotzenplotz »

D.h. vom - auf dem im Lancom Router angelegten Netz - funktioniert der Ping an eine lokale IP nicht?

Nutz mal

Code: Alles auswählen

ping -a 192.168.178.RouterIP 192.168.178.ZielIP
Das würde dann aber jetzt auch nichts mit dem VPN zu tun haben, weil ja dein lokales Routing nicht funktioniert.

Grüße!
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

ok, ja, bin erstmal noch bei WIZ-TO-ANY für den internen Test.

funktioniert

Code: Alles auswählen

> ping -a 192.168.0.130 192.168.0.12
   56 Byte Packet from 192.168.0.12 seq.no=0 time=1.291 ms
> ping -a 192.168.0.130 192.168.178.1
    56 Byte Packet from 192.168.178.1 seq.no=0 time=0.191 ms
> ping -a 192.168.0.130 192.168.178.200
    56 Byte Packet from 192.168.178.200 seq.no=0 time=1.125 ms
funktioniert

Code: Alles auswählen

> ping -a 192.168.178.1 192.168.178.200
    56 Byte Packet from 192.168.178.200 seq.no=0 time=1.097 ms
> ping -a 192.168.178.1 192.168.0.130
   56 Byte Packet from 192.168.0.130 seq.no=0 time=0.199 ms
funktioniert nicht

Code: Alles auswählen

> ping -a 192.168.178.1 192.168.0.12
 ---192.168.0.12 ping statistic---
 56 Bytes Data, 5 Packets transmitted, 0 Packets received, 100% loss
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: VPN mit 2 Netzwerken

Beitrag von hotzenplotz »

...aber das ja nichts mit Deiner VPN-Frage zu tun.

Das Problem ist ja lokal. Hier musst du mal in Richtung ARF-Tags, VLANs und FW-Regel schauen - mit den entsprechenden Traces.

Grüße!
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

Ja, da ist zu klären, ob das löschen der vorherigen Firewall-Regeln, die angeblich das VPN nur behindern, nicht doch zuviel war oder ob es auch schon vorher nicht funktioniert hat.
Mich wundert nur, das ich im Tunnel nur von einer Seite Antwort bekomme. Müsste ich nicht irgendwann mal von beiden Seiten eine Antwort bekommen?
Im XX-1 Regelfall müsste ich ja mindestens von 192.168.178.200 eine Antwort bekommen, da diese auch über 192.168.0.130 pingbar ist.

Code: Alles auswählen

WIZ-TO-ANY
PING 192.168.178.1 (192.168.178.1) 56(84) bytes of data.
64 bytes from 192.168.178.1: icmp_seq=1 ttl=64 time=18.4 ms

--- 192.168.0.130 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Code: Alles auswählen

cd /Setup/VPN/Networks/IPv4-Rules
add XX-1 "192.168.178.0/24, 192.168.0.0/24" 192.168.1.0/24

PING 192.168.0.130 (192.168.0.130) 56(84) bytes of data.
64 bytes from 192.168.0.130: icmp_seq=1 ttl=64 time=18.4 ms

--- 192.168.178.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: VPN mit 2 Netzwerken

Beitrag von hotzenplotz »

Warum steht da Wiz-To-Any?

Mach die Traces mit den entsprechenden Filtern, dann siehst du wo die Pakete hingehen oder hängenbleiben.

Aber wie bereits gesagt, was Du da intern gebastelt hast, entzieht sich meiner Glaskugel.
Lothrien
Beiträge: 8
Registriert: 27 Dez 2011, 10:45

Re: VPN mit 2 Netzwerken

Beitrag von Lothrien »

Des Rätsels-Lösung waren weitere gelöscht Einträge und ein Fehler auf der debian Seite.

Es fehlte im proposal der Eintrag vollständige Eintrag mit modp2048. Das hat also verhindert, dass die 2. Route im Kernel eingetragen wurde und aktiviert werden konnte.
Die Routen wurden korrigiert.

Code: Alles auswählen

esp=aes256-sha2_256-modp2048!
Trennung der Route in

Code: Alles auswählen

IPv4-Regelliste
XX1-Route	XX1-Route-1,XX-1-Route-2

Code: Alles auswählen

IPv4-Regeln
XX1-Route-1	192.168.178.0/24	192.168.1.0/24
XX1-Route-2	192.168.0.0/24		192.168.1.0/24

Code: Alles auswählen

IPv4-Routing-Tabelle
192.168.1.0	255.255.255.0	0	An,Sticky für RIP	XX-1		0	Aus	0
255.255.255.0	0.0.0.0		0	An,Sticky für RIP	INTERNET  0	Aus	0
Antworten