Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
problemkunde40
Beiträge: 28
Registriert: 20 Mär 2019, 12:49

Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von problemkunde40 »

Zwei Standorte sind über ihre jeweiligen Lancom-Router per IKEv2-VPN verbunden. Am Standort B soll ein weiterer Router, auf dem OpenWRT läuft, mit dem VPN verbunden werden.
Das VPN funktioniert, der Router O funktioniert ansich auch und kommt bis B, aber es gibt keine Verbindung zwischen Router O und Lancom A.
Hier eine vereinfachte Grafik in Ascii.

Code: Alles auswählen

       Standort A                                    Standort B
     +-------------+                               +--------------+
     | Lancom A    |                               | Lancom B     |
     | 10.8.1.1/16 |<-----------VPN--------------->| 10.10.0.1/24 |
     +-----+-------+                               +-+-------+----+
           |                                         |       |
           |                                         |       +-+
     +-----+------+                                  |         |
     | Host A1    |                                  |       +-+
     | 10.8.1.100 |                                  |       |
     +------------+                                  |       |
                                                     |       |
                                          +----------+--+ +-----+---------+
                                          | Host B1     | | Router O      |
                                          | 10.10.0.100 | | 10.10.50.1/24 |
                                          +-------------+ +-----+---------+
                                                                |
                                                                |
                                                           +----+---------+
                                                           | Host O1      |
                                                           | 10.10.50.100 |
                                                           +--------------+
Host A1 kann Host B1 über das VPN erreichen.
Lancom B ist mit Router O über ein /30-Transfernetz via VLAN verbunden, auch Host O1 kann B anpingen.

Zum Verbinden der Netze habe ich die statische Route in A Richtung B = 10.10.0.0 mit der Netzmaske 255.255.0.0 versehen (statt 255.255.255.0), sodass Lancom A neben 10.10.0.0/24 auch alles an 10.10.50.0/24 (O) ins VPN schicken sollte. Hier beginnt der Fehler:
Host O1 kann jedoch nicht A1 erreichen, selbst Lancom A kann Router O nicht erreichen.

Für den Rückweg ist auch die statische Route an Lancom B Richtung A = 10.8.0.0 mit der Netzmaske 255.255.0.0 versehen.
Im Router O habe ich eine entsprechende Route hinzugefügt, wobei die 172 aus dem Transfernetz stammt und zusätzlich dem Lancom B zugewiesen ist:

Code: Alles auswählen

10.8.0.0/16 via 172.31.254.10 dev br-lan.2732
Frage:
Offenbar übersehe ich etwas. Da der Fehler in den Einstellungen der Lancom-Router zu sein scheint, versuche ich, Pings von A an O zu verfolgen, sehe diese aber nirgendwo im TCP-Dump oder in der Trace-Ausgabe. Wie kann ich herausfinden, was Lancom A mit dem Ping macht, statt ihn zu Lancom B zu schicken?

An B Trace-Ausgabe erzeugen:

Code: Alles auswählen

ssh root@10.10.0.1 | tee lc_b.trace
> trace + ip-router
Dabei von A an O sowie an B und B1 Pings versenden:

Code: Alles auswählen

> ping 10.10.50.1


 ---10.10.50.1 ping statistic---
 56 Bytes Data, 1 Packets transmitted, 0 Packets received, 100% loss 

> ping 10.10.0.1 

    56 Byte Packet from 10.10.0.1 seq.no=0 time=9.377 ms 

> ping 10.10.0.100

    56 Byte Packet from 10.10.0.100 seq.no=0 time=9.686 ms
In der gespeicherten Trace-Ausgabe lassen sich die erfolgreichen Pings an B1 finden, aber nichts zu den Pings an O:

Code: Alles auswählen

$ grep -F 'SrcIP: 10.8.1.1' lc_b.trace | grep -F '10.10.10.' -c
9
$ grep -F 'SrcIP: 10.8.1.1' lc_b.trace | grep -F '10.10.0.'
DstIP: 10.10.0.100, SrcIP: 10.8.1.1, Len: 92, DSCP/TOS: 0x00
...
$ grep -F 'SrcIP: 10.8.1.1' lc_b.trace | grep -F '10.10.50.' -c
0
(Hinweis: Durch Anpassungen im Versuchsaufbau sind es unterschiedliche IPs, hier von B1, aber das Fehlen der Pings an O ist immer gleich.)

Wenn ich am Lancom B den lokalen IPv4-Traffic mit "tr # IPv4-Host" ausgebe, finde ich dort hingegen die ankommenden Pings von A an B, aber auch nicht von A an O.

Code: Alles auswählen

  IPv4: 10.8.1.1 -> 10.10.0.1, Total-Len: 84
  IPv4: 10.10.0.1 -> 10.8.1.1, Total-Len: 84
So sieht die statische Route an A aus (Ausgabe minimal angepasst):

Code: Alles auswählen

> show ipv4-route
IPv4 fast lookup routing table

 Rtg-Tag 0

  Prefix               Next-Hop         Interface        Type
  ---------------------------------------------------------------
  0.0.0.0/0            0.0.0.0          INET_FIBER       static
  10.10.0.0/16         0.0.0.0          LANCOMB          static
  ...

 Rtg-Tag 10

  Prefix               Next-Hop         Interface        Type
  ---------------------------------------------------------------
  0.0.0.0/0            0.0.0.0          INET_FIBER       static
  10.10.0.0/16         0.0.0.0          LANCOMB          static
  ...
Wo landen die Pings von A für O oder umgekehrt?
Nach oben
5624
Beiträge: 1002
Registriert: 14 Mär 2012, 12:36

Re: Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von 5624 »

Hast du den IPSec-Tunnel zwischen den beiden LANCOMs angepasst? Die automatische Regelerzeugung funktioniert in deinem Fall nicht, sondern du musst hier die Regeln für die Regelerzeugung selbst schreiben, dann der Tunneldefinition hinzufügen und den Tunnel einmal neu aufbauen.
LCS NC/WLAN
Nach oben
PappaBaer
Beiträge: 217
Registriert: 21 Jul 2016, 20:49

Re: Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von PappaBaer »

Moin,

auch wenn ich es nicht konkret in Deinem Post gelesen habe, gehe ich davon aus, dass Router O in Richtung Transfer-Netz kein NAT macht.
Wie sehen denn Deine VPN-Netzwerkregeln aus? Ist das Netz 10.10.0.0/16 in Router A als Zielnetz und in Router B als Quellnetz eingetragen?

VG,
Torsten

EDIT: 5624 war schneller.
Nach oben
problemkunde40
Beiträge: 28
Registriert: 20 Mär 2019, 12:49

Re: Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von problemkunde40 »

Router O macht kein NAT über das Transfernetz zu Lancom B. Lancom B kann auch Host O1 anpingen, der im Netz von O ist.

An Lancom B ist unter VPN > IKEv2 > Connection list für das VPN bereits eine Regel "RAS-10.8.0.0" ausgewählt, die auf den gesamten Netzbereich von A zeigt, bei "Rule Creation".
Screenshot_20250124_111554.png
Screenshot_20250124_111948.png
Wenn ich umgekehrt von O über B nach A teste, dann sieht ein Ping von Router O an Lancom A unterwegs im Trace auf Lancom B so aus:

Code: Alles auswählen

[IP-Router] 2025/01/24 11:27:28,094
IP-Router Rx (LAN-2, V2732_NPI, RtgTag: 0):
DstIP: 10.8.1.1, SrcIP: 172.31.254.9, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x3f3e, seq: 0x0000
Route: WAN Tx (LANCOMA)
Wobei "LANCOMA" der VPN-Name auf Lancom B ist.
Am Lancom A scheint der Ping jedoch nicht anzukommen, dort finde ich die IP von Router O nicht.

Im Trace erscheint zwar als Quell-IP die von O aus dem /30-Transfernetz, weil ich den Ping direkt von Router O abgesetzt habe. Ein Ping von Host O1 hinter O an Lancom A geht jedoch ebenfalls verloren und der sieht im Trace auf Lancom B unterwegs so aus:

Code: Alles auswählen

[IP-Router] 2025/01/24 11:45:12,923
IP-Router Rx (LAN-2, V2732_NPI, RtgTag: 0):
DstIP: 10.8.1.1, SrcIP: 10.10.50.100, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0039, seq: 0x0008
Route: WAN Tx (LANCOMA)
Nach der Trace-Ausgabe schickt Lancom B Pings vom O-Netz Richtung A-Netz in das VPN. Wieso sehe ich sie dort nicht?

An Lancom A war im VPN bei "Rule Creation" tatsächlich noch keine Regel mit Ziel 10.10.0.0/16 eingestellt (sondern WIZ-ANY-TO-ANY). Ich habe also eine Regel mit diesem Ziel erstellt und dort ausgewählt. Dennoch sehe ich weiterhin keine der Pings am anderen Tunnelende, zumindest die vom B-Netz ankommenden hätte ich erwartet. Wo ist mein Fehler?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
PappaBaer
Beiträge: 217
Registriert: 21 Jul 2016, 20:49

Re: Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von PappaBaer »

Moin,
Bildschirmfoto 2025-01-24 um 12.11.03.png
Bei local networks steht in der Regel bei Dir konkret "Intranet", also Dein Netz 10.10.0.0/24. Da fehlt Dein Netz 10.10.50.0/24. Ändere die Regel von Intranet auf 10.10.0.0/16 und überprüfe, ob in Router A bei remote networks auch 10.10.0.0/16 eingetragen ist.

Viele Grüße,
Torsten

Edit:
Tunnel danach einmal trennen und neu aufbauen.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
problemkunde40
Beiträge: 28
Registriert: 20 Mär 2019, 12:49

Re: Weiteres Netz in VPN einbinden - Pings tauchen nicht in Trace auf

Beitrag von problemkunde40 »

PappaBaer hat geschrieben: 24 Jan 2025, 12:16 Bei local networks steht in der Regel bei Dir konkret "Intranet", also Dein Netz 10.10.0.0/24. Da fehlt Dein Netz 10.10.50.0/24. Ändere die Regel von Intranet auf 10.10.0.0/16 und überprüfe, ob in Router A bei remote networks auch 10.10.0.0/16 eingetragen ist.
Wertvoller Hinweis. Nachdem ich das korrigiert und auch darauf geachtet habe, dass die connection time jeweils auf 0 zurückspringt, läuft es nun.

Deswegen haben mir meine Traces diesmal nicht geholfen, da die Pings mangels VPN-Regel noch vorher verworfen wurden.

Nochmals vielen Dank! Ich schätze diese Hilfsbereitschaft wirklich sehr, besonders wenn man nur sehr unregelmäßig Lancom-Systeme konfigurieren muss.
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“