kumbajah
Goto Top

VPN - Tunnel steht - Trotzdem keine Verbindung

VPN Tunnel zwischen Zentrale und Filiale über ZyWall35. Tunnel steht, trotzdem kein Ping etc.

Hallo zusammen!

Folgendes passiert:

Tunnelaufbau mit zwei identischen ZyWall 35 wie beschrieben mit den IKE Parametern: Main, AES, SHA1, SA 28800, DH2.
Funktioniert tadellos.

Filiale: Gateway intern 10.0.0.1/16, Server 10.0.0.20/16

Zentrale: Gateway intern 10.10.10.1/16, Server 10.10.10.100/16

IPSec:

Filiale:
Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0
Proposal: Tunnel, ESP, 3DES, SHA1,28800, NONE, Enable Replay Detection, Enable Multi Proposals.

In der Zentrale das ganze gegenverkehrt.

IPCONFIG des Servers in der Filiale:
Ethernet-Adapter EXTERN:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.0.0.20
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.0.0.10
DNS-Server . . . . . . . . . . . : 10.0.0.10
192.168.0.100
195.58.160.194


IPCONFIG des Servers in der Zentrale:
IP-Adresse. . . . . . . . . . . . : 10.10.10.100
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.10.1
DNS-Server . . . . . . . . . . . : 10.10.10.1
195.58.160.2

Der Traffic müsste bei einem Ping von der Zentrale an 10.0.0.20 jetzt doch durch den Tunnel in die Filiale gehen oder? Tut er aber nicht. Bekomme nur "Zeitüberschreitung der Anforderung". Und im Logfile des Filialrouters habe ich Einträge
"ip Spoofing - WAN ICMP(Echo) Source 10.10.10.0 - Dest 10.0.0.20 - ATTACK"

Bin schon verzweifelt, probiere jetzt seit einer Woche sinnlos herum. An den Subnets kanns doch nicht liegen, die sind gleich, oder doch? Kenne mich nicht mehr aus.

Kann mir jemand einen Hinweis geben bitte??

Content-Key: 44607

Url: https://administrator.de/contentid/44607

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 16.11.2006 um 18:07:12 Uhr
Goto Top
Deine Subnets sind schon richtig allerdings gibst du auf beiden Seiten eine falsche Host Range an.
Du benutzt auf beiden Seiten eine 16 Bit Subnetzmaske auf der Class A Adresse bei den Servern also:

10.0.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.0.255.255 analog auf der anderen Seite:
10.10.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.10.255.255

Die Aussage:
"Filiale: Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0"

stimmt dann irgendwie nicht und es kann sein das hier irgendwo ein Adress Maskenfehler vorliegt !
Denn nach dieser Aussage müsste auf den verwendeten 10er Subnetzen eine 24 Bit Maske sein also:
10.0.0.0 mit 255.255.255.0 Hostrange 10.0.0.1 bis .10.0.0.254 analog auf der anderen Seite 10.10.10.0 mit 255.255.255.0 Hostrange 10.10.10.1 bis .10.10.10.254

Wie gesagt und du gibst eine 16 Bit Maske für die Server an, da ist irgendwo ein Widerspruch der ggf. zum Fehler führt.
Das solltest du unbedingt prüfen WELCHE Maske denn nun gültig ist und das die konsistent in den jeweiligen IP Segmenten in Zentrale und Filiale richtig verwendet wird und zwar auf allen maschinen Clients, Router etc..

Nach der Fehlermeldung zu urteilen kann es ebenfalls sein das der Router ICMP Packete (echo) blockt, denn scheinbar kommen die Packete ja bei ihm an er vermutet nur eine Attacke. Ggf. solltest du die Firewall Einstellung auf den Routern diesbezüglich mal checken.

Statt mit Ping kannst du auch mit traceroute arbeiten (tracert bei Windows) dort kannst du dann die einzelen Hops sehen wie weit dein Link kommt. traceroute ist aber auch ICMP basierend, du brauchst dafür dann ebenfalls eine Firewall die dies zulässt !