R800+ Zwei Netzwerke miteinander verbinden Howto

DE-Rocket · Beitrag von **DE-Rocket** » 25 Sep 2010, 14:12

Hallo Forum,

Wie Ihr wahrscheinlich bald bemerken werdet bin ich ein Einsteiger in sachen VPN und auch Forum.

Zu meinem derzeitigen Problem:
Ich bin seit ca. 2 Wochen (nicht durchgehend) daran erfolglos beschäftigt 2-Lancom R800+ und deren dahinter hängende LAN´s miteinander Kommunizieren zu lassen! Auch wenn man meinen sollte es gäbe nicht schon genug Beiträge in diesem und auch anderen Foren, halfen diese mir allen leider nicht weiter!

Konfiguration der Netze und Router:

Hauptstandort mit kleinem Server

Internetverbindung über R800+ (Bez.: S.Berg) mit Dyn IP via Kabel-BW 50

DHCP over Ethernet ->OK<_

IP.4
IP-Netz der Verwaltungs PC´S 192.168.0.X
IP-Netz der Mitarbeiter PC´s 192.168.1.X
Server auf 192.168.0.x mit 255.255.254.0 um mit beide Netzen zu Kommunizieren.

Router IP 192.168.0.222 S.Berg

-------------------------------------------------

Gegenstelle: Ohne Server mit fester IP

Es musste wegen der hohen Dämpfung und Leitungsstörung ein DSL-Modem vor dem Router gepackt werden, da der Router-Modem-Chipset wohl nicht der beste ist: DSL-Modem ist ein Speedport
Internetverbindung: Steht, T-Online Business 16 MBit
Router auch R800+ (Bez.: S.Blic-R800+)

IP.4
IP-Netz der Verwaltungs PC´S 192.168.0.X
IP-Netz der Mitarbeiter PC´s 192.168.1.X

Problem:

Die Gegenstelle meldet dich zwar mit der aktuellen dynamischen IP an, aber das wars auch schon!

Terace bei Haupstelle mit DYN IP

Code: Alles auswählen

set poll timer to 5000 ms

[VPN-Status] 2010/09/24 20:15:51,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:15:51,970
set poll timer to 30000 ms

[VPN-Status] 2010/09/24 20:16:21,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:21,970

set poll timer to 5000 ms

[VPN-Status] 2010/09/24 20:16:26,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
setting poll time to 1000 ms. 
(5 retries left)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:26,970

set poll timer to 1000 ms

[VPN-Status] 2010/09/24 20:16:27,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
(4 retries left)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:27,970

set poll timer to 1000 ms

[VPN-Status] 2010/09/24 20:16:28,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
(3 retries left)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:28,970

set poll timer to 1000 ms

[VPN-Status] 2010/09/24 20:16:29,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
(2 retries left)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:29,970

set poll timer to 1000 ms

[VPN-Status] 2010/09/24 20:16:30,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
(1 retries left)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:30,970

set poll timer to 1000 ms

[VPN-Status] 2010/09/24 20:16:31,970
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
remote site did not answer during interval
no retries left, disconnect channel

[VPN-Status] 2010/09/24 20:16:31,990
VPN: Error: IFC-X-Line-polling-failed (0x1307) for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:31,990
VPN: disconnecting S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:31,990
VPN: Error: IFC-X-Line-polling-failed (0x1307) for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:32,020
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-0-S.BLIC-R800+-pr0-l0-r0 to peer S.BLIC-R800+, spi [0x0a9d721f]

[VPN-Status] 2010/09/24 20:16:32,020
IKE info: Phase-2 SA removed: peer S.BLIC-R800+ rule ipsec-0-S.BLIC-R800+-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [416e50eb  ] [0a9d721f  ]

[VPN-Status] 2010/09/24 20:16:32,020
IKE info: Delete Notificaton sent for Phase-1 SA to peer S.BLIC-R800+

[VPN-Status] 2010/09/24 20:16:32,020
IKE info: Phase-1 SA removed: peer S.BLIC-R800+ rule S.BLIC-R800+ removed

[VPN-Status] 2010/09/24 20:16:32,040
VPN: S.BLIC-R800+ (217.x.x.x)  disconnected

[VPN-Status] 2010/09/24 20:16:32,070
IKE log: 201632.000000 Default message_recv: invalid cookie(s) 80daef6d289ca2d7 586b754ba665f448

[VPN-Status] 2010/09/24 20:16:32,070
IKE log: 201632.000000 Default dropped message from 217.92.38.102 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2010/09/24 20:16:32,070
IKE info: dropped message from peer unknown 217.92.38.102 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2010/09/24 20:16:32,070
IKE log: 201632.000000 Default message_recv: invalid cookie(s) 80daef6d289ca2d7 586b754ba665f448

[VPN-Status] 2010/09/24 20:16:32,070
IKE log: 201632.000000 Default dropped message from 217.92.38.102 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2010/09/24 20:16:32,070
IKE info: dropped message from peer unknown 217.92.38.102 port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2010/09/24 20:16:32,070
selecting next remote gateway using strategy eFirst for S.BLIC-R800+
     => no remote gateway selected

[VPN-Status] 2010/09/24 20:16:32,070
selecting first remote gateway using strategy eFirst for S.BLIC-R800+
     => CurrIdx=0, IpStr=>217.92.38.102<, IpAddr=217.92.38.102, IpTtl=0s

[VPN-Status] 2010/09/24 20:16:32,070
VPN: installing ruleset for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:32,090
VPN: S.BLIC-R800+ (217.x.x.x)  disconnected

[VPN-Status] 2010/09/24 20:16:32,100
VPN: rulesets installed

[VPN-Status] 2010/09/24 20:16:33,070
VPN: connecting to S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:33,090
VPN: start dynamic VPN negotiation for S.BLIC-R800+ (217.x.x.x) via ICMP/UDP

[VPN-Status] 2010/09/24 20:16:33,090
VPN: create dynamic VPN V2 authentication packet for S.BLIC-R800+ (217.x.x.x)
     DNS: 192.180.0.222, 0.0.0.0
     NBNS: 192.180.0.222, 0.0.0.0
     polling address: 192.180.0.222

[VPN-Status] 2010/09/24 20:16:33,160
VPN: received dynamic VPN V2 authentication packet from S.BLIC-R800+ (217.92.38.102.)
     DNS: 192.168.1.221, 0.0.0.0
     NBNS: 192.168.1.221, 0.0.0.0

[VPN-Status] 2010/09/24 20:16:33,160
VPN: installing ruleset for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:33,170
VPN: ruleset installed for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:33,170
VPN: create dynamic VPN V2 authentication packet for S.BLIC-R800+ (217.x.x.x)
     DNS: 192.180.0.222, 0.0.0.0
     NBNS: 192.180.0.222, 0.0.0.0
     polling address: 192.180.0.222

[VPN-Status] 2010/09/24 20:16:33,170
VPN: start IKE negotiation for S.BLIC-R800+ (217.x.x.x)

[VPN-Status] 2010/09/24 20:16:33,170
IKE info: Phase-1 negotiation started for peer S.BLIC-R800+ rule isakmp-peer-S.BLIC-R800+ using MAIN mode

[VPN-Status] 2010/09/24 20:16:33,200
VPN: rulesets installed

[VPN-Status] 2010/09/24 20:16:33,230
IKE info: The remote server 217.92.38.102:500 (UDP) peer S.BLIC-R800+ id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 217.92.38.102:500 (UDP) peer S.BLIC-R800+ id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2010/09/24 20:16:33,230
IKE info: Phase-1 remote proposal 1 for peer S.BLIC-R800+ matched with local proposal 1

[VPN-Status] 2010/09/24 20:16:33,470
IKE info: Phase-1 [inititiator] for peer S.BLIC-R800+ between initiator id  78.42.255.123, responder id  217.92.38.102 done
IKE info: SA ISAKMP for peer S.BLIC-R800+ encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)

[VPN-Status] 2010/09/24 20:16:33,470
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer S.BLIC-R800+ set to 86400 seconds (Initiator)

[VPN-Status] 2010/09/24 20:16:33,470
IKE info: Phase-1 SA Timeout (Hard-Event) for peer S.BLIC-R800+ set to 108000 seconds (Initiator)

[VPN-Status] 2010/09/24 20:16:33,700
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer S.BLIC-R800+ set to 1600 seconds (Initiator)

[VPN-Status] 2010/09/24 20:16:33,700
IKE info: Phase-2 SA Timeout (Hard-Event) for peer S.BLIC-R800+ set to 2000 seconds (Initiator)

[VPN-Status] 2010/09/24 20:16:33,700
IKE info: Phase-2 [inititiator] done with 2 SAS for peer S.BLIC-R800+ rule ipsec-0-S.BLIC-R800+-pr0-l0-r0
IKE info: rule:' ipsec 192.180.0.0/255.255.0.0 <-> 192.170.0.0/255.255.0.0 '
IKE info: SA ESP [0x674c08f8]  alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x1a53837c]  alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1600 sec/160000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 78.42.255.123 dst: 217.92.38.102  

[VPN-Status] 2010/09/24 20:16:34,700
VPN: S.BLIC-R800+ (217.x.x.x) connected

[VPN-Status] 2010/09/24 20:16:34,700

set poll timer to 5000 ms

[VPN-Status] 2010/09/24 20:16:39,700
VPN: poll timeout for S.BLIC-R800+ (217.x.x.x)
send poll frame to 217.92.38.102

[VPN-Status] 2010/09/24 20:16:39,700

set poll timer to 30000 ms[TraceStopped] 2010/09/24 20:17:08,000
Used config:
# Trace config 
trace + VPN-Status

--------------------------------------------
Gegenstelle mit Fester IP

Code: Alles auswählen

[VPN-Status] 2010/09/24 20:06:19,828  Devicetime: 2010/09/24 20:06:18,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:19,828  Devicetime: 2010/09/24 20:06:18,960

set poll timer to 30000 ms
[VPN-Status] 2010/09/24 20:06:49,828  Devicetime: 2010/09/24 20:06:48,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:49,828  Devicetime: 2010/09/24 20:06:48,960

set poll timer to 5000 ms
[VPN-Status] 2010/09/24 20:06:54,828  Devicetime: 2010/09/24 20:06:53,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
setting poll time to 1000 ms. 
(5 retries left)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:54,828  Devicetime: 2010/09/24 20:06:53,960

set poll timer to 1000 ms
[VPN-Status] 2010/09/24 20:06:55,828  Devicetime: 2010/09/24 20:06:54,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
(4 retries left)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:55,828  Devicetime: 2010/09/24 20:06:54,960

set poll timer to 1000 ms
[VPN-Status] 2010/09/24 20:06:56,828  Devicetime: 2010/09/24 20:06:55,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
(3 retries left)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:56,828  Devicetime: 2010/09/24 20:06:55,960

set poll timer to 1000 ms
[VPN-Status] 2010/09/24 20:06:57,828  Devicetime: 2010/09/24 20:06:56,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
(2 retries left)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:57,828  Devicetime: 2010/09/24 20:06:56,960

set poll timer to 1000 ms
[VPN-Status] 2010/09/24 20:06:58,828  Devicetime: 2010/09/24 20:06:57,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
(1 retries left)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:06:58,828  Devicetime: 2010/09/24 20:06:57,960

set poll timer to 1000 ms
[VPN-Status] 2010/09/24 20:06:59,875  Devicetime: 2010/09/24 20:06:58,960
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
remote site did not answer during interval
no retries left, disconnect channel
[VPN-Status] 2010/09/24 20:06:59,875  Devicetime: 2010/09/24 20:06:58,980
VPN: Error: IFC-X-Line-polling-failed (0x1307) for S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:58,980
VPN: disconnecting S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:58,980
VPN: Error: IFC-X-Line-polling-failed (0x1307) for S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,010
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-2-S.BERG-R800+-pr0-l0-r0 to peer S.BERG-R800+, spi [0x337e672a]
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,010
IKE info: Phase-2 SA removed: peer S.BERG-R800+ rule ipsec-2-S.BERG-R800+-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [100624bf  ] [337e672a  ]
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,010
IKE info: Delete Notificaton sent for Phase-1 SA to peer S.BERG-R800+
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,010
IKE info: Phase-1 SA removed: peer S.BERG-R800+ rule S.BERG-R800+ removed
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,030
VPN: S.BERG-R800+ (78.42.255.123)  disconnected
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
IKE log: 200659.000000 Default message_recv: invalid cookie(s) 8714b514b7e40ddf 8a783e7007385a6e
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
IKE log: 200659.000000 Default dropped message from 78.42.255.123 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
IKE info: dropped message from peer unknown 78.42.255.123 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
selecting next remote gateway using strategy eFirst for S.BERG-R800+
     => no remote gateway selected
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
selecting first remote gateway using strategy eFirst for S.BERG-R800+
     => no remote gateway selected
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,060
VPN: installing ruleset for S.BERG-R800+ (0.0.0.0)
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,080
VPN: S.BERG-R800+ (0.0.0.0)  disconnected
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,080
IKE log: 200659.000000 Default message_recv: invalid cookie(s) 8714b514b7e40ddf 8a783e7007385a6e
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,080
IKE log: 200659.000000 Default dropped message from 78.42.255.123 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,080
IKE info: dropped message from peer unknown 78.42.255.123 port 500 due to notification type INVALID_COOKIE
[VPN-Status] 2010/09/24 20:06:59,968  Devicetime: 2010/09/24 20:06:59,100
VPN: rulesets installed
[VPN-Status] 2010/09/24 20:07:01,000  Devicetime: 2010/09/24 20:07:00,100
VPN: received dynamic VPN V2 authentication packet from S.BERG-R800+ (78.42.255.123.)
     DNS: 192.180.0.222, 0.0.0.0
     NBNS: 192.180.0.222, 0.0.0.0
     polling address: 192.180.0.222
[VPN-Status] 2010/09/24 20:07:01,000  Devicetime: 2010/09/24 20:07:00,100
VPN: installing ruleset for S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,120
VPN: ruleset installed for S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,120
VPN: start dynamic VPN negotiation for S.BERG-R800+ (78.42.255.123) via ICMP/UDP
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,120
VPN: create dynamic VPN V2 authentication packet for S.BERG-R800+ (78.42.255.123)
     DNS: 192.168.1.221, 0.0.0.0
     NBNS: 192.168.1.221, 0.0.0.0
     polling address: 192.168.1.221
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,120
VPN: wait for IKE negotiation from S.BERG-R800+ (78.42.255.123)
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,140
VPN: rulesets installed
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,210
VPN: received dynamic VPN V2 authentication packet from S.BERG-R800+ (78.42.255.123.)
     DNS: 192.180.0.222, 0.0.0.0
     NBNS: 192.180.0.222, 0.0.0.0
     polling address: 192.180.0.222
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,210
IKE info: The remote server 78.42.255.123:500 (UDP) peer S.BERG-R800+ id <no_id> is Enigmatec IPSEC version 1.5.1
IKE info: The remote server 78.42.255.123:500 (UDP) peer S.BERG-R800+ id <no_id> negotiated rfc-3706-dead-peer-detection
[VPN-Status] 2010/09/24 20:07:01,250  Devicetime: 2010/09/24 20:07:00,210
IKE info: Phase-1 remote proposal 1 for peer S.BERG-R800+ matched with local proposal 1
[VPN-Status] 2010/09/24 20:07:01,562  Devicetime: 2010/09/24 20:07:00,450
IKE info: Phase-1 [responder] for peer S.BERG-R800+ between initiator id  78.42.255.123, responder id  217.92.38.102 done
IKE info: SA ISAKMP for peer S.BERG-R800+ encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)
[VPN-Status] 2010/09/24 20:07:01,562  Devicetime: 2010/09/24 20:07:00,450
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer S.BERG-R800+ set to 97200 seconds (Responder)
[VPN-Status] 2010/09/24 20:07:01,562  Devicetime: 2010/09/24 20:07:00,450
IKE info: Phase-1 SA Timeout (Hard-Event) for peer S.BERG-R800+ set to 108000 seconds (Responder)
[VPN-Status] 2010/09/24 20:07:01,562  Devicetime: 2010/09/24 20:07:00,490
IKE info: Phase-2 remote proposal 1 for peer S.BERG-R800+ matched with local proposal 1
[VPN-Status] 2010/09/24 20:07:01,890  Devicetime: 2010/09/24 20:07:00,680
IKE info: Phase-2 SA Rekeying Timeout (Soft-Event) for peer S.BERG-R800+ set to 1800 seconds (Responder)
[VPN-Status] 2010/09/24 20:07:01,890  Devicetime: 2010/09/24 20:07:00,680
IKE info: Phase-2 SA Timeout (Hard-Event) for peer S.BERG-R800+ set to 2000 seconds (Responder)
[VPN-Status] 2010/09/24 20:07:01,890  Devicetime: 2010/09/24 20:07:00,680
IKE info: Phase-2 [responder] done with 2 SAS for peer S.BERG-R800+ rule ipsec-2-S.BERG-R800+-pr0-l0-r0
IKE info: rule:' ipsec 192.170.0.0/255.255.0.0 <-> 192.180.0.0/255.255.0.0 '
IKE info: SA ESP [0x5f550130]  alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x6170bbb1]  alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 1800 sec/180000 kb) hard (2000 sec/200000 kb)
IKE info: tunnel between src: 217.92.38.102 dst: 78.42.255.123  
[VPN-Status] 2010/09/24 20:07:02,578  Devicetime: 2010/09/24 20:07:01,690
VPN: S.BERG-R800+ (78.42.255.123) connected
[VPN-Status] 2010/09/24 20:07:02,578  Devicetime: 2010/09/24 20:07:01,690

set poll timer to 5000 ms
[VPN-Status] 2010/09/24 20:07:07,562  Devicetime: 2010/09/24 20:07:06,690
VPN: poll timeout for S.BERG-R800+ (78.42.255.123)
send poll frame to 192.180.0.222
[VPN-Status] 2010/09/24 20:07:07,562  Devicetime: 2010/09/24 20:07:06,690

set poll timer to 30000 ms
[TraceStopped] 2010/09/24 20:07:36,796
Used config:
# Trace config
trace + VPN-Status

Worin könnte noch der Fehler liegen?

(ähnliche Konfiguration nach einer Anleitung von @Backslash) aus einem anderen Forum

Nun weiß ich nicht, ob ich den Quell Link Angeben darf ( für die Konfiguration) oder nicht, da in den Forumregel ja steht, dass keine externen Links verwendet werden sollen, jedoch soll die Quelle immer angegeben werden! Zwickmühle!(':roll:')

Um eure Hilfe währe ich sehr dankbar!

MfG
DE-Rocket

Anmerkung:

Es gibt etliche verschiedene Anleitungen in etlichen Foren die das Verbinden dieser Netze beschreiben sollen, von denen ich schon etliche ausprobiert habe: Kinderspiel? NaJa, da manches widersprüchlich ist. Die einen schreiben man brauche N:N Mapping um IP Kollisionen zu vermeiden (Wozu? ich vergebe IP´s doch eh nicht doppelt!), anders sagen es muss was in der Polling-Tabelle stehen usw.

ft2002 · Beitrag von **ft2002** » 25 Sep 2010, 19:59

Hallo DE-Rocket, (Neuling in Fragen VPN)

Du musst endweder an beiden Standorten andere Netze haben oder N:N-Mapping machen.

Dies ist erforderlich da die Netze an den beiden Standorten mit bei der SA Aushandlung herangezogen werden.

Es ist ja auch ein Problem für den Router wenn auf zwei Standorten die gleichen Netze hängen... Soll ich das Packet in den Tunnel schicken oder soll ich nicht ....

Wenn Du es regeln kannst dann mach kein N:N-Maping da die Netze an den Standorten dann 192.168.0.x heisen aber wenn der andere Standort erreicht werden soll muß dann obwohl 192.168.0.x liegt 192.168.1.x eingetragen werden....

Siehst Du hier

http://www2.lancom.de/kb.nsf/1275/4669F ... enDocument

Viel Spaß noch

DE-Rocket · Beitrag von **DE-Rocket** » 26 Sep 2010, 09:23

Hallo @ft2002,

Danke für deine schnelle Antwort:

@ft2002
Du musst endweder an beiden Standorten andere Netze haben oder N:N-Mapping machen.

ja das mit N:N Mapping hab ich in den Routern bereits drinnen, siehst du wenn du den Trace öffnest

Hauptstelle: (192.168.0.x)
Trace

[

Code: Alles auswählen

VPN-Status] 2010/09/24 20:16:33,700 
IKE info: Phase-2 [inititiator] done with 2 SAS for peer S.BLIC-R800+ rule ipsec-0-S.BLIC-R800+-pr0-l0-r0 
IKE info: rule:' ipsec 192.180.0.0/255.255.0.0 <-> 192.170.0.0/255.255.0.0 '

-----------------------

Gegenstelle (192.168.1.x)

[

Code: Alles auswählen

VPN-Status] 2010/09/24 20:06:19,828  Devicetime: 2010/09/24 20:06:18,960 
VPN: poll timeout for S.BERG-R800+ (78.42.255.123) 
send poll frame to 192.180.0.222 
[VPN-Status] 2010/09/24 20:06:19,828  Devicetime: 2010/09/24 20:06:18,960

Konfiguration wie folgt:

Quelle: router-forum.de
-------------

Code: Alles auswählen

Hi celltel

Zitat:
Habe einen 1610 der über dyndns erreichbar ist und die gegenseite ist Dynamisch. 

1610 mit fester IP 
1610 mit dynamischer IP 

beide sollen ein Netzwerk werden


Wie bereits gesagt, das sollte problemlos gehen, wobei natürlich nur das 1610, mit der dynamischen Adresse die Verbindung aufbauen kann (woher soll der 1610 mit der festen Adresse auch die dynamisch Adresse des anderen 1610 kennen).

So wie ich das bisher verstanden habe hast Du auf beiden Seiten das Netz 10.0.x.x. Wie Gaaaz schon schrieb, mußt Du für dieses Szenario mittels des N:N-Mappings beide Seiten adressmäßig verschieben.

Nehmen wir an, das Gerät mit der festen IP-Adresse habe den Namen ZENTRALE und das mit der dynamischen den Namen FILIALE.
Die ZENTRALE sei unter der Adresse zentrale.celltel.dyndns.org erreichbar

Dann trägst Du zunächst in der N:N-Mapping-Tabelle (im LANconfig unter IP-Router -> N:N-Mapping -> N:N-Tabelle) folgendes ein:

In der ZENTRALE:

Gegenstelle: FILIALE
Quell-IP: 10.0.0.0
Netzmaske 255.255.0.0
Umgesetzte IP: 10.1.0.0

und entsprechend in der FILIALE:

Gegenstelle: ZENTRALE
Quell-IP: 10.0.0.0
Netzmaske 255.255.0.0
Umgesetzte IP: 10.2.0.0


Das bedeutet, daß die Rechner der FILIALE in der ZENTRALE im Netz 10.2.x.x und umgekehrt die Rechner der ZENTRALE in der FILIALE im Netz 10.1.x.x erreichber sind. Diese Netze müssen wir uns jetzt merken, da wir sie später im Wizard eingeben müssen.

############################################

Als erstes starten wir den Wizard in der ZENTRALE:

Dort ist auf der ersten Seite der Punkt "Meine eigene IP-Adresse ist fest oder DNS-auflösber, die der Gegenseite ist dynamisch" auszuwählen

Auf der nächsten Seite wird als eigener Bezeichner ZENTRALE und eine Seite weiter als Gegenstelle FILIALE eingetragen. Diese Bezeichner nind wichtig und müssen nachher in der FILIALE in vertauschter Reihenfolge eingegeben werden, da sie in der dynamic-VPN Authentifizierung als "Usernamen" verwendet werden

Auf der nächsten Seite wird daß Paßwort für die Authentifizierungsphase in der die dynamische Adresse des "Anrufers" verifiziert wird und das Shared-Secret für die IPSec-Verhandlung abgefragt. Diese beiden sollten sich aus Sicherheitsgründen tunlichst unterscheiden. Später werden diese wieder im Wizard der FILIALE gebraucht, also "merken"

Als Haltezeit wird ein beliebiger Wert ungleich 9999 eingetragen, da die ZENTRALE niemals die Verbindung aufbauen kann. Am sinnvollsten ist es hier eine Haltezeit von 0 (Vorgabe) einzutragen und dies in der FILIALE zu steuern 

Auf der nächsten Seite wird als entferntes Netz das umgesetzte Netz der FILIALE, also 10.2.0.0 mit einer Netzmaske 255.255.0.0 eingetragen. 

Bei der DNS-Weiterleitung wird z.b. *.filiale eingetragen. Damit sind alle Rechner in der FILIALE unter Rechnername.filiale zu erreichen (solange die eigene Domain der Filiale auch "filiale" ist...). Solllen DNS-Anfragen nicht weitergeleitet werden, ist das Feld zu löschen.

Die nächste Seite wird übrsprungen und auf der darauf folgenden kannst Du noch eintragen ob NetBIOS auf der Strecke verwendet werden darf oder nicht. 

Nach "Fertigstellen" des Wizards ins die Konfiguration der ZENTRALE abgeschlossen.

############################################

Nun machen wir das gleiche noch in der FILIALE:

Dort ist auf der ersten Seite der Punkt "Die IP-Adresse der Gegenseite ist fest oder DNS-auflösber, meine eigene ist dynamisch" auszuwählen

Auf der nächsten Seite wird als eigener Bezeichner FILIALE und eine Seite weiter als Gegenstelle ZENTRALE eingetragen.

Auf der nächsten Seite wird daß Paßwort für die Authentifizierungsphase und das Shared Secret einzutragen. Hier sind die gleichen Werte zu nehmen wie in der ZENTRALE.

Als Haltezeit wird nun ein beliebiger Wert eingegeben. Dieser kann auch 9999 sein um die Verbindung nach einer Trennung automatisch wieder aufzubauen. Wenn Du dies willst, dann mußt Du auch noch einen Eintrag in der Polling-Tabelle (Kommunikation -> Gegenstellen -> Polling-Tabelle) aufnehmen. Als Gegenstelle ist dann ZENTRALE auszuwählen und als Adresse die (umgesetzte) Adresse des 1610 in der Zentrale, also z.B. 10.1.0.1 (wenn das 1610 in seinem LAN die Adresse 10.0.0.1 hat)

Auf der nächsten Seite wird als erstes nach der Adresse des entfernten Gateways gefragt. Hier ist die DynDNS-Adresse der Zentrale einzutragen. In diesem Beispiel also zentrale.celltel.dyndns.org 

Als entferntes Netz ist hier nun das umgesetzte Netz der ZENTRALE, also 10.1.0.0 mit einer Netzmaske 255.255.0.0 einzutragen. 

Bei der DNS-Weiterleitung wird z.b. *.zentrale eingetragen. Damit sind alle Rechner in der ZENTRALE unter Rechnername.zentrale zu erreichen (solange die eigene Domain der Zentrale auch "zentrale" ist...). Solllen DNS-Anfragem nicht weitergeleitet werden, ist das Feld zu löschen. Vor allen Dingen darf hier nicht "*." stehen, da sonst alle DNS-Anfragen (auch die zur Auflösung des entfernten Gateways nötige) über die VPN-Strecke weitergeleitet werden.

Die nächste Seite wird übrsprungen und auf der darauf folgenden kannst Du noch eintragen ob NetBIOS auf der Strecke verwendet werden darf oder nicht. 

Nach "Fertigstellen" des Wizards ist nun auch die Konfiguration der FILIALE abgeschlossen.

############################################

Nun solltest Du von der Filiale aus einen beliebigen Rechner der Zentrale unter seiner umgesetzten Adresse (also 10.1.x.x) anpingen können. Ggf. gehst Du dabei noch per Telnet auf beide Geräte und startest dort den VPN-Status-Trace (trace + vpn-status). Dort kannst Du die Verhandlung überwachen. 

fertig...

Gruß
Backslash

-------------
Ich habe nur die IP´s angepasst sowohl bei N:N Mapping, die IP Area´s als auch die feste IP anstatt die DynDNS (wie im Beispiel: zentrale.celltel.dyndns.org)

Das Problem dass die Verbindung leider noch immer nicht steht ist leider noch vorhanden.

Der Router mit der dynamischen IP "funkt" ja den mit der festen an wie man auch im Trace sehen kann, nur weiter passiert nichts!??

Für Vorschläge bin ich sehr dankbar.

MfG
DE-Rocket

ft2002 · Beitrag von **ft2002** » 26 Sep 2010, 11:14

Hallo DE-Rocket,

also mit dem Trace

Code: Alles auswählen

IKE info: rule:' ipsec 192.180.0.0/255.255.0.0 <-> 192.170.0.0/255.255.0.0

was ist das ich denke Du hast 192.168.0.0 und 192.168.1.0

Fangen wir mal von vorn an !

Wie hast Du den VPN Tunnel Eingerichtet per Wizard ?

Kannst Du die Einstellungen mal Posten .

Eigendlich ist es ganz einfach

, ja ich weiss !! Mann muß nur ein paar sachen beachten.

1. Es muss ein eindeutiges Routing für den Router möglich sein !
Deswegen N:N-Mapping oder verschieden IP-Kreise an den Standorten
2. Für jede Nezbeziehung muss ein Paar SA ausgehandelt werden bei zwei Netzen auf jeder Seite sind das 4 SA oder 2 Paar SA (je Senden/Empfangen)
Ist zu kontrollieren mit Telnet gleich nach der Passworteingabe show vpn muss je Gegenstelle gleich sein
3. Es muß ein Routingeintrag auf den Tunnel zum entfernten Netz verweisen

So nun zu Deinem Szenario:

Du hast je Standort zwei Netze und zwar je das

192.168.0.0/24
192.168.1.0/24

Nennen wir es mal Zentrale und Filiale und schauen auf die N:N-Mapping Einträge

Zentrale: (die VPN-Gegenstelle heist Filiale)

Gegenstelle /Quell-IP /Mask /Umgesetzte IP
Filliale 192.168.0.0 255.255.255.0 192.168.10.0
Filliale 192.168.1.0 255.255.255.0 192.168.11.0

Filiale: (die VPN-Gegenstelle heist Zentrale)

Gegenstelle /Quell-IP /Mask /Umgesetzte IP
Zentrale 192.168.0.0 255.255.255.0 192.168.20.0
Zentrale 192.168.1.0 255.255.255.0 192.168.21.0

bedeutet Du gibst in der Filiale die 192.168.10.222 ein um den Router in der Zentrale zu erreichen !

Für den Router in der Zentrale bedeutet der Eintrag in der Filiale das dort das 192.168.20.0 Netz hängt er hat keine Ahnung das er verarscht wird vom Filial Router und umgekehrt genauso.
Dies musst Du Dir immer vor Augen halten wenn Du jetz an die Routing Einträge gehst und an die Einträge für die SA Aushandlung .

Du richtest den Tunnel immer von dem Aspekt aus ein als hättest Du verschieden Netze und zwar die im N:N-Mapping eingetragen sind.

Hab ich mich verständlich ausgedrückt , sonst melde Dich.

Viel Spaß auch noch ....

Edit:
Im Grunde läuft das Paket aus dem Zentralen Router an die Filiale mit dem Ziel 192.168.20.222 kommt am Filial-Router an und wird von 192.168.20.222 gewandelt in 192.168.0.222 und erreicht das Ziel, die Antwort wird als 192.168.0.222 verschickt im Router per Mapping gewandelt in 192.168.20.222 und läuft weiter in die Zentrale und alles ist gut !

DE-Rocket · Beitrag von **DE-Rocket** » 29 Sep 2010, 12:32

Hallo ft2002,

sorry erstmal für das späte feedback, ist grad n´haufen Arbeit im Moment.

Dank deiner Hilfe, steht zumindest schon mal die VPN Verbindung fehlerfrei (zumindest bis zum "Router")

die Pings gehen von beiden Seiten durch bis zu den entsp. Routern weiter aber nicht.

Also die Arbeitsstationen lassen sich nicht anpingen.
In anderen Beiträgen stand was von Firewall Konfigurieren ... hab diese mal auf beiden Seiten ausgeschaltet und versucht, leider auch erfolglos.

Zu den Fragen von dir:

1.
Ja, ich hab per Wizard alles Konfiguriert

2. Textausgabe Show VPN

Zentrale:

Code: Alles auswählen

> show vpn

VPN SPD and IKE configuration:

  # of connections = 4

  Connection #1                 192.168.20.0/255.255.255.0:0 <-> 192.168.11.0/25
5.255.255.0:0 any

    Name:                       S.BERG-R800+
    Unique Id:                  ipsec-1-S.BERG-R800+-pr0-l1-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.20.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0,  #Feste IP#) 
    Remote Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255
.0)

  Connection #2                 192.168.21.0/255.255.255.0:0 <-> 192.168.11.0/25
5.255.255.0:0 any

    Name:                       S.BERG-R800+
    Unique Id:                  ipsec-1-S.BERG-R800+-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.21.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, .#feste - IP#)
    Remote Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255
.0)

  Connection #3                 192.168.20.0/255.255.255.0:0 <-> 192.168.10.0/25
5.255.255.0:0 any

    Name:                       S.BERG-R800+
    Unique Id:                  ipsec-0-S.BERG-R800+-pr0-l1-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.20.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255
.0)

  Connection #4                 192.168.21.0/255.255.255.0:0 <-> 192.168.10.0/25
5.255.255.0:0 any

    Name:                       S.BERG-R800+
    Unique Id:                  ipsec-0-S.BERG-R800+-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.21.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255

Filiale:

Code: Alles auswählen

> show vpn

VPN SPD and IKE configuration:

  # of connections = 4

  Connection #1                 192.168.10.0/255.255.255.0:0 <-> 192.168.21.0/25
5.255.255.0:0 any

    Name:                       S.BLIC-R800+
    Unique Id:                  ipsec-1-S.BLIC-R800+-pr0-l1-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.21.0/255.255.255
.0)

  Connection #2                 192.168.11.0/255.255.255.0:0 <-> 192.168.21.0/25
5.255.255.0:0 any

    Name:                       S.BLIC-R800+
    Unique Id:                  ipsec-1-S.BLIC-R800+-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.21.0/255.255.255
.0)

  Connection #3                 192.168.10.0/255.255.255.0:0 <-> 192.168.20.0/25
5.255.255.0:0 any

    Name:                       S.BLIC-R800+
    Unique Id:                  ipsec-0-S.BLIC-R800+-pr0-l1-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.10.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.20.0/255.255.255
.0)

  Connection #4                 192.168.11.0/255.255.255.0:0 <-> 192.168.20.0/25
5.255.255.0:0 any

    Name:                       S.BLIC-R800+
    Unique Id:                  ipsec-0-S.BLIC-R800+-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.11.0/255.255.255
.0)
    Local  Gateway:             IPV4_ADDR(any:0, 78.42.255.123)
    Remote Gateway:             IPV4_ADDR(any:0, #feste - IP#)
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.20.0/255.255.255
.0)

hättest du evtl. noch einen Tip für mich?

MfG
DE-Rocket

wdinter · Beitrag von **wdinter** » 29 Sep 2010, 13:31

Meines Erachtens solltest du dein Netzwerkkonzept überdenken, da ja durch die VPN Verbindung kein transparentes Switchnetzwerk entsteht.

Vielleicht könntest du deine Subnetze noch ein wenig weiter verfeinern, z.B.
Side 1:
192.168.0.0/255.255.255.128 Verwaltungs PC
192.168.1.0/255.255.255.128 Mitarbeiter PC

Side 2:
192.168.0.128/255.255.255.128 Verwaltungs PC
192.168.1.128/255.255.255.128 Mitarbeiter PC

Wieso müssen die eigentlich in den gleichen Netzen hängen?

Sind die LANCOM's die einzigen Router in den Netzen?

Wie ist das grundsätzliche Szenario?

Ich denke mal, daß die zwei Standorte transparent verbinden möchtest, oder? D.h. egal, wo der Mitarbeiter seinen Laptop/PC anschließt, soll er ohne Änderung der IP Adresse arbeiten können, oder?

DE-Rocket · Beitrag von **DE-Rocket** » 29 Sep 2010, 15:14

Hallo wdinter,

Erörterung:
@Sind die LANCOM's die einzigen Router in den Netzen?
Ja es gibt nur die Lancom Router im Netz

Hintergrund der Netzabwicklung ist folgender.
1. Die VPN Lösung soll nur ein Provisorium für max. 2 Jahre sein (hoffe ich), da wir an und für sich zu viele Daten über die Leitung schieben und diese eh zu klein ist wenn die zweite Geschäftsstelle ans Netz geht, wird es so werden dass die Sache über eine 1000 Mbit Richtfunk LAN (+ 1 mal Repeaterstation auf dem kleinen Berg der die Sichtverbindung verhindert) Realisiert werden.
Die Netzaufteilung ist deswegen so, dass nur die Verwaltung Internetzugang hat und nicht die Mitarbeiter von daher ist es einfacher am Router eine Regel zu erstellen welches Netz kein Internet kriegen soll!
Zweiter Grund ist ein Programm mit dem ich vom Server aus Clients Backups mache.

wie dem auch sei jetzt soll das mit dem VPN zum laufen gebracht werden, und da ich mit VPN noch ned wirklich Erfahrungen gesammelt habe, binn ich halt nunmehr auf der Seite des Fragestellers, Leider

@Wieso müssen die eigentlich in den gleichen Netzen hängen?

Weil es später einfacher ist für mich ist, einfach die LAN Kopplung dazwischen zu hängen und Fertig.

@Ich denke mal, daß die zwei Standorte transparent verbinden möchtest, oder?

Ja, wobei die Workstationen/PC´s da bleiben sollten wo sie sind, mit Ausnahme von Wartungsarbeiten/Reparaturen.

Habt Ihr noch Tips für mich, was ich noch vergessen habe, dass sich auch die PC´s anpingen bzw. sich am Server anmelden können.

MfG
DE-Rocket

ft2002 · Beitrag von **ft2002** » 29 Sep 2010, 21:17

Hallo DE-Rocket,

Sieht doch alles super aus , die VPN-Verbindung steht nur nichts funktioniert ....

Scherz beiseite sieht gut aus was Du eingerichtet hast !

Ich gehe mal davon aus, das Du vergessen hast in der Routing Tabelle die Privaten Netz Routen zu Deaktivieren , diese 4 die dort automatisch angelegt werden .
Dein Netz befindet sich nunmal in diesem Netz, egal ob 192.168.0.0 oder das gemappt 192.168.10.0
den der erste Eintrag ist 192.168.0.0 255.255.0.0 und das schließt die alle ein .
Brauchst Du nur zu deaktivieren und dann sollte es funktionieren.

Oder hast Du irgendwelche Firewall-Regeln drin , die das verhindern ?

Melde Dich , vielleicht ja mit Erfolgs Nachrichten ...

DE-Rocket · Beitrag von **DE-Rocket** » 30 Sep 2010, 11:39

Hallo ft2002

sorry für meine doofe Frage nunmehr,

jedoch finde ich den Eintrag in der Routingtabelle nicht:

folgendes ist verfügbar! (Anhang Bild)

Was übersehe ich?

Firewall ist keine aktiv (Testzwecke), somit kann sie mich auch nicht blocken

Wo versteckt sich dein Eintrag:

@ft2002

Ich gehe mal davon aus, das Du vergessen hast in der Routing Tabelle
die Privaten Netz Routen zu Deaktivieren , diese 4 die dort automatisch
angelegt werden .

ich hab ja nur 3, 2 mal für´s VPN und 1mal für die Onlineverbindung.

Könntest du viiieleicht ... Naja, will ja nicht betteln.