Lancom 1781VA PPTP S2S VPN zu FortiGate 60C Appliance

[guiy2k]

Hallo @all,

habe mich gerade mit der LANCOM Hotline unterhalten, die mir leider auch nicht weiterhelfen konnte, obwohl der Supporter dort sehr nett und hilfsbereit war.
Nun seit ihr meine letzte Hoffnung:
Mein Problem:
ENV: IP Networks:
Lancom Subnet: 192.168.20.0/24 GW: 192.168.20.1
PPTP Remote Subnet: 192.168.1.0/24 GW: 192.168.1.1
VPN IPs: 192.168.100.10-15 auf der FN Appliance

Ich muss einen Site2Site VPN per PPTP ins Ausland zu unserem Media Provider aufbauen. Leider können die mir keine IPSEC Verbindung anbieten, warum auch immer.
Die Konfiguration ist laut den KB Artikeln und auch laut der Aussage des Supporters richtig. IP Router Subnet 192.168.1.0, keine Maskierung, Routing über Gegenstelle FortiNet-PPTP.
Diese Gegenstelle ist konfigueriert und die Einwahl funktioniert auch.

Wenn ich mich mit SSH mit Putty aus dem 20.0er LAN nun auf den LC Router connecte und dann den Ping ins Remote Netz auf die FN selbst oder ein Server mache, FUNKTIONIERT der Ping und ein Reply kommt ohne Probleme zurück. Auch ein ping -a 192.168.20.1 192.168.1.1 funktioniert, d.h. die GW IP kommt auch auf der FortiNet richtig an.

Das Problem ist aber: Wenn ich aus dem OS (Win7 ENT) raus pinge, dann funktioniert es NICHT. Ich kann machen was ich will, es geht einfach nicht. Das Remote Subnetz wird NICHT auf die Switchports des LC weitergegeben. WTF
Die Traces auf dem LC zeigen mir, das mein Ping durch den VPN Tunnel durchgeht und auch auf der anderen Seite ankommen. Leider kriege ich aber kein Reply zurück.
Der Supporter meinte nun zu mir, es müsste/könnte nun nur noch an der FortiNet Config liegen, was ich mir aber fast nicht vorstellen kann, da folgendes funktioniert:

Ich connecte mich per PPTP Client aus dem OS raus, funktioniert. Alle Server erreichbar.
Ich connecte mich mit einem konfigurierten LinkSys DD-WRT Router. Das Subnetz wird auf die Switchports weitergegeben. Alle Server erreichbar.

Leider geht es aber nicht mit dem 600 Euro teuren LANCOM Router! Da frage ich mich echt, WTF ist das los?

Könnt ihr mir da vlt. helfen? Hatte einer schon mal das gleiche Problem? Please help.. ich weiß nicht mehr weiter... ich habe schon ein paar LC Infrastrukturen gebaut, aber so was ist mir noch nicht untergekommen.....THX.

Alle Routing / Firewall Settings die ich eingestellt und auch mal ein wenig "probiert" habe, funktionieren nicht. Auch das Abschalten der FW bringt kein Erfolg. Der Supporte meinte, es kann kein Bug im LC sein, da PPTP schon seit jeher implemetiert war und "eigentlich sauber funktioniert"....

[backslash]

Hi guiy2k

Die Traces auf dem LC zeigen mir, das mein Ping durch den VPN Tunnel durchgeht und auch auf der anderen Seite ankommen. Leider kriege ich aber kein Reply zurück.
Der Supporter meinte nun zu mir, es müsste/könnte nun nur noch an der FortiNet Config liegen, was ich mir aber fast nicht vorstellen kann, da folgendes funktioniert:

doch, es kann nur an der FortiNet-Config liegen, denn das Ping geht ja raus und es kommt nichts zurück.

Ich connecte mich per PPTP Client aus dem OS raus, funktioniert. Alle Server erreichbar.

das ist schon ein großer Unterschied zu deiner Verbindung mit dem LANCOM, denn du hast ja geschrieben:

keine Maskierung

Da du vom LANCOM aus pingen kannst, nicht aber aus deinem Netz, kannst du davon ausgehen, daß die FortiNet nur die eine Adresse zu dir routet. Wenn du die Maskierung einschaltest wird es vermutlich funktionieren.

Ich connecte mich mit einem konfigurierten LinkSys DD-WRT Router. Das Subnetz wird auf die Switchports weitergegeben. Alle Server erreichbar.

da wäre sicherlich interressant, wie der Linksys konfiguriuert ist (ich vermute mal, daß er auch maskiert...)

Leider geht es aber nicht mit dem 600 Euro teuren LANCOM Router! Da frage ich mich echt, WTF ist das los?

ein Layer 8 Problem darf man nicht auf die Hardware abwelzen

Gruß
Backslash

[guiy2k]

Hi BackSlash,

danke für deine Mühe. Ich kenne deinen Namen bereits aus vielen Forumseinträgen hier....
Danke das du mir helfen möchtest.
Die Maskierung werden ich einschalten und dann erneut testen, ob ich damit ein Connect bekomme. Die Maskierung auf beiden Seiten, d.h. Lancom und FN?
Der DD-WRT ist Standard konfiguriert.. also mit PPTP Client Option für die S2S Verbindung.
Und folgendes habe ich einfach mit dem DD-WRT umgesetzt:
http://www.strongvpn.com/dd-wrtfirewall.shtml
Außer das Standard GW, das ist geblieben wie es war, damit nur der VPN Tunnel für das Remote Subnet genutzt wird, und nicht für jeglichen Traffic der Verbindung.

Aber wie du schon schreibst, es wird genattet: Das FW-Script beinhaltet Source NAT und Dest. NAT Einträge: iptables -t nat -I POSTROUTING -o ppp0 -j SNAT --to-source \$dynvpnip
iptables -t nat -A PREROUTING -p tcp -i ppp0 -d \$dynvpnip --dport \`echo \$i|cut -d : -f 4|cut -d \> -f 1\` -j DNAT --to \`echo \$i|cut -d \> -f 2\`"

Danke, das du meine Unwissenheit als "Layer 8" Problem beschreibst, aber darum frage ich ja hier im Forum. Wenn ich es selbst wüsste, bräuchte ich in keinem Forum um Hilfe zu bitten... Aber Layer 8 Problem kannte ich "so" noch nicht... ein guter Ausdruck dafür....

[guiy2k]

Hi,

dein Tip mit den NAT war Gold wert. Ich habe habe nun NAT auf dem LC Router aktiviert und schwups, schon kann ich in mein Remote Subnet pingen und auch auf die Server bzw die FN zugreifen. Wunderbar! Danke für deine Hilfe

Jetzt wo du NAT Problem geschrieben hast, habe ich per "Layer 8" mal ganz genau drüber nachgedacht und mir die iptables auf dem DD-WRT nochmals angeschaut.. und siehe da...NAT enable und schon gehts... ))