kein DNS über VPN-Tunnel - IP - Kommunikation schon

[user123]

Ersteinmal hallo hier ins Forum.

Die gleiche Frage habe ich bereits vor zwei Tagen an den Support gestellt. Da ich niemanden hier vorort fragen kann, die zwei Router (also das System) so übernommen bin ich ein wenig unter Druck, da von mir erwartet wird das Problem zu lösen, ich aber keine Ahnung vom Gerät habe.

Ich hoffe ihr könnt mir helfen:

Wir haben in unserer Geschäftsstelle einen 1722 VoIP. Der ist mit einem
VPN-Tunnel mit unserer Außenstelle (auch ein 1722 VoIP) verbunden. Seit einigen Tagen ist keine DNS-Auflösung mehr möglich, Kommunikation per IP-Adresse jedoch schon.

Im LANmonitor steht bei dem Router der Geschäftsstelle: "Kein
übereinstimmendes Proposal gefunden (Initiator, IPsec)". Bei unserer
Außenstelle steht: "Keine Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID"

In der KB und im Forum habe ich schon gesucht. Nur leider habe ich mich mit
der Konfiguration noch sehr wenig beschäftig. Wo man z.B. die Default-Route definiert oder welche Regeln benötigt werden weiß ich leider nicht.

Da unser E-Mail-Verkehr + einige andere Applikationen durch den Tunnel
laufen wäre es schön, wenn ich hier Unterstützung bekommen könnte.

Grüße und Danke im Voraus!

[backslash]

Hi user123

VPN-Tunnel mit unserer Außenstelle (auch ein 1722 VoIP) verbunden. Seit einigen Tagen ist keine DNS-Auflösung mehr möglich, Kommunikation per IP-Adresse jedoch schon.

Ist denn ein passendes DNS-Forwarding eingerichtet (unter TCP/IP -> DNS -> Weiterleitungen)?
Weiß die Zentrale denn, unter welcher IP der DNS-Server der Außenstelle erreichbar ist (entweder durch Angabe der IP-Adresse in der DNS-Weiterleitungstabelle oder durch einen Eintrag in der IP-Parameterliste unter Kommunikation -> Protokolle für die VPN-Strecke oder dadurch, daß dynamic VPN gemacht wird)?

Im LANmonitor steht bei dem Router der Geschäftsstelle: "Kein
übereinstimmendes Proposal gefunden (Initiator, IPsec)". Bei unserer
Außenstelle steht: "Keine Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID"

Hier stimmen die Netzbeziehungen für das VPN nicht überein. Mach auf der Außenstelle mal einen VPN-Status-Trace. Dieser Zeigt dir dann welche Netzbeziehungen die Zentrale fordert. Um die Fehlermeldung zu vermeiden, mußt da dann entweder in der Zentrale das Fordern dieser Beziehung unterbinden oder in der Außenstelle diese Beziehung explizit zulassen.

Gruß
Backslash

[user123]

Hallo Backslash,

vielen Dank für deine Antwort.

Ist denn ein passendes DNS-Forwarding eingerichtet (unter TCP/IP -> DNS -> Weiterleitungen)?

Ja ist, *.bezeichnung.local an die IP-Adresse des DNS

Weiß die Zentrale denn, unter welcher IP der DNS-Server der Außenstelle erreichbar ist (entweder durch Angabe der IP-Adresse in der DNS-Weiterleitungstabelle oder durch einen Eintrag in der IP-Parameterliste unter Kommunikation -> Protokolle für die VPN-Strecke oder dadurch, daß dynamic VPN gemacht wird)?

Ja weiß die Zentrale, DNS-Server der Außenstelle ist eingetragen (DNS-Weiterleitung) , is auch über Tunnel anpingbar + wenn ich beim Client den DNS-Server der Außenstelle eintrage löst er auch alles auf.

In der Parameterliste steht bei Dynamisch nein.

Hier stimmen die Netzbeziehungen für das VPN nicht überein. Mach auf der Außenstelle mal einen VPN-Status-Trace. Dieser Zeigt dir dann welche Netzbeziehungen die Zentrale fordert. Um die Fehlermeldung zu vermeiden, mußt da dann entweder in der Zentrale das Fordern dieser Beziehung unterbinden oder in der Außenstelle diese Beziehung explizit zulassen.

Den Trace habe ich gestartet, sehe da aber nicht wirklich etwas was sich ändern, oder was du an Info benötigst.

Wenn ich die Verbindung kappe, baut sie sich automatisch auf, ohne Fehlermeldung. Schicke ich jedoch die erste DNS-Anfrage, erscheint die genannte meldung (z.B. durch Ping auf einen Namen)

Zu den Regeln müsstet du noch etwas detailiertere Infos geben, ich bin da noch recht neu drin in der Materie.

Gruß

[backslash]

Hi user123

Den Trace habe ich gestartet, sehe da aber nicht wirklich etwas was sich ändern, oder was du an Info benötigst.

Nun ja, es geht natürlich um den Teil des Traces, in dem sich das VPN über die unbekanten IDs beschwert...

Gruß
Backslash

[user123]

Hallo,

hab das mit dem Trace nochmal in Ruhe ausprobiert. Habe gesehen, dass dort versucht wurde auf ein 192.168.3.x Netz zuzugreifen (bzw. das keine Regel dafür existiert). Da ist mir was eingefallen. Ich hatte versucht ein zweites Netz (für Gäste die nur ins Internet sollen, nicht aber ins 1ner Netz sollen).

Ich hatte vergessen unter IP-Netwerke den Eintrag wieder zu löschen.

Jetzt geht alles wieder, mittlerweile habe ich DNS auf dem Router aus und unser DNS vom DC löst auch die Adresse in die Außenstelle per Weiterleitung auf.

Vielen Dank für die Hilfe.

OT: in welches Unterforum poste ich jetzt meine nächste Anfrage bzgl. der Netztrennung? (3 IP-Netze im Zielbetrieb auf einer physikal. Infrastruktur)

GRuß

[koehne]

Das Gleich "Problem" habe ich jetzt auch. Unter IP-Netzwerke habe ich auch ein Gästenetzwerk angelegt:

Netzwerkname GAST_WLAN_NETZ
IP-Adresse 192.168.99.99
Netzmaske 255.255.255.0
Netzwerktyp
VLAN-ID Intranet 0
Schnittestelle WLAN-1-2
Tag 1

Scheinbar tritt seitdem auch das Problem mit den ID's auf.
Der Router auf dem das Gästenetzwerk eingerichtet wurde meldet "Kein übereinsteimmendes Proposal gefunden"
und der Router zum dem die VPN Verbindung aufgebaut wird meldet "Keine Regeln für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID"

Wie bekomme ich das in den Griff, ohne das Gästenetzwerk wieder zu löschen?

[backslash]

Hi koehne

Wie bekomme ich das in den Griff, ohne das Gästenetzwerk wieder zu löschen?

entweder du gibts dem Gastnetzwerk ein anderes Schnittsellen-Tag so daß es von der automatischen Regelerzeugung als nicht zum VPN-Verbund gehörend angesehen wird, oder du verwendest die manuelle VPN-Regelerzeugung:

In der VPN-Verbindungsliste (VPN -> Allgemein -> Verbindungsliste) für die betreffende VPN-Verbindung die Regelerzeugung auf "Manuell" stellen und dann in der Firewall folgende Regel aufnehmen:

Code: Alles auswählen

[ ] Diese Regel ist für die Firewall aktiv
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen

Quelle:   Lokale Netze, die in den VPN-Tunnel dürfen
Ziel:     VPN-Gegenstelle 
Dienste:  alle Dienste

Gruß
Backslash

[koehne]

Wenn ich das so einstelle kommt:

Zeitüberschreitung während IKE- oder IPSec-Verhandlung (Initiator) [0x1106]

[backslash]

Hi koehne,

gib mal auf der Kommandozeile "show vpn" ein - das listet dir alle VPN-Regeln auf, etwa so:

Code: Alles auswählen

  Connection #1                 192.168.1.0/255.255.255.0:0 <-> 192.168.200.0/255.255.255.0:0 any

    Name:                       TESTVPN
    Unique Id:                  ipsec-0-TESTVPN-pr0-l1-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, 10.0.0.195)
    Remote Gateway:             IPV4_ADDR(any:0, 192.168.7.5)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.200.0/255.255.255.0)

Da sollte dann die gewünschte Beziehung drin stehen. Wenn sie da nicht auftaucht hast du einen Fehler in der Firewall-Regel.

Wenn die Regeln korrekt ist, solltest du mit einem VPN-Status-Trace auf die weitere Fehlersuche gehen.

Gruß
Backslash

[koehne]

Kurze Zusammenfassung:

ZENTRALE - Netz 192.168.1.0
Gastwlan - Netz 192.168.98.0
AUSSENSTELLE1 - Netz 192.168.2.0
AUSSENSTELLE2 - Netz 192.168.3.0
Gastwlan - Netz 192.168.99.0

Subnetz überall 255.255.255.0

Ich hoffe ihr seht darin irgendwas sinnvolles?

Das steht in den bei show vpn:

Code: Alles auswählen

VPN SPD and IKE configuration:

  # of connections = 9

  Connection #1                 192.168.200.0/255.255.255.0:0 <-> 192.168.3.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE2
    Unique Id:                  ipsec-2-AUSSENSTELLE2-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.200.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, FESTE_IP_AUSSENSTELLE2)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.3.0/255.255.255.0)

  Connection #2                 192.168.11.0/255.255.255.0:0 <-> 192.168.3.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE2
    Unique Id:                  ipsec-1-AUSSENSTELLE2-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, FESTE_IP_AUSSENSTELLE2)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.3.0/255.255.255.0)

  Connection #3                 192.168.1.0/255.255.255.0:0 <-> 192.168.3.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE2
    Unique Id:                  ipsec-0-AUSSENSTELLE2-pr0-l0-r0
    Flags:                      aggressive-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, FESTE_IP_AUSSENSTELLE2)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.3.0/255.255.255.0)

  Connection #4                 192.168.200.0/255.255.255.0:0 <-> 192.168.2.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-2-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.200.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)

  Connection #5                 192.168.11.0/255.255.255.0:0 <-> 192.168.2.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-1-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)

  Connection #6                 192.168.1.0/255.255.255.0:0 <-> 192.168.2.0/255.255.255.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-0-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.2.0/255.255.255.0)

  Connection #7                 192.168.200.0/255.255.255.0:0 <-> 192.168.0.0/255.255.0.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-5-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.200.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.0.0)

  Connection #8                 192.168.11.0/255.255.255.0:0 <-> 192.168.0.0/255.255.0.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-4-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.0.0)

  Connection #9                 192.168.1.0/255.255.255.0:0 <-> 192.168.0.0/255.255.0.0:0 any

    Name:                       AUSSENSTELLE1
    Unique Id:                  ipsec-3-AUSSENSTELLE1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.1.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, FESTE_IP_ZENTRALE)
    Remote Gateway:             IPV4_ADDR(any:0, IP_AUSSENSTELLE1)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.0.0)

[backslash]

Hi koehne,

die VPN-Regeln passen nicht so ganz zu:

ZENTRALE - Netz 192.168.1.0
Gastwlan - Netz 192.168.98.0
AUSSENSTELLE1 - Netz 192.168.2.0
AUSSENSTELLE2 - Netz 192.168.3.0
Gastwlan - Netz 192.168.99.0

Subnetz überall 255.255.255.0

Die Regeln enthalten lokal noch zwei weitere Netze, nämlich 192.168.200.0 udn 192.168.11.0.
Desweiteren hast du (laut derRegeln) auf die Aussenstelle2 das komplette 192.168.0.0/255.255.0.0-Netz geroutet

Die VPN-Regeln müssen exakt die Netzbeziehungen wiedergeben - und zwar auf beiden Seiten, sonst gibt es die Meldung mit den nicht passendn IDs...
Für nicht übereinstimmemnde Netzbeziehungen werden auch keine SAs aufgebaut und somit ist auch kein Traffic zwischen den Netzen möglich

Gruß
Backslash

[koehne]

Du meinst auf die Außenstelle1 wird das komplette 192.168.0.0 geroutet?
Hm, dass ist noch eine Einstellung von meinem Vorgänger. Da war auch nur Außenstelle1 und die Zentrale vorhanden.
Außenstelle2 habe ich erst vor 4 Monaten eingerichtet, wobei am Anfang die Fehler nicht da waren, zumindest hat es der LANMonitor nicht angezeigt.

Hier die Routingtabellen und Firewallregeln der 3 Router von Zentrale, Außenstelle 1 und 2.

Zentrale 192.168.1.0
Außenstelle1 192.168.2.0
Außenstelle2 192.168.3.0

Für Außenstelle 2 habe ich keine Firewallregeln für die VPN Verbindung angelegt, was ja bis jetzt auch nicht nötig war?!

Ich hoffe ihr helft mir noch ein bisschen?

[koehne]

Keiner einen Tipp?

[Bernie137]

Moin,

also die Routing Tabellen sind meiner Meinung verkorkst, was die Zentrale und Außenstelle 1 anbelangt. Die folgenden Routen beinhalten nämlich auch jeweils das Netzwerk von Außen2 und viele andere. Von daher würde ich folgende Routen entfernen, Angabe ohne Gewähr!

Router Zentrale:
192.168..0.0 MASK 255.255.0.0 -> 0.0.0.0
192.168.2.0 MASK 255.255.0.0 -> Außen1

Router Außen1:
192.168.1.0 MASK 255.255.0.0 -> Zentrale
192.168.0.0 MASK 255.255.0.0 -> Zentrale

Vermutlich müssen dann noch die korrekten Routen für die Netze 192.168.11.0/24, 192.168.200.0/24, 192.168.
99.0/24 einzeln ergänzt werden. Mir ist nur nicht klar, wo sich was befindet, daher schreibe ich keine Empfehlung. Bzgl. den Firewall Rules verstehe ich nicht, was die doppelten Einträge der Netze bedeuten soll (WIZ_VPN-Network-6) und warum auch Netze wie 172.16.0.0 /255.240.0.0 und 10.0.0.0 /255.0.0.0 angegeben ist. Wenn das nicht verwendet wird, würde ich das entfernen und nur notwendige Einträge setzen, nicht pauschal alles.

vg Heiko

[koehne]

Router Zentrale:
192.168..0.0 MASK 255.255.0.0 -> 0.0.0.0
192.168.2.0 MASK 255.255.0.0 -> Außen1

Router Außen1:
192.168.1.0 MASK 255.255.0.0 -> Zentrale
192.168.0.0 MASK 255.255.0.0 -> Zentrale

Werde ich versuchen.

Vermutlich müssen dann noch die korrekten Routen für die Netze 192.168.11.0/24, 192.168.200.0/24, 192.168.
99.0/24 einzeln ergänzt werden. Mir ist nur nicht klar, wo sich was befindet, daher schreibe ich keine Empfehlung. Bzgl. den Firewall Rules verstehe ich nicht, was die doppelten Einträge der Netze bedeuten soll (WIZ_VPN-Network-6) und warum auch Netze wie 172.16.0.0 /255.240.0.0 und 10.0.0.0 /255.0.0.0 angegeben ist. Wenn das nicht verwendet wird, würde ich das entfernen und nur notwendige Einträge setzen, nicht pauschal alles.
vg Heiko

Soweit ich weiß ist die 192.168.11.0 für einen alten virtuellen XP Mode Server von uns. Die 192.168.99.0 ist das Gast_WLAN auf dem Lancomrouter in der Zenrale aber was die 192.168.200.0 ist weiß ich auch nicht. Ich glaube ein "Testnetzwerk".

Das WIZ-VPN wird doch vom Lancom VPN Wizard selber angelegt?

Na hoffentlich verschwinden die Proposal IPSec Fehlermeldungen.

Edit: Mir ist gerade aufgefallen, dass sich die Fehlermeldung von den VPN Verbindungen verändert hat.Diese lautet jetzt in der Zentrale: "Keine Regel für ID's gefunden - unbekannte Verbindung oder fehlerhafte ID (z.B. IP-Netzwerkdefinition) (Responder, IPSec) [0x3201]
In Außenstelle 1 hab ich das Routing geändert und den Fehler gelösch. Jetzt erscheint wieder "Kein übereinstimmendes Proposal gefunden" auf der Verbindung, also wie immer