VPN-Tunnel zwischen Watchguard Firebox und LANCOM 1781VAW

[timo.guenther]

Schönen guten Tag liebe Community,

ich bin durch Google auf dieses Forum gestoßen und hoffe hier ein wenig Hilfe erhalten zu können bzgl. einer VPN-Verbindung, die mir enorme Probleme bereitet.

Folgende Ausgangssituation ist gegeben:
Seite A besitzt eine Firewall (Watchguard Firebox).
Seite B besitzt einen neuen Lancom 1781VAW Router.
Beide Seiten sollen über das Internet miteinander verbunden werden.

Die VPN-Verbindung steht und von Seite A (Watchguard Firebox) kann ich den Lancom Router und das Netzwerk dahinter pingen.
In dem Netzwerk dahinter befindet sich im Moment nur ein einzelnes Gerät, welches sich seine IP vom Lancom Router holt.
Es lässt sich sowohl der Router selbst, als auch der Test-PC pingen.

Von Seite B (dem Netzwerk mit dem Lancom Router) geht kein Datenverkehr durch den VPN-Tunnel.
Seite A lässt sich nicht pingen, weder die Watchguard Firebox, noch ein PC dahinter.
Laut dem Traffic Log der Firebox, kommen keine Anfragen über den VPN-Tunnel an.
Der Tunnel selber besteht jedoch und wird auch in der Firebox und dem Lancom Router angezeigt.
Nach einem Test mit dem Befehl Tracert kam heraus, das der Lancom Router die Anfragen nicht über den VPN-Tunnel sendet, sondern sie einfach in die Weiten des Internet schickt.
Dort gehen die Daten dann verloren, es folgt die Meldung Timeout.

In der Firewall des Lancom Routers sind zwei Regeln definiert, die zum einen sämtlichen Datenverkehr von Seite A (Watchguard) zu Seite B (Lancom) erlauben.
Zum Anderen erlaubt die zweite Regel sämtlichen Datenverkehr der von Seite B (Lancom) zu Seite A (Watchguard) laufen soll.
Regel 1 scheint zu funktionieren, da ich das Netz hinter dem Lancom Router pingen kann.
Regel 2 scheint Probleme zu bereiten, ich bin mir jedoch nicht sicher, ob der Knackpunkt auch woanders liegen könnte.

Welche weiteren Informationen werden von euch benötigt, um mir einen Tipp geben zu können?
Werden Screenshots gebraucht oder Systemlogs?

Ich würde mich sehr freuen, wenn mir jemand bei diesem Problem helfen kann, da ich nach fast zwei Tagen langsam nicht mehr weiter weiß.


Schöne Grüße

Timo

[MariusP]

Hi,
Ich würde auf eine falsch konfigurierte Route in der IP-Routing-Tabelle tippen.
Mach mal ein "tr # ip-r @ ip-die-du-anpingst".
Darin kannst du

Nach einem Test mit dem Befehl Tracert kam heraus, das der Lancom Router die Anfragen nicht über den VPN-Tunnel sendet, sondern sie einfach in die Weiten des Internet schickt.
Dort gehen die Daten dann verloren, es folgt die Meldung Timeout.

überprüfen.
Du musst darauf achten, dass der zuereichende IP-Bereich in die VPN-Gegenstelle geschickt wird.

Außerdem sollte im ping Paket die passende Absender IP stehen, da es sonst sein könnte, dass du keine Antwort erhälst.

Schickst du den ping vom Lancom aus oder vom dem Gerät hinter dem Lancom?
Gruß

[timo.guenther]

Hallo,

danke sehr für den Tip, das werde ich morgen ausprobieren und das Ergebnis hier posten.

Schickst du den ping vom Lancom aus oder vom dem Gerät hinter dem Lancom?

Meine abgesetzen Pings stammen von einem Laptop, welches sich im Netz hinter dem Lancom Router befindet.
Ich pinge nicht direkt vom Lancom aus.


Schöne Grüße

Timo

[timo.guenther]

Hallo,

ich habe nun den Befehl in einer Telnet Sitzung ausgelöst und danach wieder einen Ping gestartet.
Herausgekommen ist dabei folgendes Ergebnis:

Code: Alles auswählen

[IP-Router] 2014/01/22 10:29:23,527
IP-Router Rx (WLAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.100.220, SrcIP: 192.168.200.86, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0002
Route: WAN Tx (INTERNET)

[IP-Router] 2014/01/22 10:29:28,355
IP-Router Rx (WLAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.100.220, SrcIP: 192.168.200.86, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0003
Route: WAN Tx (INTERNET)

[IP-Router] 2014/01/22 10:29:33,300
IP-Router Rx (WLAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.100.220, SrcIP: 192.168.200.86, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0004
Route: WAN Tx (INTERNET)

[IP-Router] 2014/01/22 10:29:38,308
IP-Router Rx (WLAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.100.220, SrcIP: 192.168.200.86, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0005
Route: WAN Tx (INTERNET)

Die vier Pakete des Ping wurden alle über die WAN Schnittstelle ins Internet gesendet.
Ich kann mir derzeit nicht erklären wieso... Die Routing Tabelle sieht für mich korrekt aus.

Ich bin mir nicht sicher, ob es wichtig ist:
Ich habe bisher alles per Weboberfläche des Lancom Routers eingerichtet.
Nun habe ich im Internet etwas gesucht und bin auf die Info gestoßen, dass die Weboberfläche nicht gut sei und man lieber das Tool Lanconfig nehmen sollte.
Macht es wirklich einen Unterschied, welchen Weg man nimmt?

Ich werde ansonsten mal versuchen, per Lanconfig alles nochmal zu konfigurieren und gucken, ob es tatsächlich etwas ändert.


Schöne Grüße

Timo

[Bernie137]

Hi,

Die Routing Tabelle sieht für mich korrekt aus.

Warum willst Du sie uns dann nicht mal zeigen?

vg Heiko

[timo.guenther]

Hallo,

gerne doch, ich habe Screenshots angefertigt.


Die Routingtabelle, dargestellt mit Lanconfig.


Die Details des Eintrags, wenn man auf "Bearbeiten" geht.


Die Details der Verbindung, welche beim Punkt Router ausgewählt wurde.

Braucht ihr weitere Infos?`
Lasst es mich wissen, ich stelle sie gerne zur Verfügung, wenn uns das bei der Problemlösung weiterhilft.


Schöne Grüße

Timo

[Bernie137]

Sieht in der Tat sauber aus. Was passiert, wenn man mal zum Test direkt von der Lancom Console pingt? Was ist noch bei TCP/IP im Lancom Router eingestellt?

Wurde der Lancom Router frisch konfiguriert oder war es ein Import einer Konfiguration? Spricht generell etwas dagegen, den lancom Router noch mal zu resetten und neu einzurichten?

vg Heiko