Hallo,
Ich habe eine kleines Problem mit einem Lancom 1711 VPN. In dem lokalen Netzwerk haben wir besagten Lancom 1711 VPN Router und in dem entfernten Netz einen Novell Border Manager 3.8 auf Basis eines Novell 6.5 SP5 Servers.
Nehme ich nun einen Rechner und installiere darauf den Novell-VPN-Client, so kann ich mich aus dem lokalen Netz über VPN mit dem Border Manager verbinden. Die Verbindung wird also hergestellt. Der zurückgelegte Weg sieht dabei wie folgt aus:
LAN ---> LANCOM 1711 ---> INTERNET ---> ROUTER --> BORDER MANAGER
|__________________________________________________________|
Versuche ich nun aber einen Rechner im entfernten oder im lokalen Netz anzupingen, so endet diese Anfrage im Nirvana. Auch eine tracert ist nicht möglich.
Nehme ich den Lancom aus der Kette raus und schließe meinen Client beispielsweise direkt an den Router vor dem Border Manager an, so funktioniert der VPN-Verbindungsaufbau sowie der Ping etc.
Ich schließe daraus, das irgendeine Einstellung am Lancom den Ping und somit ein Anmelden im entfernten Netz unterbindet.
Ich bin für jeden Hinweis und für jede Hilfe dankbar.
Gruß
Mirko
VPN (Lancom 1711) zu Novell Border Manager 3.8
Moderator: Lancom-Systems Moderatoren
-
VVolverine
- Beiträge: 6
- Registriert: 15 Aug 2005, 12:17
Hi VVolverine
das Problem ist, daß der Border-Manager immer AH macht und das LANCOM bei der Maskierung die Fragment-ID des IP-Headers ändert - damit stimmt aber der Hash im AH nicht mehr und der Border-Manager verwirft die Pakete... Genau für diesen Fall gibt es im Telnet unter /Setup/IP-Router/1-N-NAT den Punkt "ID-Spoofing". Stelle dort "No" ein und es wird funktionieren...
Das hat natürlich den Nachteil, daß
a) Fragmente, die das LANCOM an andere Server schickt, von diesen nicht korrekt reassembliert werden können, wenn zwei Hosts im LAN auf den selben Server zugreifen und die gleiche Fragment-ID verwenden und
b) von aussen sehr einfach nachgehalten werden kann, wie viele Rechner sich in deinem LAN befinden
Gruß
Backslash
das Problem ist, daß der Border-Manager immer AH macht und das LANCOM bei der Maskierung die Fragment-ID des IP-Headers ändert - damit stimmt aber der Hash im AH nicht mehr und der Border-Manager verwirft die Pakete... Genau für diesen Fall gibt es im Telnet unter /Setup/IP-Router/1-N-NAT den Punkt "ID-Spoofing". Stelle dort "No" ein und es wird funktionieren...
Das hat natürlich den Nachteil, daß
a) Fragmente, die das LANCOM an andere Server schickt, von diesen nicht korrekt reassembliert werden können, wenn zwei Hosts im LAN auf den selben Server zugreifen und die gleiche Fragment-ID verwenden und
b) von aussen sehr einfach nachgehalten werden kann, wie viele Rechner sich in deinem LAN befinden
Gruß
Backslash
-
VVolverine
- Beiträge: 6
- Registriert: 15 Aug 2005, 12:17
Hallo Backslash,
danke für deine Antwort. Ich habe die Einstellung über Telnet entsprechend geändert, aber leider ohne Erfolg bei dem eigentlichen Problem. Die VPN-Verbindung wird aufgebaut, aber ein Ping oder Trace bringen keine Ergebnisse. Gibt man auf der Konsole ARP -a ein, so wird nur der Lancom 1711 angezeigt, der sich ja im lokalen Netz befindet, aber pingen läßt sich dieser auch nicht. Hast Du noch eine Idee?
Meine Vermutung liegt hier:
Die lokale Netz ist ein Class C Netz (192.168.x.x). Das entfernte Netz ist ebenfalls ein Class C mit dem gleichen IP-Bereich wie das lokale Netz. Die VPN-Tunnel IP ist die 192.168.199.1 (also ebenfalls Class C). Der IP-Pool für die Client ist aus Netz 172.31.254.0.
Könnte es sein, das in der Routing-Tabelle im LANconfig irgendeine Einstellung etwas blockiert, was mich keinen Ping auführen läßt?
Danke für deine Hilfe.
Gruß
VVolverine
danke für deine Antwort. Ich habe die Einstellung über Telnet entsprechend geändert, aber leider ohne Erfolg bei dem eigentlichen Problem. Die VPN-Verbindung wird aufgebaut, aber ein Ping oder Trace bringen keine Ergebnisse. Gibt man auf der Konsole ARP -a ein, so wird nur der Lancom 1711 angezeigt, der sich ja im lokalen Netz befindet, aber pingen läßt sich dieser auch nicht. Hast Du noch eine Idee?
Meine Vermutung liegt hier:
Die lokale Netz ist ein Class C Netz (192.168.x.x). Das entfernte Netz ist ebenfalls ein Class C mit dem gleichen IP-Bereich wie das lokale Netz. Die VPN-Tunnel IP ist die 192.168.199.1 (also ebenfalls Class C). Der IP-Pool für die Client ist aus Netz 172.31.254.0.
Könnte es sein, das in der Routing-Tabelle im LANconfig irgendeine Einstellung etwas blockiert, was mich keinen Ping auführen läßt?
Danke für deine Hilfe.
Gruß
VVolverine
Hi VVolverine
Gruß
Backslash
also, wenn sich nichtmal der 1711 anpingen läßt, dann hast du entweder Ping-Blocking auf dem 1711 eingeschaltet, oder du hast ein generelles Problem mit deinem Netzwerk - defekte Netzwerkkarten, Kabel, Switches, doppelt vergebene IP-Adressen etc. etc.. Ich fürchte, das mußt du schon selbst finden...aber pingen läßt sich dieser auch nicht. Hast Du noch eine Idee?
Gruß
Backslash