ich hoffe Ihr könnt mir helfen, bin leider kein IT-Fachmann. Folgendes Setup:
DSL-Zugang mit einem LC 883 VoIP Router. Davor in Reihenschaltung eine UF-260. Diese ist dann auch Standardgateway für alle Rechner im internen LAN 192.168.115.0/24
Zwischen der UF-260 und dem 883 ist ein Transfernetzwerk 172.22.56.0/24 eingerichtet, wie es in den Anleitungen zur UF-260 beschrieben ist. Das hatte ein Techniker von Lancom im Rahmen der mitgebuchten Schulung damals so eingerichtet, als die UF-260 neu gekommen ist.
Ein externer Mitarbeiter wählt sich per Shrewsoft-Client in den 883 ein; entsprechende Routen waren im 883 und in der UF-260 eingerichtet worden; das hatte alles funktioniert.
Letzte Woche habe ich mit dem 883 das Update von LCOS 10.50 auf 10.72 gemacht. Seitdem baut der Shrewsoft-Client keinen Tunnel mehr zum 883 auf. Nun gut, da der Shrewsoft-Client seit 2013 nicht mehr supported wird, und um weiteren Problemen aus dem Weg zu gehen, sind wir auf den Lancom Advanced Client umgestiegen.
Per Wizard habe ich auf dem 883 eine neue RAS/VPN Verbindung (IKEv2) eingerichtet, und die entsprechende Config-Datei in den Advanced Client importiert. Das funktionierte alles auf Anhieb, der Tunnel wird aufgebaut. Die Verbindung heißt VPN_0001, und der Client bekommt die 172.23.56.2 zugewiesen, das ist außerhalb vom Transfernetzwerk und außerhalb vom LAN.
Leider bekomme ich aber keine Verbindung ins interne LAN. Wie es aussieht, funktioniert die Übertragung nur in eine Richtung. Der Advanced Client hat ja die beiden Datenzähler Tx und RX. Der Tx Zähler läuft ständig hoch, während der Rx Zähler bei Null stehen bleibt. Das heißt, es gehen Daten in den Tunnel rein, aber es kommt nichts raus.
Wenn ich vom externen Client her die Station 192.168.115.2 im internen LAN anpinge, sehe ich folgendes im Router-Trace des 883:
Code: Alles auswählen
[IP-Router] 2022/12/19 11:55:14,229
IP-Router Rx (VPN_0001, RtgTag: 0):
DstIP: 192.168.115.2, SrcIP: 172.23.56.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x00a9
Route: 172.22.56.1, LAN-1 Tx (INTRANET)
[IP-Router] 2022/12/19 11:55:14,230
IP-Router Rx (LAN-1, INTRANET.1, RtgTag: 0):
DstIP: 172.23.56.2, SrcIP: 192.168.115.2, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0x00a9
Network unreachable (no route) => Discard
Die Routing-Tabelle sieht so aus: Die Zeilen 2 bis 5 sind offensichtlich für den normalen Internetverkehr ins LAN und raus, der ja wie gewohnt funktioniert.
Die Zeile 1 müßte für den VPN-Client sein (die war auch vorher schon da), nur den Router "VPN_0001" hab ich da geändert, das ist ja der Name von der neuen Verbindung für den Advanced Client. Also "alles was zu 172.23.56.2 soll, schicke über VPN_0001". Das ist die Richtung, die nicht funktioniert. Was übersehe ich da?
"show vpn" liefert mir
Code: Alles auswählen
VPN SPD and IKE configuration:
# of rules = 5
Rule #1 ikev2
Name: DEFAULT
Rule #2 ikev2 172.22.56.0/24 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: IKEV2C_0001
Unique Id: IPSEC-0-IKEV2C_0001-PR0-L0-R0
Flags: config-server
Rule #3 ikev2 0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: VPN_0001
Unique Id: IPSEC-0-VPN_0001-PR0-L0-R0
Flags: config-server
Local Gateway: IPV4_ADDR(any:0, 172.21.15.1)
Remote Gateway: IPV4_ADDR(any:0, 79.202.71.247)
Rule #4 ikev2 0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: VPN_0002
Unique Id: IPSEC-0-VPN_0002-PR0-L0-R0
Flags: config-server
Rule #5 ikev2 0.0.0.0/0 ANY ANY <-> 0.0.0.0/32 ANY ANY
Name: VPN_0003
Unique Id: IPSEC-0-VPN_0003-PR0-L0-R0
Flags: config-server