[SOLVED] IPsec Tunnel nur in eine Richtung nutzbar

[fraenki]

Hallo zusammen,

ich verwende einen LANCOM 1781VAW in Version 9.10.0530RU5. Damit schaffe ich es zwar, einen IPsec-Tunnel zwischen zwei Standorten herzustellen, aber die Kommunikation der Geräte zwischen den Standorten funktioniert nur sehr eingeschränkt. Vielleicht hat jemand eine Idee?

Das Szenario:
- zwei Standorte: A und B
- Standort B: der LANCOM Router an einer VDSL Leitung
- Standort A: eine Software Firewall (OPNsense, strongSwan ist da der VPN-Dienst) an einer SDSL Leitung

Die Netze:
- Standort A: 10.0.1.0/24 und 192.168.89.0/24
- Standort B: 192.168.35.0/24

Der IPsec-Tunnel soll dann folgende Beziehungen herstellen:
- 10.0.1.0/24 <=> 192.168.35.0/24
- 192.168.89.0/24 <=> 192.168.35.0/24

Was geht / was nicht geht:
- PING von 10.0.1.0/24 => 192.168.35.0/24 GEHT
- PING von 192.168.89.0/24 => 192.168.35.0/24 GEHT
- PING von 192.168.35.0/24 => 10.0.1.0/24 oder 192.168.89.0/24 GEHT NICHT

Die VPN-Verbindung kommt wunderbar zustande:

show_vpn.png

Im Trace für die IP-Route (PING von einem Client an Standort B zu einem Client an Standort A) sieht man, dass die Pakete beim LANCOM wohl über das WAN Interface rausgehen, nicht per VPN (T-CLSURF ist der Name für das VDSL Gateway, hier sollte wohl eigentlich was anderes stehen):

ip_route_tracking.png

Aber in der Konfiguration des LANCOM Routers habe ich die offizielle IP von Standort A als Gateway eingetragen.
Leider sieht man in der tatsächlichen Routingtabelle, dass trotzdem das WAN Gateway verwendet wird:

routing_table.png

Hat jemand eine Idee? Habe ich das Offensichtliche übersehen?


Danke!
- Frank

[backslash]

Hi fraenki,

Habe ich das Offensichtliche übersehen?

ja... Dein Fehler liegt hier:

Aber in der Konfiguration des LANCOM Routers habe ich die offizielle IP von Standort A als Gateway eingetragen.

du mußt in der Routing-Tabelle den Namen der VPN-Verbindung eintragen...

Ganz nebenbei:

Was geht / was nicht geht:
- PING von 10.0.1.0/24 => 192.168.35.0/24 GEHT
- PING von 192.168.89.0/24 => 192.168.35.0/24 GEHT

Da hast du aber Glück gehabt, denn das sollte aufgrund der fehlerhaften Routing-Tabelle eigentlich von der Firewall geblockt werden - es sei denn du hast sie deaktiviert oder als IDS-Aktion "übertragen" gesetzt...

Gruß
Backslash

[fraenki]

Habe ich das Offensichtliche übersehen?

ja... Dein Fehler liegt hier:

Aber in der Konfiguration des LANCOM Routers habe ich die offizielle IP von Standort A als Gateway eingetragen.

du mußt in der Routing-Tabelle den Namen der VPN-Verbindung eintragen...

Hmmm. Also die Routing Tabelle sieht doch eigentlich gut aus:

routing_table_cfg.png

Bei den beiden Netzen habe ich, wie von dir geschrieben, den Namen der VPN-Verbindung (=die offizielle IP von Standort/Router A) eingetragen (das war bereits so, habe ich jetzt also nicht erst geändert).

Kann es sein, dass der LANCOM Router Probleme damit hat, wenn die VPN-Verbindung als Namen eine IP-Adresse hat? Ich glaube ich hatte das zuerst mit dem Wizard der Weboberfläche eingerichtet und der hat als Namen die IP verwendet...

Restartet man bei solchen Änderungen den LANCOM Router, oder kann man gezielt die Routing-Tabelle neuerstellen lassen?

Ciao
- Frank

[garfield0815]

wenn du versuchst die ptivate adresse 89.0 über einen öffentlichen gw routen willst

wird dieser die pakete verwerfen da er mitsicherheit 1000 ende zihle hätte

private netze müssen privat bleiben

[fraenki]

wenn du versuchst die ptivate adresse 89.0 über einen öffentlichen gw routen willst

wird dieser die pakete verwerfen da er mitsicherheit 1000 ende zihle hätte

private netze müssen privat bleiben

Da hat wohl jemand nicht alles gelesen. Natürlich versuche ich nicht, das private Netz über das WAN Interface zu routen, sondern über das VPN Interface. Das soll ja alles ganz automatisch funktionieren laut Referenzhandbuch, einfach die SAs als Firewall-Regel anlegen und dann statische Routen für die Netze hinzufügen, die über das VPN laufen sollen. Funktioniert nur nicht. Tipps?


Ciao
- Frank

[Bernie137]

Moin,

Ja, richte das VPN noch mal neu ein und verwende mal als Namen für die VPN Gegenstelle einen echten Namen und nicht die öffentliche IP als Namen. Dann passt es auch in der Routingtabelle, da hier nicht der Name, sondern eben gleich die IP angesprochen wird. Es gibt in Deiner Konfig ja keinen Unterschied, ist jetzt der Name oder doch die IP gemeint.

Ich würde es nicht abändern, sondern mit dem Assistenten löschen und neu einrichten.

Vg Bernie

[fraenki]

Danke für eure Hinweise! Tatsächlich handelt es sich um einen Bug im WebConfig Setup-Wizard "Zwei lokale Netze verbinden": Wenn man hier als Remote-Gegenstelle eine IP-Adresse angibt (was ja vollkommen legitim ist), dann bekommt die VPN-Verbindung automatisch als Namen diese IP-Adresse verpasst (man hat keine Möglichkeit einen anderen Namen auszuwählen). Das führt dann zu dem fehlerhaften Eintrag in der Routing-Tabelle. (Genau genommen ist der Eintrag ja nicht fehlerhaft, der Router kann in diesem Fall aber nicht mehr erkennen, dass es sich eigentlich um einen Verweis auf die VPN-Verbindung handelt.)

Fun fact: Die Windows-Konfigurationssoftware LANconfig zeigt sogar eine Warnung an, wenn man eine IP-Adresse als Namen für die VPN-Verbindung verwendet. Das scheinen die Entwickler des WebConfig nicht zu wissen...

LANconfig_warning.png

Nach der manuellen Neueinrichtung des VPN-Tunnels funktionierte die Kommunikation dann auch wie erwartet bidirektional.

Ich habe den Bug an LANCOM gemeldet.


Ciao
- Frank