18
Ping über VPN funktioniert nicht (aber nur ein bestimmtes Endgerät)
Ich kann alle Rechner im Netzwerk anpingen, nur der Linksys WRT 64GL mit Open-WRT antwortet nicht.
Hallo liebes Forum,
ich komme nicht weiter. Weiß wirklich nicht, woran es liegt. Habe schon alles mit einem Kollegen durchgeprochen, aber er weiß auch keinen Rat. Als erstes versuche ich den Aufbau mal schematisch darzustellen
Server (99er-Netz)--------Linksys-Router (mit VLAN von 99er auf 1er-Netz und andersrum)------Draytek VPN-Router (1er-Netz)-----(Internet)---Draytek VPN-Router (12er-Netz)-------Server
192.168.99.110-----------------192.168.99.253/192.168.1.253----------------------------------192.168.1.1-------------------------------192.168.12.250--------------192.168.12.2
So, nun möchte ich gerne von dem Server im 12er-Netz auf den Server im 99er-Netz. Bislang ging das recht einfach mit einer statischen Route ala ROUTE ADD -P 192.168.99.0 MASK 255.255.255.0 192.168.1.253.
Bei anderen Geräten funktionierte das auch einwandfrei. Denn die VPN-Router geben alle IP-Adressen in beide Richtungen frei. Das Problem ist allerdings, dass ich vom 12er-Server noch nicht mal den Router mit 192.168.1.253 anpingen kann! Wenn ich TRACERT 192.168.1.253 vom Router aus mache, zeigt er mir an, dass er bis zum VPN-Router mit 192.168.1.1 kommt, aber dann geht es nicht weiter. Das kuriose an der Sache ist aber, dass ich zum einen vom VPN-Router selber den Linksys-Router anpingen kann. Und das ich zum anderen einen Rechner mit der IP 192.168.1.254 auch anpingen kann. Nur der Linksys geht nicht. Ach ja, aus dem 1er-Netz direkt heraus kann ich den Linksys-Router natürlich auch einfach anpingen. Also alles funktioniert wie es sollte, nur der Linksys-Router lässt sich nicht aus dem anderen Netz anpingen.
ich komme nicht weiter. Weiß wirklich nicht, woran es liegt. Habe schon alles mit einem Kollegen durchgeprochen, aber er weiß auch keinen Rat. Als erstes versuche ich den Aufbau mal schematisch darzustellen
Server (99er-Netz)--------Linksys-Router (mit VLAN von 99er auf 1er-Netz und andersrum)------Draytek VPN-Router (1er-Netz)-----(Internet)---Draytek VPN-Router (12er-Netz)-------Server
192.168.99.110-----------------192.168.99.253/192.168.1.253----------------------------------192.168.1.1-------------------------------192.168.12.250--------------192.168.12.2
So, nun möchte ich gerne von dem Server im 12er-Netz auf den Server im 99er-Netz. Bislang ging das recht einfach mit einer statischen Route ala ROUTE ADD -P 192.168.99.0 MASK 255.255.255.0 192.168.1.253.
Bei anderen Geräten funktionierte das auch einwandfrei. Denn die VPN-Router geben alle IP-Adressen in beide Richtungen frei. Das Problem ist allerdings, dass ich vom 12er-Server noch nicht mal den Router mit 192.168.1.253 anpingen kann! Wenn ich TRACERT 192.168.1.253 vom Router aus mache, zeigt er mir an, dass er bis zum VPN-Router mit 192.168.1.1 kommt, aber dann geht es nicht weiter. Das kuriose an der Sache ist aber, dass ich zum einen vom VPN-Router selber den Linksys-Router anpingen kann. Und das ich zum anderen einen Rechner mit der IP 192.168.1.254 auch anpingen kann. Nur der Linksys geht nicht. Ach ja, aus dem 1er-Netz direkt heraus kann ich den Linksys-Router natürlich auch einfach anpingen. Also alles funktioniert wie es sollte, nur der Linksys-Router lässt sich nicht aus dem anderen Netz anpingen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179144
Url: https://administrator.de/contentid/179144
Printed on: April 23, 2024 at 21:04 o'clock
18 Comments
Latest comment
Ich tippe mal auf ein Routing und/oder NAT Problem. Sind denn überall die korrekten Routen drin und ist überall NAT auch aus?
Hast Du die Möglichkeit im 1-er Netz zu sniffen? Dann würde ich einfach makl schauen, welche Pakete da im Netz herumschwirren, wenn der linksys gepingt werden soll.
Hast Du die Möglichkeit im 1-er Netz zu sniffen? Dann würde ich einfach makl schauen, welche Pakete da im Netz herumschwirren, wenn der linksys gepingt werden soll.
Danke. Werde mal die tage mitsniffen, aber Routen müssen ja eigentlich gar nicht eingetragen sein. Habe es zwar testweise mal damit probiert, aber auch ohne müsste er ja die 192.168.1.253 direkt finden, die anderen findet er ja auch.
Die Frage die sich erstmal generell stellt ist die was die eigentlich sinnlose Router Kaskadierung mit dem Linksys und dem Draytek am 99er Netz macht bzw. was der tiefere Sinn dazu sein soll ??
Dann die noch viel wichtigere Frage WER stellt denn überhaupt das VPN ?? Machen das die Drayteks (was ja sinnvoll wäre), macht das der Linksys mit dem Draytek, macht das irgendwie der Server mit einem der zahllosen Router.
Alles wäre möglich aber von dir keinerlei Info dazu so das du uns zum Raten im freien Fall oder den Blick in die Kristallkugel zwingst. Eine sinnvolle Hilfestellung ist so logischerweise nicht möglich.
Deine angegebene statische Route ist auch kompletter Blödsinn und kann so niemals funktionieren sofern denn die Drayteks das VPN aufbauen. Du kannst dem Server ja niemals einen Next Hop IP Adresse (Gateway) für diese Route angeben in einem IP Netz was der Server gar nicht kennt (.1er Netz !). Das würde ja nur der Draytek kennen. In so fern wäre diese Route völlig unsinnig und auch kontraproduktiv.
Wie gesagt nur mal im freien Fall geraten wenn die Drayteks den VPN Tunnel aufbauen.
Ohne das du diese 2 Fragen oben klärst kommen wir hier nicht sinnvoll weiter...!
Sinnvoll für dich wäre noch als grundlegende Lektüre zum Routing:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und was das Thema Kaskadierung anbetrift (NAT Firewall Problematik bei Router Kaskaden !)
Kopplung von 2 Routern am DSL Port
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Dann sehen wir mal weiter hier....
Dann die noch viel wichtigere Frage WER stellt denn überhaupt das VPN ?? Machen das die Drayteks (was ja sinnvoll wäre), macht das der Linksys mit dem Draytek, macht das irgendwie der Server mit einem der zahllosen Router.
Alles wäre möglich aber von dir keinerlei Info dazu so das du uns zum Raten im freien Fall oder den Blick in die Kristallkugel zwingst. Eine sinnvolle Hilfestellung ist so logischerweise nicht möglich.
Deine angegebene statische Route ist auch kompletter Blödsinn und kann so niemals funktionieren sofern denn die Drayteks das VPN aufbauen. Du kannst dem Server ja niemals einen Next Hop IP Adresse (Gateway) für diese Route angeben in einem IP Netz was der Server gar nicht kennt (.1er Netz !). Das würde ja nur der Draytek kennen. In so fern wäre diese Route völlig unsinnig und auch kontraproduktiv.
Wie gesagt nur mal im freien Fall geraten wenn die Drayteks den VPN Tunnel aufbauen.
Ohne das du diese 2 Fragen oben klärst kommen wir hier nicht sinnvoll weiter...!
Sinnvoll für dich wäre noch als grundlegende Lektüre zum Routing:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und was das Thema Kaskadierung anbetrift (NAT Firewall Problematik bei Router Kaskaden !)
Kopplung von 2 Routern am DSL Port
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Dann sehen wir mal weiter hier....
Da muss ich dir doch mal widersprechen.
Oben steht doch klar, dass die beiden Draytek-Router als vPN-Router fungieren und somit alle IPs aus beiden Netzwerken überall erreichbar sind.
Und was heißt zahllos? Es sind genauso viele wie nötig. Der Linksys verbindet das 99er-Netz mit mehreren anderen Netzwerken per VLAN (steht auch oben), unter anderem auch mit dem 1er-Netz. Das 12-Netz ist physisch an einem anderen standort, daher auch der VPN-Tunnel übers Internet.
Die statische Route mag ja Quatsch sein, aber soweit sind wir ja noch gar nicht. Die Frage ist ja nicht, wie komme ich ins 99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber zu dem Linksys-Router nicht?
Und ja, nur der Draytek kennt natürlich das 1er-Netz. Aber das ist ja nicht schlimm, denn er ist ja auch gleichzeitig Gateway.
Oben steht doch klar, dass die beiden Draytek-Router als vPN-Router fungieren und somit alle IPs aus beiden Netzwerken überall erreichbar sind.
Und was heißt zahllos? Es sind genauso viele wie nötig. Der Linksys verbindet das 99er-Netz mit mehreren anderen Netzwerken per VLAN (steht auch oben), unter anderem auch mit dem 1er-Netz. Das 12-Netz ist physisch an einem anderen standort, daher auch der VPN-Tunnel übers Internet.
Die statische Route mag ja Quatsch sein, aber soweit sind wir ja noch gar nicht. Die Frage ist ja nicht, wie komme ich ins 99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber zu dem Linksys-Router nicht?
Und ja, nur der Draytek kennt natürlich das 1er-Netz. Aber das ist ja nicht schlimm, denn er ist ja auch gleichzeitig Gateway.
Zitat von @haudegen99:
99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber
zu dem Linksys-Router nicht?
99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber
zu dem Linksys-Router nicht?
Wie ist der Linksys eingestellt? "Schützt" der eventuell das dihintergelegene netz mit einer "Firewall" und ist eventuell so eingestellt, daß er eingehedes ICMP blockt?
Wie gesagt prüf mal auf NAT und Firewall-Regeln. kann der 254 auf die 253 pingen? kann überhaupt eine gerät aus dem 1-er Netz den Linksys pingen?
Ja, das ist das Problem, das funktioniert alles einwandfrei. Der Linksys hat keine Firewall-Einstellungen. Aus allen anderen Netzwerken und auch direkt aus dem 1er-Netz kann ich den Linksys anpingen.
Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja über die Weboberfläche den Linksys anpingen.
Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja über die Weboberfläche den Linksys anpingen.
@66505
OK, da hat ich dann wohl Tomaten auf den Augen....sorry
Was du aber nicht benatwortet hats ist die Frage ob du am DD-WRT VLAN Router NAT aktiviert hast oder nicht ??
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wenn du es aktiviert hast (Gateway Modus) dann kommst du logischerweise NICHT in die VLAN Subnetze auf der anderen Seite und es ist klar das es nicht klappt mit dem Ping auf den Draytek weil die NAT Firewall das verindert.
Es geht dann nur mit Port Forwarding in der Firewall oder indem du auf transparentes Routing ohne NAT umstellst (Router Modus) und dann aber zwingend statische Routen auf dem Draytek eingeben musst.
Dieses fürs Troubleshooting wichtige Detail verschweigst du aber wirklich (3 mal gelesen...)
Die statische Route bleibt aber trotzdem Quatsch...aber soweit sind wir ja wirklich noch nicht...
OK, da hat ich dann wohl Tomaten auf den Augen....sorry
Was du aber nicht benatwortet hats ist die Frage ob du am DD-WRT VLAN Router NAT aktiviert hast oder nicht ??
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wenn du es aktiviert hast (Gateway Modus) dann kommst du logischerweise NICHT in die VLAN Subnetze auf der anderen Seite und es ist klar das es nicht klappt mit dem Ping auf den Draytek weil die NAT Firewall das verindert.
Es geht dann nur mit Port Forwarding in der Firewall oder indem du auf transparentes Routing ohne NAT umstellst (Router Modus) und dann aber zwingend statische Routen auf dem Draytek eingeben musst.
Dieses fürs Troubleshooting wichtige Detail verschweigst du aber wirklich (3 mal gelesen...)
Die statische Route bleibt aber trotzdem Quatsch...aber soweit sind wir ja wirklich noch nicht...
Zitat von @haudegen99:
Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja
über die Weboberfläche den Linksys anpingen.
Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja
über die Weboberfläche den Linksys anpingen.
Welcher von den beiden Drayteks?
Außerdem ist die frage, ob der wirklich einen ICMP-ECHO über die Oberfläche benutzt oder das UDP/TCP-echo-protokoll (ja, es gibt manchmal, wenn auch selten, Implementierungen, die das über udp-echo machen9.
lks
Danke euch beiden.
Werde mir jetzt erst mal anschauen, ob es etwas mit den NAT-Einstellungen zu tun hat.
Der Draytek mit der IP 192.168.1.1 kann den Linksys direkt anpingen.
Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.
Werde mir jetzt erst mal anschauen, ob es etwas mit den NAT-Einstellungen zu tun hat.
Der Draytek mit der IP 192.168.1.1 kann den Linksys direkt anpingen.
Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.
...kann den Linksys direkt anpingen...
Was soll uns diese halbe Aussage nun bringen ??
WAS kann er denn anpingen ?? Das WAN Interfaces des Linksys ?? Alle VLAN Interfaces des Linksys, Alles am Linksys.
Das natürlich unter der Annahme das der Linksys mit dem WAN Interface mit dem Draytek verbunden ist was auch nicht klar beschrieben ist
Was soll uns diese halbe Aussage nun bringen ??
WAS kann er denn anpingen ?? Das WAN Interfaces des Linksys ?? Alle VLAN Interfaces des Linksys, Alles am Linksys.
Das natürlich unter der Annahme das der Linksys mit dem WAN Interface mit dem Draytek verbunden ist was auch nicht klar beschrieben ist
Zitat von @haudegen99:
Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.
Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.
Das verstärkt den verdacht, daß entweder ein NAT zwischendrin stört oder das Routing im linksys nicht ganz korrekt ist.
Nein, nein, lassen wir mal die VLNS außen vor. Ich möchte nur den Linksys mit der IP 192.168.1.253 anpingen. Das funktioniert mit einem Rechner, der im gleichen Netzwerk ist ohne Problem. Auch lässt sich der Router direkt vom Draytek, der im gleichen Netz ist, anpingen. Natürlich, sind ja alle im 1er-Netz. Jetzt kommt aber das Problem: Aus dem 12er-Netz lässt sich der Router nicht anpingen, obwohl andere Rechner im 1er-Netz sich durchaus anpingen lassen.
Ums dann nochmals nachzufragen ist die IP 192.168.1.253 dann der WAN Port des DD-WRT ???
Welcher Router lässt sich aus dem 12er netz nicht anpingen und auf welchem Interface ??
Sorry, aber du hast derer ja viele und solltest etwas präziser sein und dir nicht alles einzeln aus der Nase ziehen lassen
Kläre ob der dd-WRT im Router oder Gateway Modus arbeitet !
Welcher Router lässt sich aus dem 12er netz nicht anpingen und auf welchem Interface ??
Sorry, aber du hast derer ja viele und solltest etwas präziser sein und dir nicht alles einzeln aus der Nase ziehen lassen
Kläre ob der dd-WRT im Router oder Gateway Modus arbeitet !
Ja, schlecht erklärt, ich weiß.
Nein, die 192.168.1.253 ist der Lan-Port des DD-WRT. Ist intern als VLAN geschaltet und verbindet so, die Netzwerke, wie auch das 1er-Netz mit dem 99er-Netz. Aber das ist ja eher sekundär, weil ich ja noch nicht mal zur 192.168.1.253 komme.
Der DD-WRT lässt sich nicht anpingen, zwar aus dem eigenen Netz schon, nicht aber aus dem 12er-Netz. Aus dem 12er-Netz habe ich das per Konsole auf dem server gemacht. Das tracert zeigt mir dann:
192.168.12.250
192.168.1.1
Das komische ist ja, dass mir das tracert bei einer anderen IP, z.B. die eines Rechners anzeigt:
192.168.12.250
192.168.1.1
192.168.1.101
Nein, die 192.168.1.253 ist der Lan-Port des DD-WRT. Ist intern als VLAN geschaltet und verbindet so, die Netzwerke, wie auch das 1er-Netz mit dem 99er-Netz. Aber das ist ja eher sekundär, weil ich ja noch nicht mal zur 192.168.1.253 komme.
Der DD-WRT lässt sich nicht anpingen, zwar aus dem eigenen Netz schon, nicht aber aus dem 12er-Netz. Aus dem 12er-Netz habe ich das per Konsole auf dem server gemacht. Das tracert zeigt mir dann:
192.168.12.250
192.168.1.1
- * *
Das komische ist ja, dass mir das tracert bei einer anderen IP, z.B. die eines Rechners anzeigt:
192.168.12.250
192.168.1.1
192.168.1.101
dann sniffe einfach mal zwischen den beiden Routern im 1-er netz und schau, ob der linksys einen ICMP-Echo-Request bekommt und darauf anwortet. Das dürfte recht schnell klären, wo das Problem liegt.
Schreibe doch bitte erstmal genau auf WO und an welchem Port des DD-WRT welches IP Netz dran ist !! Ohne das drehen wir uns doch nur weiter im Kreis hier
Vermutlich sieht das so aus bei dir, oder ?
Und die dd-wrt VLAN Konfig ist gemäss dieses Tutorials gemacht worden, richtig:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kardinalsfrage: Was ist mit dem WAN Interface des dd-wrt Routers ? Ist der unbeschaltet machst du also nur ein lokales Routing am LAN Port zwischen den VLANs ??
Ohne eine präzise Beschreibung kommen wir hier nicht weiter !!
Vermutlich sieht das so aus bei dir, oder ?
Und die dd-wrt VLAN Konfig ist gemäss dieses Tutorials gemacht worden, richtig:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kardinalsfrage: Was ist mit dem WAN Interface des dd-wrt Routers ? Ist der unbeschaltet machst du also nur ein lokales Routing am LAN Port zwischen den VLANs ??
Ohne eine präzise Beschreibung kommen wir hier nicht weiter !!
Oh ja, genau so sieht es aus! 
Also, die Konfiguration des DD-WRT habe ich nicht selbst gemacht. Dort ist OpenWRT White Russian installiert.
Wieso WAN-Interface? Der Router ist nicht am Internet, der hat alle vier Ports mit verschiedenen Netzwerken belegt. Denn diese Netzwerke müssen alle auf den Server 192.168.99.110 zugreifen, aber sollen sich gegenseitig nicht sehen, daher die VLANs.
Also, die Konfiguration des DD-WRT habe ich nicht selbst gemacht. Dort ist OpenWRT White Russian installiert.
Wieso WAN-Interface? Der Router ist nicht am Internet, der hat alle vier Ports mit verschiedenen Netzwerken belegt. Denn diese Netzwerke müssen alle auf den Server 192.168.99.110 zugreifen, aber sollen sich gegenseitig nicht sehen, daher die VLANs.
Mit anderen Worten: Dein WAN/Internet Interface ist dann unbenutzt, und dort ist nichts aufgesteckt, richtig ?
Hätte ja sein können das du es benutzt, denn dort muss ja nicht unbedingt das Internet ran.
OK, wenn dem so ist das du nur die LAN Ports routest für die VLANs hast du folwende ToDos damit sich alles anpingen kann:
Es kann sein das die Default Route auf dem DD-WRT nicht auf dem LAN Interfaces greift, sondern nur auf dem WAN/Internet Interface. (Vermutung) Das ist aber kein Problem...!
Du machst dann folgendes:
Wenn das so konfiguriert ist können sich alle IP Netze und Endgeräte auf der DD-WRT / Draytek Seite problemlos untereinander anpingen !
Das wäre der wichtige erste Schritt !
Hätte ja sein können das du es benutzt, denn dort muss ja nicht unbedingt das Internet ran.
OK, wenn dem so ist das du nur die LAN Ports routest für die VLANs hast du folwende ToDos damit sich alles anpingen kann:
- In den einzelnen VLANs zeigen die Gateway IP ALLE Rechner auf die jeweils korrespondierende IP des DD-WRT Interfae in diesem VLAN.
- DD-WRT VLAN Router benötigt eine default Route auf die 192.168.1.er IP des Draytek 192.168.1.1
- Der Draytek benötig statische Routing Einträge für ALLE VLAN IP Netze also auch dem .99.0 mit einer Gateway IP 192.168.1.253 (IP Adresse DD-WRT)
Es kann sein das die Default Route auf dem DD-WRT nicht auf dem LAN Interfaces greift, sondern nur auf dem WAN/Internet Interface. (Vermutung) Das ist aber kein Problem...!
Du machst dann folgendes:
- Du nimmst dann einfach das 192.168.1.0er VLAN vom LAN Port runter und löschst VLAN und IP
- Das 192.168.1.0er IP netz konfigurierst du dann auf dem WAN/Internet Interface (Static IP, 192.168.1.253 /24 eingeben und das Gateway auf die 192.168.1.1 stellen !)
- Achtung: Unbedingt dann den Routing Modus auf Router umstellen ! (Darf nicht "Gateway" sein sonst macht der Port NAT !) Siehe #comment-toc4 HIER
- Kabel mit dem .1.0er netz vom LAN Port auf den WAN Port umstecken ! Fertisch.
Wenn das so konfiguriert ist können sich alle IP Netze und Endgeräte auf der DD-WRT / Draytek Seite problemlos untereinander anpingen !
Das wäre der wichtige erste Schritt !
