Hallo,
folgendes Szenario:
- Lancom VPN 1711
- 2 DSL Leitungen mit aktiviertem Load Balancing (eine statische IP, eine dynamische) funktioniert
- VPN Tunnel, den wir über die statische IP - Leitung aufbauen, in ein anderes Netzwerk
Bei diesem VPN Tunnel haben wir die Situation, dass wir innerhalb des IP - Adressbereichs liegen, den wir über den Tunnel erreichen.
Im Anhang befindet sich eine schematische Übersicht.
Wir können bereits vom Intranet (10.151.18.x) auf den Client (10.x.x.x) zugreifen.
Es funktioniert auch der Zugriff vom Client (10.x.x.x) auf den Lancom-Router (10.151.18.254).
Was bisher noch NICHT funktioniert, ist dass wir vom Client (10.x.x.x) auf einen Rechner (z.B. 10.151.18.253) HINTER dem Lancom-Router, also sprich im lokalen Intranet, zugreifen können.
Der Tunnel wird über entsprechende Routen und Firewallrules (wie im Referenzhandbuch beschrieben) richtig aufgebaut, als Zielnetzwerk am anderen Ende des Tunnels haben wir 10.0.0.0/8 verwendet.
Vielen Dank bereits im Voraus für die Hilfe!
Zugriff auf Hosts im Intranet über VPN Tunnel
Moderator: Lancom-Systems Moderatoren
Zugriff auf Hosts im Intranet über VPN Tunnel
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Zugriff auf Hosts im Intranet über VPN Tunnel
Hallo glh,
Schau mal hier, könnte vielleicht ein Ansatz sein
:
http://www.lancom-forum.de/ltopic,5628,0,asc,15.html
mein Beitrag vom 31.07.08 ...
Bis dann
Andreas
Du befindest Dich im gleichen Subnetzbereich??? Ist ein Ping auf das Netzwerk "dahinter" möglich? Ich denke, dass es hier ein Firewall-Problem gibt. Entweder der LANCOM, falls ein Ping hinter den Router nicht geht oder eine Desktopfirewall auf dem Client hinter dem Router. Diese könnte aber auch "dicht gemacht" einen Ping blocken ...Bei diesem VPN Tunnel haben wir die Situation, dass wir innerhalb des IP - Adressbereichs liegen, den wir über den Tunnel erreichen.
Schau mal hier, könnte vielleicht ein Ansatz sein
:http://www.lancom-forum.de/ltopic,5628,0,asc,15.html
mein Beitrag vom 31.07.08 ...
Bis dann
Andreas
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...
Hallo Andreas,
danke für die schnelle Antwort, die Links beschreiben aber nicht ganz unser Problem.
Es scheint so, als würde der Lancom nicht wissen was er mit den Paketen aus dem Tunnel anzufangen hat, oder die Firewall lässt irgendetwas nicht zu. Die Firewall-Regeln für VPN sind so konfiguriert wie im Handbuch beschrieben (siehe Anhang, Verhalten: alles erlauben, Regeln zur Erzeugung von VPN-Regeln heranziehen: aktiv). Globale Policies (Deny-All/Allow-All) sind keine definiert.
Die Route ins LAN muss / kann ja nicht manuell gesetzt werden, das macht der Lancom wohl von selbst, auch wenn für einen größeren IP-Bereich etwas anderes in der Routing-Tabelle steht. (Normaler Internetzugriff funktioniert auch, dh er weiß wo die Pakete hinsollen)
danke für die schnelle Antwort, die Links beschreiben aber nicht ganz unser Problem.
Traceroute auf dem Client (IP: 10.x.x.x) mit Anfrage zum Server (10.151.18.253) liefert bis zum Lancom eine Antwort (10.151.18.254) danach "geht es nicht weiter".Ist ein Ping auf das Netzwerk "dahinter" möglich?
Die beiden Teilnetze liegen nicht exakt im gleichen Subnetzbereich, sondern das Netz "am anderen Ende des Tunnels" beinhaltet unseren IP Bereich, dieser wird dort aber nicht verwendet, und wird wieder durch den Tunnel zu uns geroutet.Du befindest Dich im gleichen Subnetzbereich???
Eine Desktopfirewall auf dem Client kann ausgeschlossen werden, auch der Server (Debian) kommt eigentlich als Fehlerquelle nicht in Frage, da aus dem Lan und auch bei direkter Internetanbindung alles funktioniert.Ich denke, dass es hier ein Firewall-Problem gibt. Entweder der LANCOM, falls ein Ping hinter den Router nicht geht oder eine Desktopfirewall auf dem Client hinter dem Router. Diese könnte aber auch "dicht gemacht" einen Ping blocken ...
Es scheint so, als würde der Lancom nicht wissen was er mit den Paketen aus dem Tunnel anzufangen hat, oder die Firewall lässt irgendetwas nicht zu. Die Firewall-Regeln für VPN sind so konfiguriert wie im Handbuch beschrieben (siehe Anhang, Verhalten: alles erlauben, Regeln zur Erzeugung von VPN-Regeln heranziehen: aktiv). Globale Policies (Deny-All/Allow-All) sind keine definiert.
Die Route ins LAN muss / kann ja nicht manuell gesetzt werden, das macht der Lancom wohl von selbst, auch wenn für einen größeren IP-Bereich etwas anderes in der Routing-Tabelle steht. (Normaler Internetzugriff funktioniert auch, dh er weiß wo die Pakete hinsollen)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi,
funktioniert es, wenn Du die Firewall im LANCOM mal kurzfristig deaktivierst?
Einfach das Häkchen unter Firewall für einen Versuch entfernen - aber danach unbedingt wieder setzen
Der VPN-Client ist im gleichen Subnetz wie der LANCOM?
Bis dann
Andreas
funktioniert es, wenn Du die Firewall im LANCOM mal kurzfristig deaktivierst?
Einfach das Häkchen unter Firewall für einen Versuch entfernen - aber danach unbedingt wieder setzen
Der VPN-Client ist im gleichen Subnetz wie der LANCOM?
Bis dann
Andreas
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...
Hi,
Bis dann,
Martin
Nein, dann funktioniert es auch nicht. Immer noch das selbe: Vom Client (10.x.x.x) kann man den Lancom-router (10.151.18.254) pingen, aber keinen Rechner im Intranet (10.151.18.x)funktioniert es, wenn Du die Firewall im LANCOM mal kurzfristig deaktivierst?
Der Client ist kein (Lancom) - VPN CLient, sondern einfach ein Rechner in einem Subnetz, in das der Tunnel führt (z.B. 10.149.2.2), der aber Zugriff auf den Server (10.151.18.253) bekommen soll.Der VPN-Client ist im gleichen Subnetz wie der LANCOM?
Bis dann,
Martin
Hallo martin,
auf dem Client hinter dem LANCOM ist definitiv keine FW? Dann sollte da noch eine Route im LANCOM fehlen. Ich hatte das Problem letztens auch bei einer LAN-LAN Kopplung mit einer Fritz!Box
- melde mich heute abend, da es hier etwas schwierig ist von Arbeit aus zu checken.
Bis dann
Andreas
auf dem Client hinter dem LANCOM ist definitiv keine FW? Dann sollte da noch eine Route im LANCOM fehlen. Ich hatte das Problem letztens auch bei einer LAN-LAN Kopplung mit einer Fritz!Box
- melde mich heute abend, da es hier etwas schwierig ist von Arbeit aus zu checken.Bis dann
Andreas
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...