12
VPN - trotz PPTP Verbindung kein Ping
Hallo,
es ist ein wenig durcheinander, tut mir Leid.
Ich habe zwei Standorte, Deutschland und Zagreb. Deutschland arbeitet in unserer Domäne, alles funktioniert wunderbar. Nun kann sich Zagreb (nicht in der Domäne) mit VPN verbinden, kommt auch auf unsere Server etc., jedoch ist kein Ping möglich, wenn der Client verbunden ist bekommt er beispielsweise die IP 192.168.16.70, diese kann ich dann vom Server aus aber nicht anpingen. An was kann das liegen?
Wenn ich über mein iPhone 3G einen Tunnel per 3g aufbaue, dann kann ich das Gerät pingen vom Server aus, obwohl es genauso wenig im Netz steckt, an was kann das liegen?
Firewall ist alles soweit richtig konfiguriert: from WAN to LAN | Any | Any | PPTP | Allow | All (PPTP entpsircht TCP Port 1723)
es ist ein wenig durcheinander, tut mir Leid.
Ich habe zwei Standorte, Deutschland und Zagreb. Deutschland arbeitet in unserer Domäne, alles funktioniert wunderbar. Nun kann sich Zagreb (nicht in der Domäne) mit VPN verbinden, kommt auch auf unsere Server etc., jedoch ist kein Ping möglich, wenn der Client verbunden ist bekommt er beispielsweise die IP 192.168.16.70, diese kann ich dann vom Server aus aber nicht anpingen. An was kann das liegen?
Wenn ich über mein iPhone 3G einen Tunnel per 3g aufbaue, dann kann ich das Gerät pingen vom Server aus, obwohl es genauso wenig im Netz steckt, an was kann das liegen?
Firewall ist alles soweit richtig konfiguriert: from WAN to LAN | Any | Any | PPTP | Allow | All (PPTP entpsircht TCP Port 1723)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 144535
Url: https://administrator.de/contentid/144535
Printed on: April 24, 2024 at 15:04 o'clock
12 Comments
Latest comment
Tracing route to 192.168.16.70 over a maximum of 30 hops
1 * * * Request timed out.
Das kommt bei allen 30 hops.
Wenn ich über das iPhone eine Netzwerkerkennung laufen lasse, wenn ich mit VPN verbunden bin, sagt er mir überall "name not resolvable" - "No MAC detected" + IP ... ob das hilft weiß ich nicht. Auf jedenfall geht der SCAN über WLAN im Ganzen Netz, über VPN jedoch wieder nicht.
1 * * * Request timed out.
Das kommt bei allen 30 hops.
Wenn ich über das iPhone eine Netzwerkerkennung laufen lasse, wenn ich mit VPN verbunden bin, sagt er mir überall "name not resolvable" - "No MAC detected" + IP ... ob das hilft weiß ich nicht. Auf jedenfall geht der SCAN über WLAN im Ganzen Netz, über VPN jedoch wieder nicht.
Hi
Ich würde sagen das da irgendwas mit dem Routing nicht hinhaut. Bzw. Welche Firewall benutzt du den den ??? Vll. musst du an der Firewall noch definieren, was die seperate VPN IP adresse darf und was nicht ???
MFG Nemesis
Ich würde sagen das da irgendwas mit dem Routing nicht hinhaut. Bzw. Welche Firewall benutzt du den den ??? Vll. musst du an der Firewall noch definieren, was die seperate VPN IP adresse darf und was nicht ???
MFG Nemesis
Ping ist das ICMP Protokoll !! Vermutlich ist das in deiner lokalen Firewall deaktiviert !
Gehe in die erweiterten Eigenschaften der Win Firewall, klicke dort den Button "ICMP" und setze dort den Haken bei "Auf Echo Pakete antworten" !! Dann klappts auch wieder mit dem Ping !!
Wenn dennoch nicht hast du ein Routing Problem. Dazu müsste man aber einmal wissen WO dein VPN Server ist und WO der dazugehörige Router ist.
Dazu sagst du leider rein gar nix, so das eine qualifizierte Hilfe nicht möglich ist. Es sei denn Raten oder Kristallkugel reicht dir...?!
Gehe in die erweiterten Eigenschaften der Win Firewall, klicke dort den Button "ICMP" und setze dort den Haken bei "Auf Echo Pakete antworten" !! Dann klappts auch wieder mit dem Ping !!
Wenn dennoch nicht hast du ein Routing Problem. Dazu müsste man aber einmal wissen WO dein VPN Server ist und WO der dazugehörige Router ist.
Dazu sagst du leider rein gar nix, so das eine qualifizierte Hilfe nicht möglich ist. Es sei denn Raten oder Kristallkugel reicht dir...?!
Hallo,
auf welcher lokalen Firewall? Die auf dem der VPN läuft? Firewall habe ich intern generll deaktiviert. Muss man es dann dennoch aktivieren?
Router nutze ich eine Sonicwall TZ100. VPN Server ist die 192.168.16.2, hier läuft auch der DHCP. Router ist die 192.168.16.1, hier gehen dann natürlich alle Geräte drüber raus. Auf dem Router habe ich die Regel das der PPTP offen ist, dass geht ja auch soweit. Kann es sein das es diese Einstellung auch auf dem Router gibt?
Werde es mir gleich anschauen! Sehe gerade, ICMP ist IPsec, nutze ja aber PPTP, trotzdem auf "Yes" stellen? Habe es nun auf dem Server wo der VPN eingerichtet ist, in der Firewall bei IPsec Settings auf "Yes" gestellt, wenn ich nun einen Ping absetze auf einen VPN Client, kommt leider immer noch nichts zurück!
Mein MTU Wert auf beiden Leitungen steht auf 1492. Könnte es damit zusammenhängen?
Wenn irh noch Infos braucht, bitte sagen!
auf welcher lokalen Firewall? Die auf dem der VPN läuft? Firewall habe ich intern generll deaktiviert. Muss man es dann dennoch aktivieren?
Router nutze ich eine Sonicwall TZ100. VPN Server ist die 192.168.16.2, hier läuft auch der DHCP. Router ist die 192.168.16.1, hier gehen dann natürlich alle Geräte drüber raus. Auf dem Router habe ich die Regel das der PPTP offen ist, dass geht ja auch soweit. Kann es sein das es diese Einstellung auch auf dem Router gibt?
Werde es mir gleich anschauen! Sehe gerade, ICMP ist IPsec, nutze ja aber PPTP, trotzdem auf "Yes" stellen? Habe es nun auf dem Server wo der VPN eingerichtet ist, in der Firewall bei IPsec Settings auf "Yes" gestellt, wenn ich nun einen Ping absetze auf einen VPN Client, kommt leider immer noch nichts zurück!
Mein MTU Wert auf beiden Leitungen steht auf 1492. Könnte es damit zusammenhängen?
Wenn irh noch Infos braucht, bitte sagen!
Du hast nicht wirklich den Durchblick bei IP Protokollen oder ?? "...Sehe gerade, ICMP ist IPsec.." ...den Satz vergessen wir hier aber mal ganz schnell, denn der ist völliger Blödsinn !!
Bevor du also solch einen Unsinn ins Forum setzt bitte VORHER LESEN !!! um das zu vermeiden ! Z.B.:
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dein Problem ist wenn du mit einem VPN Client den Server nicht anpingen kannst ganz sicher das Blocken des ICMP Protokolls in der lokalen Firewall des Servers (siehe oben).
Wenn du andere Geräte nicht pingen kannst ist das vermutlich auch klar: Nur für den Server, der ja auch gleichzeitig VPN Server ist ist das VPN Netz das Gateway. Der Router kennt deses Netz aber nicht, es sei denn du hast diesem eine statische Route dahin via next Hop Server IP konfiguriert wie es richtig gewesen wäre.
Wenn du nun von einem VPN Client ein anderes Gerät im netz pingst das als Default Gateway den Router eingestellt hast geht die Ping Antwort an der Router...logisch, denn da zeigt das Gateway hin.
Fehlt hier die Route ins VPN geht der Ping ins Internet und damit ins Nirwana...auch logisch, denn den VPN Tunnel ins VPN hält ja nur der Server. Der ist also Router ins VPN, deshalb die statische Route auf dem Zywall Router !
Fazit wieder mal: VPN Server gehören auf den Router oder die Firewall wie es allgemein üblich ist.
Die Sonicwall kann sowas auch problemlos (Deshalb ist sie ja ne Firewall !!). Warum du so einen Blödsinn machst mit dem VPN Server hinter der NAT Firewall und die VPN Clients nicht direkt auf der Sonicwall terminierst wie es in der Regel sinnvoll und üblich ist, ist vollkommen unverständlich...?!
Na ja...warum einfach machen wenn es umständlich auch geht....?!
Mit der MTU hast das nix zu tun...es sei denn die VPN Clients können kein MTU Discovery aber das ist sehr selten ! Ping Pakete haben nur eine 64 Byte Länge im Default also nix MTU...das geht immer durch. Testen kannst du es aber wenn du willst:
http://www.gschwarz.de/mtu-wert-ermitteln
Bevor du also solch einen Unsinn ins Forum setzt bitte VORHER LESEN !!! um das zu vermeiden ! Z.B.:
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Dein Problem ist wenn du mit einem VPN Client den Server nicht anpingen kannst ganz sicher das Blocken des ICMP Protokolls in der lokalen Firewall des Servers (siehe oben).
Wenn du andere Geräte nicht pingen kannst ist das vermutlich auch klar: Nur für den Server, der ja auch gleichzeitig VPN Server ist ist das VPN Netz das Gateway. Der Router kennt deses Netz aber nicht, es sei denn du hast diesem eine statische Route dahin via next Hop Server IP konfiguriert wie es richtig gewesen wäre.
Wenn du nun von einem VPN Client ein anderes Gerät im netz pingst das als Default Gateway den Router eingestellt hast geht die Ping Antwort an der Router...logisch, denn da zeigt das Gateway hin.
Fehlt hier die Route ins VPN geht der Ping ins Internet und damit ins Nirwana...auch logisch, denn den VPN Tunnel ins VPN hält ja nur der Server. Der ist also Router ins VPN, deshalb die statische Route auf dem Zywall Router !
Fazit wieder mal: VPN Server gehören auf den Router oder die Firewall wie es allgemein üblich ist.
Die Sonicwall kann sowas auch problemlos (Deshalb ist sie ja ne Firewall !!). Warum du so einen Blödsinn machst mit dem VPN Server hinter der NAT Firewall und die VPN Clients nicht direkt auf der Sonicwall terminierst wie es in der Regel sinnvoll und üblich ist, ist vollkommen unverständlich...?!
Na ja...warum einfach machen wenn es umständlich auch geht....?!
Mit der MTU hast das nix zu tun...es sei denn die VPN Clients können kein MTU Discovery aber das ist sehr selten ! Ping Pakete haben nur eine 64 Byte Länge im Default also nix MTU...das geht immer durch. Testen kannst du es aber wenn du willst:
http://www.gschwarz.de/mtu-wert-ermitteln
Es ist einfach total seltsam. Bin mit einem Client nun per VPN verbunden.
Manchmal gehen Pings durch, manchmal aber auch nicht, völlig spradisch. Das ICMP habe ich aktiviert.
Kannst du mir evt. eine Hilfe geben bei der Route einrichten? Wäre klasse und dir sehr dankbar wenn die Geschichte reibungslos läuft!
Also der Ping ist komisch, es kann sein einmal kommt etwas back, von 4 Paketen ist dann immer bei den virtuellen Maschinen nur ein Paket dabei das zurück kommt. Die anderen Server können angepingt werden. Auch Clients können über VPN gepingt werden.
Nach mehrern Versuchen, bekomme von den virtuellen auch manchmal alle zurück. Ich weiß nicht wieso das so ein durcheinander ist, scheint aber mit dem ICMP geholfen zu haben.
Manchmal gehen Pings durch, manchmal aber auch nicht, völlig spradisch. Das ICMP habe ich aktiviert.
Der Router kennt deses Netz aber nicht, es sei denn du hast diesem eine statische Route dahin via next Hop Server IP konfiguriert wie es richtig gewesen wäre.
Kannst du mir evt. eine Hilfe geben bei der Route einrichten? Wäre klasse und dir sehr dankbar wenn die Geschichte reibungslos läuft!
Also der Ping ist komisch, es kann sein einmal kommt etwas back, von 4 Paketen ist dann immer bei den virtuellen Maschinen nur ein Paket dabei das zurück kommt. Die anderen Server können angepingt werden. Auch Clients können über VPN gepingt werden.
Nach mehrern Versuchen, bekomme von den virtuellen auch manchmal alle zurück. Ich weiß nicht wieso das so ein durcheinander ist, scheint aber mit dem ICMP geholfen zu haben.
Wenn sporadisch ICMP Pings durchgehen dann klappt es doch soweit mit dem Routing ! Dann ist dein Problem ggf. ein Bandbreitenproblem des Carriers ???
Was sagt denn ein Traceroute (tracert) oder Pathping vom Client auf den Server ?? Bzw. wie sind die Laufzeiten wenn du mal mit dem freien Pingplotter mißt:
http://www.pingplotter.com/freeware.html
Was sagt denn ein Traceroute (tracert) oder Pathping vom Client auf den Server ?? Bzw. wie sind die Laufzeiten wenn du mal mit dem freien Pingplotter mißt:
http://www.pingplotter.com/freeware.html
Also das Ganze teste ich von dem iPhone, via 3G/EDGE, evt. daher die ganzen Losts. Ich werde es in der Mittagspause von zu Hause mal testen was hier passiert.
Habe auf jedenfall sehr oft 75% lost. Werde mich in einer halben Stunde nochmals melden.
Habe auf jedenfall sehr oft 75% lost. Werde mich in einer halben Stunde nochmals melden.
Wäre auch ein Grund wenn du z.B. im Eplus oder O2 Netz bist mit einem freien iPhone. Die sind in der Regel überbucht oder können oft nur Edge statt UMTS. Wäre ebenso ein möglicher Grund.
Nun an einer DSL Leitung, Tracert geht ohne Probleme, auch alle Pings kommen an von den Servern.
Routenverfolgung zu srvexc.ips.com [192.168.16.5] über maximal 30 Abschnitte:
1 81 ms 79 ms 78 ms 192.168.16.66
2 79 ms 77 ms 92 ms srvexc.ips.com [192.168.16.5]
Ablaufverfolgung beendet.
Sieht gut aus. Auch Remote geht nun alles...
Routenverfolgung zu srvexc.ips.com [192.168.16.5] über maximal 30 Abschnitte:
1 81 ms 79 ms 78 ms 192.168.16.66
2 79 ms 77 ms 92 ms srvexc.ips.com [192.168.16.5]
Ablaufverfolgung beendet.
Sieht gut aus. Auch Remote geht nun alles...
Dann ist doch alles gut, oder ??
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen !
Ja nun geht alles, danke Dir nochmal!
