VPN steht. Was muss ich als nächstes tun?

[sct]

Hallo!

ich habe eine VPN Verbindung zwischen Routern Lancom 1611+ und 1781EF+ mit 1-Click-VPN eingerichtet.
Allerdings kann ich von einer Seite aus nur den Router von der anderen Seite anpingen, mehr ist nicht möglich.
Von der anderen Seite geht überhaupt nix.
Was muss ich im Firewall konfigurieren damit beide Seiten auf die freigegebenen Netzlaufwerke zugreifen können?
Bei Lancom 1611+ ist das Netz 192.168.0.0, bei 1781EF+ - 192.168.178.0

[MariusP]

Hi,
Wahrscheinlich erstmal nichts in der Firewalltabelle.
Du kannst du ab besten die Tracekette an beiden Seiten langhangeln.
Absenderseite ICMP trace->ip-r->vpn-p->firewall
Empfängerseite firewall->vpn-p->ip-r->ICMP trace
Dann solltest du recht schnell sehen welche deiner Komponenten in der Kette der Module das ICMP Paket nicht wie gewüncht verarbeitet wird, also das Packet entweder blockiert oder auch es falsch weiterleitet.
Gruß

[sct]

Du kannst du ab besten die Tracekette an beiden Seiten langhangeln.
Absenderseite ICMP trace->ip-r->vpn-p->firewall
Empfängerseite firewall->vpn-p->ip-r->ICMP trace
Gruß

Danke für die schnelle Antwort.
Wie tue ich das? Ich habe bis jetzt keine Erfahrungen damit gehabt.

[Jirka]

Hallo sct,

dann schreib doch mal ein paar Worte mehr... Hast Du die Router komplett neu aufgesetzt oder existierten die so schon? Ist in den Firewalls der LANCOMs eine Deny-All-Regel vorhanden? Gibt es mehrere lokale Netze?

Viele Grüße,
Jirka

[sct]

Hallo sct,

dann schreib doch mal ein paar Worte mehr... Hast Du die Router komplett neu aufgesetzt oder existierten die so schon? Ist in den Firewalls der LANCOMs eine Deny-All-Regel vorhanden? Gibt es mehrere lokale Netze?

Viele Grüße,
Jirka

Hallo Jirka,

Es sind zwei Netze (192.168.178.0 und 192.168.0.0) und in jedem Netz hab ich einen Router. Der 1611+ wurde vorher auf Werkseinstellungen zurückgesetzt und über den 1781EF+ nutzen wir momentan RDP Dienste. Hinzugefügt hab ich Allow-RDP-Regel (nur für die Firwall aktiv und nicht für VPN), sonst gibt's nur das was von 1-Click-VPN hinzugefügt worden ist. Beide haben kein Deny-All-Regel aktiv.

[MariusP]

Hi,
Hast du schon mal auf deine Lancom per SSH, Telnet oder Seriell zugegriffen?
https://www2.lancom.de/kb.nsf/1276/3722 ... enDocument
Wenn du nicht der Konsole (nicht verwechseln mit Spielekonsolen)-Fan bist, kannst du auch
Den Lantracer verwenden.
http://www.lancom-systems.de/docs/LCOS- ... nment.html
https://www2.lancom.de/kb.nsf/1275/9262 ... enDocument

Zu dem Iprouter trace: https://www2.lancom.de/kb.nsf/1275/181C ... enDocument

Ich frage mich nur, warum die Leute nicht Google fragen:"Lancom trace" dann würden sie die Infos auch selber finden. -.-
Gruß

[Bernie137]

Hallo Marius,

Ich frage mich nur, warum die Leute nicht Google fragen:"Lancom trace" dann würden sie die Infos auch selber finden. -.-

Das stimmt schon. Nur weis nicht jeder was ein Trace überhaupt ist und wofür das gut ist

vg Bernie

[MariusP]

Hi,

Dann solltest du recht schnell sehen welche deiner Komponenten in der Kette der Module das ICMP Paket nicht wie gewüncht verarbeitet wird, also das Packet entweder blockiert oder auch es falsch weiterleitet.

Ich dachte das wäre ausreichend als Erklärung.^^ (habe oben die Grammatik nochmal überarbeitet)
Gruß

[Bernie137]

Hi sct,

Es sind zwei Netze (192.168.178.0 und 192.168.0.0) und in jedem Netz hab ich einen Router. Der 1611+ wurde vorher auf Werkseinstellungen zurückgesetzt und über den 1781EF+ nutzen wir momentan RDP Dienste. Hinzugefügt hab ich Allow-RDP-Regel (nur für die Firwall aktiv und nicht für VPN), sonst gibt's nur das was von 1-Click-VPN hinzugefügt worden ist. Beide haben kein Deny-All-Regel aktiv.

So weit so gut.

Welche IP im LAN hat der 1781EF+ und welche IP im LAN hat der 1611+?
Ist diese IP jeweils bei den lokalen Netzwerkteilnehmern als Standardgateway/Router überhaupt angegeben?

Allerdings kann ich von einer Seite aus nur den Router von der anderen Seite anpingen, mehr ist nicht möglich.
Von der anderen Seite geht überhaupt nix.

Und was ist nun welche Seite? Und von wo hast Du jeweils den Ping abgesetzt?

vg Bernie

[sct]

Welche IP im LAN hat der 1781EF+ und welche IP im LAN hat der 1611+?
Ist diese IP jeweils bei den lokalen Netzwerkteilnehmern als Standardgateway/Router überhaupt angegeben?

Beide Router sind als Standardgateway angegeben. Der 1781EF+ hat die IP 192.168.178.190 und der 1611+ hat die IP 192.168.0.10

Und was ist nun welche Seite? Und von wo hast Du jeweils den Ping abgesetzt?

ich kann von der Seite 192.168.178.0 den Router von der Seite 192.168.0.0 mit der internen IP anpingen und auch auf das Konfigurationsmenü vom Router zugreifen.

[Bernie137]

OK.

Beide Router sind als Standardgateway angegeben. Der 1781EF+ hat die IP 192.168.178.190 und der 1611+ hat die IP 192.168.0.10

ergänze bitte noch die Netzmasken. Und kontrolliere bitte im Netz 192.168.0.0 ob nicht die Maske mal als 255.255.0.0 und mal als 255.255.255.0 versehnentlich im Spiel ist.

ich kann von der Seite 192.168.178.0 den Router von der Seite 192.168.0.0 mit der internen IP anpingen und auch auf das Konfigurationsmenü vom Router zugreifen.

Verbinde Dich mal auf den 1611+ mit telnet, putty oder ähnlichem und pinge direkt vom 1611+ aus ins Netz 192.168.178.x, zuallererst 192.168.178.190.

Gehe auf beide Router mit telnet oder putty und frage mit "show vpn" die VPN Einstellungen ab. Die Ausgaben kannst Du bitte auch gerne hier posten, nur die öffentlichen IPs bitte unkenntlich machen.

vg Bernie

[sct]

Code: Alles auswählen

#
| LANCOM 1611+
| Ver. 8.82.0100RU1 / 28.08.2013
| SN.  207881800160
| Copyright (c) LANCOM Systems

Lancom, Connection No.: 002 (LAN)

Username:
Password:

root@Lancom:/
> show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1                 192.168.0.0/255.255.255.0:0 <-> 192.168.178.0/255.255.255.0:0 any

    Name:                       name1
    Unique Id:                  ipsec-0-name1-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, 192.168.0.22) ##lokale interne IP von einem der Rechner
    Remote Gateway:             IPV4_ADDR(any:0, xxx.xxx.xxx.xxx) ##externe IP von 192.168.178.0
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.178.0/255.255.255.0)


root@Lancom:/
>

Ich verstehe nicht ganz wieso hier als Local Gateway die interne IP von einem der Rechner im Netz angegeben ist. Wie kann ich es ändern? Eigentlich ist auf dem Fritzbox DHCP Dienst aktiv und die Fritzbox sollte das Gateway mit der IP 192.168.0.1 sein.

Code: Alles auswählen

#
| LANCOM 1781EF+
| Ver. 9.10.0333Rel / 14.07.2015
| SN.  4002880218100076
| Copyright (c) LANCOM Systems

Connection No.: 002 (LAN)

Password:

root@:/
> show vpn

VPN SPD and IKE configuration:

  # of connections = 1

  Connection #1    ikev1        192.168.178.0/255.255.255.0:0 <-> 192.168.0.0/255.255.255.0:0 any

    Name:                       name2
    Unique Id:                  ipsec-0-name2-pr0-l0-r0
    Flags:                      main-mode
    Local  Network:             IPV4_ADDR_SUBNET(any:0, 192.168.178.0/255.255.255.0)
    Local  Gateway:             IPV4_ADDR(any:0, xxx.xxx.xxx.xxx) ##lokale externe IP
    Remote Gateway:             IPV4_ADDR(any:0, xxx.xxx.xxx.xxx) ##externe IP von 192.168.0.0
    Remote Network:             IPV4_ADDR_SUBNET(any:0, 192.168.0.0/255.255.255.0)


root@:/
>

Hier ist als Local Gateway die externe IP angegeben. Ist doch eigentlich auch falsch oder?

[Jirka]

Hallo sct,

das Zweite ist richtig, das Erste ist falsch. Bei dem 1611+ stimmt also irgendwas nicht. Irgendwie eine falsche Gegenstelle?

Viele Grüße,
Jirka

[sct]

Hallo sct,

das Zweite ist richtig, das Erste ist falsch. Bei dem 1611+ stimmt also irgendwas nicht. Irgendwie eine falsche Gegenstelle?

Viele Grüße,
Jirka

Hallo Jirka,

wie kann ich die Gateway ändern? ich hab nirgendwo in den Einstellungen die IP 192.168.0.22 gefunden.

[Bernie137]

Hallo sct,

prüfe mal die Routing Tabelle z.B. mit LANconfig: IP-Router -> Routing -> Routing-Tabelle, ansonsten habe ich gerade keine Idee wo die IP herkommt. Die LAN IP vom 1611+ ist fest vergeben nehme ich an, oder doch DHCP?

Du erwähnst eine Fritzbox im Netz des 1611+. Stellt diese den Internetzugang zur Verfügung für alle Clients? Ist diese Fritzbox das Gateway für alle Clients? Wenn das der Fall ist, dann muss die Fritzbox noch den Weg zum 192.168.177.x Netz bekommen, d.h. eine Route 192.168.178.0 mask 255.255.255.0 an Gateway 192.168.0.10 (der 1611+).
Hat der 1611+ einen eigenen Internetzugang oder nutzt er die Fritzbox?

vg Bernie