Hallo,
ich verzweifle langsam. Ich habe einen 1823 zu hause. Netz: 10.0.2.0/24 Router IP 10.0.2.1.
In der Firma steht ein 1722, Netzwerk 10.0.0.0/24 Router IP 10.0.0.1.
Verbindung über VPN, statische IP´s.
Nun kann ich aus dem Firmennetz (10.0.0.0/24) den Router über die VPN Verbindung anpingen (ping 10.0.2.1=erfolgreich). Den Client 10.0.2.2 der sich hinter dem ETH1 Interface befindet kann ich aber nicht anpingen.
Ich kann aber aus dem Heimnetz (10.0.2.0/24) jeden Client im Firmennetz (10.0.0.0/24) anpingen. Ich habe keine abweichende Firewallseinstellung oder so. Da ich aus der Firma den 1823 mit der IP 10.0.2.1 anpingen aknn, geht dr ping über VPN auch einwandfrei. Der 1823 muss also irgendwie den Netzwerkverkehr vom VPN an die dahinterliegende Clients unterbinden. Ich aknn schließlich in die andere Richtung alles machen.
Es geht nicht nur der Ping nicht, ich kann auch keine Remoteconsole verbinden oder Laufwerke Mappen. Nur vom Heimnetz aus die Resourcen aus dem Firmennetz.
Wo kann ich noch gucken? Muss doch irgendwie das routing nicht richtig laufen.
Gruß
Frank
Fehler im Routing über VPN
Moderator: Lancom-Systems Moderatoren
Jetzt habe ich doch die Möglichkeit geschaffen es jetzt schon zu testen. Also es gibt auf beiden Routern nun 4 Filter rules:
Filter 0001 from Rule WINS_PASS:
Protocol: 17
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
use routing tag 0000
conditional: if on VPN route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0002 from Rule WINS_PASS:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
use routing tag 0000
conditional: if on VPN route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0003 from Rule intern_extern:
Protocol: 0
Src: 00:00:00:00:00:00 10.0.2.0 255.255.255.0 0-0
Dst: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0
use routing tag 0000
combine actions with next matching filter
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Filter 0004 from Rule extern_intern:
Protocol: 0
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0
Dst: 00:00:00:00:00:00 10.0.2.0 255.255.255.0 0-0
use routing tag 0000
combine actions with next matching filter
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
registered applications
application: SIP, handle: 00000001
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
also kein deny any oder so.
Dann habe ich noch gesehen, dass IDS die UDP Pakete von 10.0.2.2 an 10.0.0.1 verwirft. Habe einfach die Regel deaktiviert.
Trozdem kein Ping von einem Client aus dem Netz 10.0.0.0/24 ins Netz 10.0.2.0/24 möglich von Netz 10.0.2.0/24 ins Netz 10.0.0.0/24 wohl.
Verzweifel, grübel, grübel
Jetzt auch das noch: Habe mein Laptop via Lancom VPN Client mit dem Router 10.0.2.1 verbunden und habe keine Probleme, Clients in beiden Netzen anzupingen
Da muss doch was in der VPN Verbindung zum Router 2 nicht stimmen. Andáuernd geht mir mal nach 4 Sunden mal nach 16h mal nach 2 min. mal nach 5min. die VPN Verbindung flöten. Dann läuft sie mal wieder stabil, dann ist es ganz arg und alle 2 min die Verbindung weg.
Filter 0001 from Rule WINS_PASS:
Protocol: 17
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
use routing tag 0000
conditional: if on VPN route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0002 from Rule WINS_PASS:
Protocol: 6
Src: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 0-0
Dst: 00:00:00:00:00:00 0.0.0.0 0.0.0.0 137-139
use routing tag 0000
conditional: if on VPN route
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
send syslog message
Filter 0003 from Rule intern_extern:
Protocol: 0
Src: 00:00:00:00:00:00 10.0.2.0 255.255.255.0 0-0
Dst: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0
use routing tag 0000
combine actions with next matching filter
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
Filter 0004 from Rule extern_intern:
Protocol: 0
Src: 00:00:00:00:00:00 10.0.0.0 255.255.255.0 0-0
Dst: 00:00:00:00:00:00 10.0.2.0 255.255.255.0 0-0
use routing tag 0000
combine actions with next matching filter
Limit per conn.: after transmitting or receiving of 0 kilobits per second
actions after exceeding the limit:
accept
registered applications
application: SIP, handle: 00000001
Limit per conn.: after transmitting or receiving of 0 packets
actions after exceeding the limit:
accept
also kein deny any oder so.
Dann habe ich noch gesehen, dass IDS die UDP Pakete von 10.0.2.2 an 10.0.0.1 verwirft. Habe einfach die Regel deaktiviert.
Trozdem kein Ping von einem Client aus dem Netz 10.0.0.0/24 ins Netz 10.0.2.0/24 möglich von Netz 10.0.2.0/24 ins Netz 10.0.0.0/24 wohl.
Verzweifel, grübel, grübel
Jetzt auch das noch: Habe mein Laptop via Lancom VPN Client mit dem Router 10.0.2.1 verbunden und habe keine Probleme, Clients in beiden Netzen anzupingen
Da muss doch was in der VPN Verbindung zum Router 2 nicht stimmen. Andáuernd geht mir mal nach 4 Sunden mal nach 16h mal nach 2 min. mal nach 5min. die VPN Verbindung flöten. Dann läuft sie mal wieder stabil, dann ist es ganz arg und alle 2 min die Verbindung weg.
Hi Fairdv
Ist das LANCOM im Firmennetz des Default-Gateway?
Ist das LANCOM in deinem Heimnetz das Default-Gateway?
Hast du auf dem Client bei dir zuhause ggf. eine personal Firewall laufen, die pings blockiert?
Gruß
Backslash
ohne deny-Regel kannst du dir die anderen Regeln auch sparen...also kein deny any oder so.
und mit welcher Begründung sind die Pakete verworfen worden?Dann habe ich noch gesehen, dass IDS die UDP Pakete von 10.0.2.2 an 10.0.0.1 verwirft. Habe einfach die Regel deaktiviert.
was sagen denn Router- und Firewall-Trace dabei (trace # ip-router firewall, möglichst auf beiden Seiten)?Trozdem kein Ping von einem Client aus dem Netz 10.0.0.0/24 ins Netz 10.0.2.0/24 möglich von Netz 10.0.2.0/24 ins Netz 10.0.0.0/24 wohl.
das spricht dann aber eher für ein generelles Routingproblem in deinem Firemnnetz, auch das hier:Jetzt auch das noch: Habe mein Laptop via Lancom VPN Client mit dem Router 10.0.2.1 verbunden und habe keine Probleme, Clients in beiden Netzen anzupingen
bist du sicher, daß das Netz 10.0.2.x eindeutig ist?Nun kann ich aus dem Firmennetz (10.0.0.0/24) den Router über die VPN Verbindung anpingen (ping 10.0.2.1=erfolgreich). Den Client 10.0.2.2 der sich hinter dem ETH1 Interface befindet kann ich aber nicht anpingen
Ist das LANCOM im Firmennetz des Default-Gateway?
Ist das LANCOM in deinem Heimnetz das Default-Gateway?
Hast du auf dem Client bei dir zuhause ggf. eine personal Firewall laufen, die pings blockiert?
auch hier wäre der Grund für den Abbruch wichtig - was sagen VPN-Status- und "Display" Trace dazu (trace # vpn-status display)Da muss doch was in der VPN Verbindung zum Router 2 nicht stimmen. Andáuernd geht mir mal nach 4 Sunden mal nach 16h mal nach 2 min. mal nach 5min. die VPN Verbindung flöten. Dann läuft sie mal wieder stabil, dann ist es ganz arg und alle 2 min die Verbindung weg.
Gruß
Backslash