Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

[roger]

Ja, das habe ich gemacht. Klappt nicht. Das meinte ich mit:

Selbst wenn ich die gerade vergebene DHCP Adresse fest eingebe, ändert das leider nichts an meinem Problem.

[ajmind]

Dann poste doch mal deine Routing Tabelle.

[roger]

Anbei, ich hoffe ich habe das richtige erwischt:

IPv4-Routing-1.png

[ajmind]

Bei der abgebildeten Konstellation sollte für die Client-IP Adresse folgendes stehen:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.10.233   255.255.255.255  2       VPN_SHREW          0         No          Yes
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          2        INTERNET          0         on          Yes      LTE
255.255.255.255  0.0.0.0          0        DLAN+D            0         on          Yes      

Zu dem Routing Tag (2): Hier musst Du schauen, über welche WAN-Strecke du tatsächlich die Verbindung aufbauen willst.

Ich habe in meinem Setup auch zwei WAN-Strecken, (auch mit Routing Tags versehen). Daher habe ich auch das lokale Netz mit dem entsprechenden Schnittstellen Tag versehen. Das entspricht deiner LAN-Schnittstelle

Code: Alles auswählen

root@IT2L1900EF1:/Setup/TCP-IP/Network-list/INTRANET
> ls

Network-name  INFO:    INTRANET
IP-Address    VALUE:   192.168.10.???
IP-Netmask    VALUE:   255.255.255.0
VLAN-ID       VALUE:   0
Interface     VALUE:   LAN-1
Src-check     VALUE:   loose
Type          VALUE:   Intranet
Rtg-tag       VALUE:   2
Comment       VALUE:   local intranet

Wenn Du also den Traffic über deinen "INTERNET" bezeichneten Router (LTE) leiten willst, musst Du das Routing Tag "2" entsprechend setzen. Willst Du über "DLAN+D" routen ist das Routing Tag natürlich "0".

Die beiden Routing Einträge 192.168.10.0/24 würde ich erst mal entfernen, sind möglicherweise widersprüchlich.

Keep it simple!

[roger]

Danke für deine Mühe!
Mir fällt es schwer nachzuvollziehen, was ich wo ändern soll.
In meinem letzten Beitrag dachte ich, dass die beiden Listen eigentlich das selbe ausgeben müssten. Machen Sie aber nicht. Der Grund erschließt sich mir nicht. Insofern weiß ich z.B. auch nicht, wo ich die 192.168.10.0/24 entfernen sollte. Kannst du mir sagen, wo ich das machen kann?
Was ich zwischenzeitlich gemacht habe: ich hatte die Tags geändert. Allerdings half das auch nicht weiter. Ein Ping auf eine Adresse hinter dem Lancom schlägt nach wie vor fehl.

[ajmind]

Der Befehl show ipv4-route zeigt die aktuelle Routing Tabelle an, der Inhalt kann statisch oder dynamisch gelernt sein. Woher der Eintrag kommt kann ich nicht sagen.

Wenn Du über die Web Oberfläche in der Routing Tabelle sonst nichts siehst, schau mal bei den VPN Verbindungen und den Firewall-Regeln nach.

Hast Du den Eintrag wir hier abgebildet korrigiert?

192.168.10.233 255.255.255.255 0 VPN_SHREW 0 No Yes

[roger]

Oh, die Subnetzmaske habe ich übersehen. Deren Änderung bracht aber auch nichts.
Ich habe jetzt nahezu jeden Menüpunkt, inkl. Untermenü/Button durchgeklickt, um etwas über die Routen zu finden, die da nicht hingehören. Erfolglos.

Ich habe aber im Status der Firewall gefunden, dass diese die VPN-IP meines Clients blockt:

VPN-Firewall.png

Woran liegt das?
Sieht so aus, als würde eine AWS Verbindung aufgebaut werden wollen. Kann das ein Dienst auf dem Client sein (z.B. Dropbox), der das verursacht?
Kann ich die evtl. whitelisten?

[ajmind]

Nru nochmal zur Sicherheit nachgefragt:

Dein lokales Netz zu dem sich der VPN Client verbinden soll ist:

192.168.10.0/24 ?

Ist Proxy-Arp aktiviert? (Ip-Router / Allgemein)

[roger]

Ja genau. Der Lancom mit allen Geräten ist im 192.168.10.0/24er Netz.

[ajmind]

Ist Proxy-Arp aktiviert? (Ip-Router / Allgemein)

Tja, mir gehen leider die Ideen aus.

Versuche doch mal eine neue Konfiguration einzuspielen, wie hier gepostet wurde:

fragen-zum-thema-vpn-f14/einrichtung-sh ... tml#p96039

[roger]

Proxy Arp ist aktiviert.
Ist das mit der Firewall kein Punkt, dem man nachgehen soll?

Ich habe Schiss davor noch eine Konfig einzuspielen, da ich nicht weiß, wo was angelegt wird. Oder kann ich bequem die Einstellung der Konfig wieder rückgängig machen/ löschen? Wahrscheinlich nur mit einem Konfig-Backup?

[ajmind]

Du kannst Testweise ja die Firwall deaktivieren und ich mache immer vor einem Test oder einer Änderung eine Sicherung der Konfiguration. Ist ja problemlos mit LANconfig möglich und man kann einfach und sicher wieder zurück.

[roger]

Sobald ich die Firewall deaktiviere, kann ich im Tunnel nicht mal mehr den Lancom anpingen. Aufbauen lässt sich der Tunnel aber.

Firewall.png

[ajmind]

Sieht eigentlich so aus wie bei mir. Mir fällt derzeit nix ein.

[MariusP]

@backslash:
Also mit dem Trace bekomme ich diese Ausgabe hier:

Code: Alles auswählen

[IP-Router] 2019/04/11 11:03:37,529  Devicetime: 2019/04/11 11:03:40,132
IP-Router Rx (INTERNET, RtgTag: 2): 
DstIP: 192.168.10.233, SrcIP: 52.215.192.22, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 58591, SrcPort: 443, Flags: A
Seq: 2720845646, Ack: 140835520, Win: 213, Len: 0
Option: NOP
Option: NOP
Option: 08 = f5 a6 0a d2 7a 5f f1 5e
Route: LAN-1 Tx (INTRANET): 

Woher die 52er IP Adresse kommt, weiß ich aber nicht. Die 192.168.10.233 hat der Win10 Client mit dem dem Shrew VPN.

@ajmind:
Wie schon geschrieben, ist keine Route eingetragen.
Wie muss ich die anlegen, wenn der VPN-Client die IP per DHCP zugewiesen bekommt?
IPv4-Routing.png

Hi,
Hast du weiter verfolgt wo die Pakete hingeleitet werden und ob sie am Host ankommen z.b. per Wireshark Trace?
Gruß