VPN wird nicht vollständig geroutet

[ks-edv]

Hallo,

ich habe folgende Konstellation:

Netz 1: 192.168.20.0/24 (LANCOM 1781 VAW -> LC-1)
Netz 2: 192.168.178.0/24 (FRITZBOX)
Netz 3: 192.168.253.0/24 /LANCAOM 1781 - zu Testzwecken LC-2)

Netz 2 und Netz 3 sollen Netz 1 erreichen, eine Verbindung zwischen Netz 2 und 3 ist nicht notwendig.

Von Netz 2 und 3 besteht ein VPN zu Netz 1 die VPN's stehen und jetzt tritt folgendes Problem auf:

Von Netz 2 und 3 sind nur bestimmte IP's im Netz 1 erreichbar Beispiel 192.168.20.159 ist erreichbar, 192.168.20.150 nicht.

Folgende Routing regeln wurden eingetragen:
192.168.20.0 255.255.255.0 0 An, sticky für RIP 192.168.20.254 0 Aus
192.168.178.0 255.255.255.0 0 An, sticky für RIP FRITZBOX 0 Aus
192.168.253.0 255.255.255.0 0 An, sticky für RIP LC-2 0 Aus

Folgende Firewallregeln wurden ergänzt:
Alles von LC2 und alles an LC 2 wird übertragen
Alles von der FRITZBOX und alles an die FRitzbox wird übertragen

Das Trace von LC-1 sagt:

[IP-Router] 2016/03/27 19:50:54,210 Devicetime: 2016/03/27 19:50:56,573
IP-Router Rx (LC-1, RtgTag: 0):
DstIP: 192.168.20.150, SrcIP: 192.168.253.170, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x021f
Route: BRG-1 Tx (INTRANET):


[IP-Router] 2016/03/27 20:20:59,887 Devicetime: 2016/03/27 20:21:02,358
IP-Router Rx (LC-1, RtgTag: 0):
DstIP: 192.168.20.159, SrcIP: 192.168.253.170, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x023b
Route: BRG-1 Tx (INTRANET):

Selbiges passiert aus dem Netz der Fritzbox. Hinter dem LC-1 befinden sich noch managed Switche, zur Sicherheit wurde das Gerät 192.168.20.150 mal direkt an den LANCOM angeschlossen. Leider ohne Erfolg.

Bei Verwendung des LC Client sind alle Geräte erreichbar.

Hat jemand noch eine Idee.

Grüße

AK

[Bernie137]

Hi,

Von Netz 2 und 3 sind nur bestimmte IP's im Netz 1 erreichbar Beispiel 192.168.20.159 ist erreichbar, 192.168.20.150 nicht.

Was heißt erreichbar, Ping? Was ist 192.168.20.150 für ein Gerät? Hat es eine lokale Firewall, welche die Subnetze von der Fritzbox und LC2 nicht zulässt?

Folgende Firewallregeln wurden ergänzt:
Alles von LC2 und alles an LC 2 wird übertragen
Alles von der FRITZBOX und alles an die FRitzbox wird übertragen

Die Beschreibung zur Firewall und Formulierung der Regeln sind derart ungenau, was soll man damit anfangen? Ist es eine Deny-All Strategie? Dann sind die Regeln eher falsch und sollten lauten:

Code: Alles auswählen

Quelle: 192.168.20.0/24; Quell-Dienst: Alle; Ziel: 192.168.178.0/24 + 192.168.253.0/24; Ziel-Dienst: Alle; übertragen
Quelle: 192.168.178.0/24 + 192.168.253.0/24; Quell_Dienst: Alle; Ziel: 192.168.20.0/24; Ziel-Dienst: Alle; übertragen

Anstatt der IP Netze können auch die VPN-Gegenstellen angegeben werden, aber immer in Bezug zum lokalen Subnetz. Vermutlich spielen die Firewall Regeln im LC1 aber gar keine Rolle (da keine Deny-All), sonst würde die Kommunikation mit 192.168.20.159 auch nicht funktionieren, oder ist das die IP vom LC1 selber?

vg Bernie

[Jirka]

Hallo zusammen,

...oder ist das die IP vom LC1 selber?

nö, das ist die .254, zu sehen an der falschen Route:

Folgende Routing regeln wurden eingetragen:
192.168.20.0 255.255.255.0 0 An, sticky für RIP 192.168.20.254 0 Aus

Viele Grüße,
Jirka

[ks-edv]

Hallo,

hier noch die IP-Adressen:

LC 1: 192.168.20.254
Fritzbox: 192.168.178.1
LC 2: 192.168.253.254


| LANCOM 1781VAW (over ISDN)
| Ver. 9.10.0530RU5 / 09.12.2015


@Bernie137
Die Firewall ist so konfiguriert, wie du es beschrieben hast. Wobei ich beide Varianten probiert habe (IP und Gegenstelle), ohne Erfolg. Bei der Methode Gegenstellen können auch falsche Netzwerkmasken ausgeschlossen werden.

Filter 00000003 from Rule LC-22:
Protocol: 0
Src: 00:00:00:00:00:00 192.168.253.0/255.255.255.0 0-0 (WAN ifc LC-2)
Dst: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 0-0
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept

Filter 00000004 from Rule LC-2:
Protocol: 0
Src: 00:00:00:00:00:00 0.0.0.0/0.0.0.0 0-0
Dst: 00:00:00:00:00:00 192.168.253.0/255.255.255.0 0-0 (WAN ifc LC-2)
use routing tag 0
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept

Erreichbar heißt Ping und alle sonstigen benötigten Protokolle, d.h. es geht zu 100% alles durch.

Die 192.168.20.150 ist eine TK-Anlage, 192.168.20.159 ist ein Telefon, es sind auch weitere Geräte im Netz 192.168.20.0/24 erreichbar (hier nur Ping), jedoch nicht alle. Vom LC-1 (192.168.20.254) sind die Geräte per Ping erreichbar, so das ich die Firewall am Gerät ausschließen kan.

Grüße

ak

[Bernie137]

Hallo zusammen,

nö, das ist die .254, zu sehen an der falschen Route:

Ja da hast Du recht, das habe ich gar nicht gemerkt. Die Route "192.168.20.0 255.255.255.0 0 An, sticky für RIP 192.168.20.254 0 Aus" ist Quark und gehört gelöscht oder in das Richtige geändert.

Die Firewall ist so konfiguriert, wie du es beschrieben hast.

Da kann ich mir nun raussuchen, auf was Du Dich bezieht. Aber vermutlich passt die Firewall im LC.

Vom LC-1 (192.168.20.254) sind die Geräte per Ping erreichbar, so das ich die Firewall am Gerät ausschließen kan.

Der Test vom LC1 ist schon OK, aber die Schlußvolgerung ist ein Trugschluß. Wie wenn in einer Telefonanlage eine Nebenstelle intern telefonieren darf, heißt dass noch lange nicht, dass sie auch nach extern darf.

Die 192.168.20.150 ist eine TK-Anlage

Aha. Bei PCs stellt man ein Standardgateway ein, damit sie ein anderes Subnetz erreichen können. Und, wurde das bei der TA gemacht? Meistens gibt es bei TAs nicht einen Wert für Standardgateway, sondern es müssen manuelle Routen angegeben werden in der Form:
192.168.178.0 Mask 255.255.255.0 über Router 192.168.20.254
192.168.253.0 Mask 255.255.255.0 über Router 192.168.20.254
Dann ist die TA auch in der Lage, die Anfragen von anderen Subnetzen zu beantworten.

vg Bernie

[ks-edv]

Hallo zusammen,

Der Test vom LC1 ist schon OK, aber die Schlußvolgerung ist ein Trugschluß. Wie wenn in einer Telefonanlage eine Nebenstelle intern telefonieren darf, heißt dass noch lange nicht, dass sie auch nach extern darf.

Die TK Anlage hat als Gateway die 192.168.20.254 (LC1)- der macht alles notwendige. Mehr kann ich auch nicht eintragen. Ich kenne auch keine wo man das Standardmäßig machen kann, bei Panasonic gibt es so etwas als Option.

Aha. Bei PCs stellt man ein Standardgateway ein, damit sie ein anderes Subnetz erreichen können. Und, wurde das bei der TA gemacht? Meistens gibt es bei TAs nicht einen Wert für Standardgateway, sondern es müssen manuelle Routen angegeben werden in der Form:
192.168.178.0 Mask 255.255.255.0 über Router 192.168.20.254
192.168.253.0 Mask 255.255.255.0 über Router 192.168.20.254
Dann ist die TA auch in der Lage, die Anfragen von anderen Subnetzen zu beantworten.

Siehe auch oben, die Anlage liegt ja im Netz 192.168.20.0/24

Mir ist gerade noch etwas anderes aufgefallen - siehe Trace:
Ping auf TA - keine Antwort

[IP-Router] 2016/03/28 14:12:08,924 Devicetime: 2016/03/28 14:12:11,936
IP-Router Rx (LC2, RtgTag: 0):
DstIP: 192.168.20.150, SrcIP: 192.168.253.170, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0026
Route: BRG-1 Tx (INTRANET):

Ping auf Telefon (kann auch ein anderes Gerät sein) - mit Antwort

[IP-Router] 2016/03/28 14:12:19,190 Devicetime: 2016/03/28 14:12:22,202
IP-Router Rx (LC2, RtgTag: 0):
DstIP: 192.168.20.159, SrcIP: 192.168.253.170, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x002a
Route: LAN-1 Tx (INTRANET):

[IP-Router] 2016/03/28 14:12:19,190 Devicetime: 2016/03/28 14:12:22,203
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.253.170, SrcIP: 192.168.20.159, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0x002a
Route: WAN Tx (LC2)

Hinweis noch: NAT Traversal ist aus.

Un d wie geschrieben, wenn ich mit dem LC Client (Software) mich einwähle, geht alles. bspw. Ping auf alle Adressen oder http.

Grüße

AK