Routing über PPTP Tunnel für bestimmte lokale IPs ?

mahla · Beitrag von **mahla** » 06 Jan 2009, 00:25

Hallo allerseits,

Ich habe ein kleines (oder evtl. auch großes) Konfigurationsproblem bei meinem 1722.

Der 1722 verbindet sich via ETH1 (das ich auf DSL-1 gestellt habe) mit dem Internet (in diesem Fall nicht DSL sondern KabelDeutschland). Es gibt auch einen IPSec Tunnel zu einem 2. Standort - soweit funktioniert auch alles.

Nun habe ich folgendes Problem:
Ich möchte das sich bestimmte Stationen im lokalen Netz über einen PPTP Tunnel mit dem Internet verbinden. Die PPTP Gegenstelle habe ich soweit eingerichtet (nur kann ich die Verbindung nicht testen, da ich nicht sicher bin wie ich das mit dem Routing hinbekomme)

Das ganze klingt jetzt ein bischen wirre - deswegen versuche ich es mal mit einer Grafik zu verdeutlichen: (IPs sind beispiele)

LAN
192.168.200.001-099 -> Lancom -> KabelDeutschland (Internet)
192.168.200.100-105 -> Lancom -> PPTP Tunnel (via KD Netz) -> PPTP Server -> Internet
(Der PPTP Server funktioniert soweit da ich Ihn mit einer herkömlichen Windows PPTP Verbindung testen konnte)

Ich hoffe es versteht jemand hier was ich versuche hinzubekommen und kann mir ein paar Tipps/Hilfe geben

Danke schonmal

Patrick

backslash · Beitrag von **backslash** » 06 Jan 2009, 15:53

Hi mahla

hier lautet das Stichwort "policy based routing". Hierzu richtest du zwei Defaultrouten mit unterschiedlichen Routing-Tags ein, z.B. 0 für KD und 1 für die PPTP-Strecke.

Danach richtest du noch eine Firewallregel ein, über die du den IPs 100-105 das Routing-Tag 1 zuweist:

Code: Alles auswählen

Aktion:      übertragen
Quelle:      lokale Stationen 192.168.200.100 - 192.168.200.105
Ziel:        alle Stationen
Dienste:     alle Dienste
Routing-Tag: 1

gruß
Backslash

mahla · Beitrag von **mahla** » 06 Jan 2009, 17:29

vielen dank erstmal für die schnelle Hilfe.

Habe das auch gleich ausprobiert - aber leider kommen dann die Geräte die über den pptp geroutet werden sollen gar nicht mehr ins netz. lanmonitor zeigt mir aber auch nicht an das ein pptp tunnel aufgebaut wurde (sollte es doch oder ?)

hier mal meine config-schritte:

Communication -> Protocols -> PPTP List -> IP des entfernten gateways eingetragen, Routingtag: 1 (habs aber auch mit 0 versucht) rest default gelassen
Communication -> Protocols -> PPP List -> Username, Passwort eingetragen, IP routing an, No active authentication an
IP-Router -> General: Use Proxy ARP an
IP-Router -> Routing -> Routingtable: 2. Default Route über den Proxy router angelegt mit routing tag 1
Firewall wie oben beschrieben Konfiguriert

Wenn ich mit dem Windows pptp client eine Verbindung aufbaue bekomme ich folgende werte zugewiesen:
PPP adapter USA Proxy:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : USA Proxy
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.47(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 192.168.0.1
4.2.2.1

Ich denke mal das Problem liegt nun nur noch am pptp Aufbau da das Filtern in der Firewall wohl klappt.

grüße
Patrick

backslash · Beitrag von **backslash** » 06 Jan 2009, 17:52

Hi mahla

lanmonitor zeigt mir aber auch nicht an das ein pptp tunnel aufgebaut wurde (sollte es doch oder ?)

das wäre schön, doch PPTP-Verbindungen zeigt der LANmonitor leider nicht an...

Communication -> Protocols -> PPTP List -> IP des entfernten gateways eingetragen, Routingtag: 1 (habs aber auch mit 0 versucht) rest default gelassen

Hier muß das Routing-Tag 0 lauten, da der PPTP-Tunnel ja über die KD-Strecke aufgebaut wird.

Communication -> Protocols -> PPP List -> Username, Passwort eingetragen, IP routing an, No active authentication an

OK..

IP-Router -> General: Use Proxy ARP an

ist hierfür nicht unbedingt nötig, schadet aber auch nicht

IP-Router -> Routing -> Routingtable: 2. Default Route über den Proxy router angelegt mit routing tag 1

welchen Proxy-Router? Hier muß als Gegenstelle die PPTP-Verbindung angegeben werden. Bedenke dabei, daß du an der Route auch die Maskierung aktivierst.

Ob die PPTP-Verbindung aufgebaut wurde kannst du in der Experten-Konfiguration (oder im Telnet) unter /status/PPTP/Verbindungen (bzw. /status/PPTP/Connections) nachschauen. Falls es nicht funktioniert, kannst du auch im Telnet einen PPP-Trace starten (trace # ppp)

Gruß
Backslash

mahla · Beitrag von **mahla** » 06 Jan 2009, 18:03

ahh ok - hab das mit dem routing-tag in der pptp liste geändert.
webinterface zeigt mir nun auch den Fehler an - Tunnel kommt wohl nicht zustande wegen eines "CHAP-fail-recvd". Habe Usernamen und Passwort nochmal überprüft - die stimmen aber.

Grüße
Patrick

backslash · Beitrag von **backslash** » 06 Jan 2009, 18:42

Hi mahla

webinterface zeigt mir nun auch den Fehler an - Tunnel kommt wohl nicht zustande wegen eines "CHAP-fail-recvd". Habe Usernamen und Passwort nochmal überprüft - die stimmen aber.

"CHAP-fail-recvd" bedeutet aber, daß Username und/oder Paßwort nicht stimmen...

Beachte, daß das Paßwort im LANCOM nicht alle Zeichen annehmen kann: Es sind nur folgende Zeichen erlaubt:

Code: Alles auswählen

#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz `

Der Grund hierfür ist, daß je nach Betriebssystem z.B. deutsche Umlaute anders codiert werden. Wenn du also im Paßwort ein Zeichen hast, das nicht in obiger Liste steht, dann mußt du das Paßwort ändern

Gruß
Backslash

mahla · Beitrag von **mahla** » 06 Jan 2009, 19:42

Naja daran sollte es nicht liegen.... Passwort hat nur Zeichen aus obiger Tabelle. Auf der anderen Seite scheint aber als Passwort gar nichts anzukommen...
evtl. sollte ich mal über ein Firmwareupdate nachdenken - hab noch LCOS 7.26 drauf...

Patrick

Edit:

ok neue Firmware ist mal drauf. Jetzt habe ich bei den PPP Optionen auch mehr zur Auswahl:
Bei "Authentication of the remote site" habe ich alle Protokolle an, bei "Authentication on locale dial in" keines (Anhand der Tooltips scheint das wohl zu stimmern"). Aber funktionieren tut es leider trotzdem nicht....

Patrick

mahla · Beitrag von **mahla** » 07 Jan 2009, 12:57

Ich hab jetzt auch einmal einen Trace auf den pptp Verbindungsaufbau laufen lassen:

Code: Alles auswählen

[PPP] 2009/01/07 12:46:26,480
PPTP control channel: connecting to PROXYUSA (208.101.22.170)
PPTP control channel: waiting for TCP connect for PROXYUSA
PPTP control channel: use local port: 8670 for PROXYUSA


[PPP] 2009/01/07 12:46:26,650
PPTP control channel: TCP connection established
PPTP control channel: StartControlConnectionRequest sent


[PPP] 2009/01/07 12:46:26,910
PPTP control channel: received StartControlConnectionReply
PPTP call control: OutgoingCallRequest sent for call id 22768


[PPP] 2009/01/07 12:46:27,070
Change phase to ESTABLISH
Lower-Layer-Up event for LCP
Initializing LCP restart timer to 3000 milliseconds
Waiting up to 200ms for connection
Starting LCP restart timer with 200 milliseconds


[PPP] 2009/01/07 12:46:27,070
PPTP call control: received OutgoingCallReply for call id 22768: peer call id 51
2
PPTP call control: SetLinkInfo sent for call id 22768 with SendACCM=0x00000000 a
nd ReceiveACCM=0x00000000
PPTP call control: set remote window to 8192 for PROXYUSA
PPTP call control: connect request for PPP sent


[PPP] 2009/01/07 12:46:27,270
Positive Restart-Timeout event for LCP
Stop waiting for connection
Initializing LCP restart timer to 3000 milliseconds
Generating LCP configure-request for peer PROXYUSA
Inserting local MRU 1460
Inserting local authentication protocol CHAP with MD5 encryption
Inserting local magic number d63e44ab
Sending LCP configure-request with ID 00 and length 19 to peer PROXYUSA (channel
 0)
Starting LCP restart timer with 3000 milliseconds


[PPP] 2009/01/07 12:46:27,420

Received LCP frame from peer PROXYUSA (channel 0)
Evaluate configure-request with ID 00 and size 25
Peer MRU 1400 accepted
Peer requests authentication protocol unknown (c227), no protocol available
Peer magic number 447612ac accepted
Peer requests protocol field compression, rejected
Peer requests address- and controlfield compression, rejected
Peer requests callback via callback control protocol, rejected
Negative Configure-Request-Received event for LCP
Sending LCP configure-reject with ID 00 and length 15 to peer PROXYUSA (channel
0)

Ich bin mir nur nicht sicher wo ich da am besten ansetzen kann... bei dem "unknown protocol c227" handelt es sich wohl um EAP (von dem ich bisher noch nie was gehört habe)

Patrick

backslash · Beitrag von **backslash** » 07 Jan 2009, 17:11

Hi mahla

Bei "Authentication of the remote site" habe ich alle Protokolle an, bei "Authentication on locale dial in" keines (Anhand der Tooltips scheint das wohl zu stimmern")

Das Problem ist, daß die Bezeichnung und die Tooltips eher mißverständlich - bis falsch - sind.

Bei "Authentication of the remote site" wird eingestellt, was das LANCOM von der Gegenseite fordert. Da sich das LANCOM einwählt und die Gegenseite sich somit wie ein Internetprovider verhält, darf hier kein Häkchen gesetzt werden. Das entspricht also der früheren Auswahl (none, PAP, CHAP)

Bei "Authentication on locale dial in" wird eingetragen, welche Protokolle das LANCOM akzeptiert, wenn es sich einwählt. Hier müssen also alle Häkchen gesetzt werden. Dieser Punkt ist neu und dient dazu, die kaputten T-Mobile-Zugänge bedienen zu können, die zwar behaupten CHAP zu können, es aber nicht unterstützen. Bei solchen Zugängen deaktiviert man einfach alle Protokolle bis auf PAP

Daß die Einstellungen hier falsch herum sind, siehst du auch am PPP-Trace, denn das LANCOM fordert von der Gegensteite eine Authentifizierung:

Inserting local authentication protocol CHAP with MD5 encryption

kann aber keine Anforderung der Gegenseite bedienen:

Peer requests authentication protocol unknown (c227), no protocol available

Dreh also erstmal die Häkchen um und begrenze ggf. die erlaubten Protokolle auf PAP und CHAP, da manche RADIUS-Server Probleme mit MSCHAP und MSCHAPv2 haben.

Gruß
Backslash

mahla · Beitrag von **mahla** » 07 Jan 2009, 22:27

ahh ok vielen Dank für den Tip - gleich getestet aber wiedermal keinen Erfolg. Dafür hab ich nen neuen Trace:

Code: Alles auswählen

[PPP] 2009/01/07 22:18:35,170
Change phase to ESTABLISH
Lower-Layer-Up event for LCP
Initializing LCP restart timer to 3000 milliseconds
Waiting up to 200ms for connection
Starting LCP restart timer with 200 milliseconds


[PPP] 2009/01/07 22:18:35,170
PPTP call control: received OutgoingCallReply for call id 32816: peer call id 33
28
PPTP call control: SetLinkInfo sent for call id 32816 with SendACCM=0x00000000 a
nd ReceiveACCM=0x00000000
PPTP call control: set remote window to 8192 for PROXYUSA
PPTP call control: connect request for PPP sent


[PPP] 2009/01/07 22:18:35,370
Positive Restart-Timeout event for LCP
Stop waiting for connection
Initializing LCP restart timer to 3000 milliseconds
Generating LCP configure-request for peer PROXYUSA
Inserting local MRU 1460
Inserting local magic number 7b8ec37b
Sending LCP configure-request with ID 00 and length 14 to peer PROXYUSA (channel
 0)
Starting LCP restart timer with 3000 milliseconds


[PPP] 2009/01/07 22:18:35,520

Received LCP frame from peer PROXYUSA (channel 0)
Evaluate configure-request with ID 00 and size 25
Peer MRU 1400 accepted
Peer requests authentication protocol unknown (c227), NAK with CHAP with MD5 enc
ryption
Peer magic number 52cc703e accepted
Peer requests protocol field compression, rejected
Peer requests address- and controlfield compression, rejected
Peer requests callback via callback control protocol, rejected
Negative Configure-Request-Received event for LCP
Sending LCP configure-reject with ID 00 and length 11 to peer PROXYUSA (channel
0)

Diesmal nur CHAP im unteren Feld an (habs auch mit PAP+CHAP sowie allen 4 an versucht - gleiches Ergebniss leider)

Patrick

Edit:

kleines Updadte:
wenn ich NUR mschap v2 wähle bekomme ich folgenden Trace:

Code: Alles auswählen

[PPP] 2009/01/08 00:09:01,100

Received IPCP frame from peer PROXYUSA (channel 0)
Evaluate configure-nak with ID 00 and size 22
Peer NAKs IP address 192.168.0.3, accepted
Peer NAKs primary DNS address 192.168.0.1, accepted
Peer NAKs secondary DNS address 4.2.2.1, accepted
Configure-Nak/Rej-Received event for IPCP
Initializing IPCP restart timer to 3000 milliseconds
Generating IPCP configure-request for peer PROXYUSA
Inserting IP address 192.168.0.3
Inserting primary DNS address 192.168.0.1
Inserting secondary DNS address 4.2.2.1
Sending IPCP configure-request with ID 02 and length 22 to peer PROXYUSA (channe
l 0)
Starting IPCP restart timer with 3000 milliseconds


[PPP] 2009/01/08 00:09:01,110
PPTP call control: received SetLinkInfo for call id 20778 with SendACCM=0xffffff
ff, ReceiveACCM=0xffffffff


[PPP] 2009/01/08 00:09:01,110

Received LCP frame from peer PROXYUSA (channel 0)
Terminate-Request-Received event for LCP


[PPP] 2009/01/08 00:09:01,110
This-Layer-Down action for LCP
Lower-Layer-Down event for BACP
Stopping BACP restart timer
Lower-Layer-Down event for CCP
Stopping CCP restart timer
Lower-Layer-Down event for IPCP
Stopping IPCP restart timer
Lower-Layer-Down event for IPXCP
Stopping IPXCP restart timer
Resetting LCP restart timer with 3000 milliseconds
Change phase to TERMINATE
Sending LCP terminate-request with ID 05 and length 4 to peer PROXYUSA (channel
0)
Starting LCP restart timer with 3000 milliseconds
Sending LCP terminate-ack with ID 00 and length 4 to peer PROXYUSA (channel 0)


[PPP] 2009/01/08 00:09:01,110
Change phase to DEAD
Stopping LCP restart timer
Stopping IPXCP restart timer
Stopping IPCP restart timer
Stopping CCP restart timer
Stopping BACP restart timer


[PPP] 2009/01/08 00:09:01,110
PPTP call control: closing call for PROXYUSA

Das sieht so aus als würde die Verbindung aufgebaut aber sofort wieder geschlossen... sehr wirre

backslash · Beitrag von **backslash** » 08 Jan 2009, 16:55

Hi mahla

Das sieht so aus als würde die Verbindung aufgebaut aber sofort wieder geschlossen... sehr wirre

hier dürftest du in das Problem laufen, daß das LANCOM keine PPTP-Verschlüsselung unterstützt, während dies von der Gegenseite gefordert wird.

Hättest du den kompletten Trace angehängt, dann würde man dort sehen, daß die Gegenseite eine Kompression fordern würde, die vom LANCOM abgelehnt wird. Das führt dazu, daß die Verbindung sofort beendet wird...

Gruß
Backslash

mahla · Beitrag von **mahla** » 08 Jan 2009, 22:56

vielen lieben Dank für die Hilfe nochmals

/selfbonk - habs ja in dem mac thread selber gelesen das der lancom keine verschlüsselung kann. serverseitig verschlüsselung aus - schon gehts

also fast.... pptp tunnel steht, routing klappt auch, nur kommt nix an. wenn ich an einem der PCs die über den Tunnel routen z.B. versuche einen Host zu pingen bekomm ich nur Timeouts...

Trace ausschnitt von trace + ip-router @ PROXYUSA:

Code: Alles auswählen

[IP-Router] 2009/01/08 22:51:13,090
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 74.201.34.2, SrcIP: 192.168.250.143, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3158, SrcPort: 3104, Flags: S
Route: WAN Tx (PROXYUSA)

Eintrag in der PPTP Connections Liste bei stehender Verbindung:

Code: Alles auswählen

Channel	State	Last-Error	Mode	SH-Time	Phys.-connection	Peer-Address	IP-Address	DNS-Default	DNS-Backup	NBNS-Default	NBNS-Backup	Conn.-time	Gateway
PROXYUSA	Connection	(none)	Active	300	INTERNET	192.168.0.1	192.168.0.15	192.168.0.1	4.2.2.1	0.0.0.0	0.0.0.0	3:03:06	208.101.22.170

scheint also zu klappen. ich bin sicher ich hab nur irgendwo was vergessen....

Patrick

backslash · Beitrag von **backslash** » 09 Jan 2009, 16:34

Hi mahla,

- hast du auf der PPTP-Route (also der, die auf PROXYUSA zeigt) die Maskierung eingeschaltet?
- routet der PPTP-Server die Pakete auch ins Internet (bzw. die Antworten wieder zurück)?
- was passiert, wenn du die 192.168.0.1 (also den PPTP-Server selbst) anpingst?

Gruß
Backslash