11
Routing Problem mit VPN-Verbindung bei Netgear DGFV338
Hallo,
ich habe zwei Firmenstandorte über jeweils einen VPN-Router (Netgear DGFV338) über einen VPN-Tunnel verbunden.
Die Standorte haben unterschiedliche Subnetze:
Standort A: SUBNET 192.168.10.0 MASK 255.255.255.0 / VPN-Router: 192.168.10.254
Standort B: SUBNET 192.168.11.0 MASK 255.255.255.0 / VPN-Router: 192.168.11.254
Ich kann von jedem Standort jeweils alle Rechner an dem anderen Standort bzw. Subnetz erreichen.
Das Problem was ich allerdings habe, ist das ich bei der Einwahl mit dem Netgear Prosafe VPN Client nur auf den jeweiligen
Standort an dem ich mich eingewählt habe auf das Netzwerk zugreifen kann.
Ich habe es nicht hinbekommen, das die Verbindung des VPN-Clients in das andere Subnetz, sprich zu dem anderen
Standort funktioniert.
Die IP's beider Router sind dynamische, die VPN-Verbindung der beiden Standorte wird über DynDns realisiert.
Hat jemand eine Idee wie dies zu realisieren wäre?
Falls mit statischen Routen, bitte detaillierte Angaben, da ich da schon einiges versucht habe, aber nicht weiter gekommen bin.
Das Problem bei den statischen Routen ist allerdings noch, das ich beim Router jeweils Schnittstelle (ADSL, LAN, WAN) auswählen muss, wobei nur LAN funktioniert.
Kennt jemand vielleicht noch ein gutes Tool, welches bei der Analyse von Routing Problemen hilft?
Gruß
Ralf
ich habe zwei Firmenstandorte über jeweils einen VPN-Router (Netgear DGFV338) über einen VPN-Tunnel verbunden.
Die Standorte haben unterschiedliche Subnetze:
Standort A: SUBNET 192.168.10.0 MASK 255.255.255.0 / VPN-Router: 192.168.10.254
Standort B: SUBNET 192.168.11.0 MASK 255.255.255.0 / VPN-Router: 192.168.11.254
Ich kann von jedem Standort jeweils alle Rechner an dem anderen Standort bzw. Subnetz erreichen.
Das Problem was ich allerdings habe, ist das ich bei der Einwahl mit dem Netgear Prosafe VPN Client nur auf den jeweiligen
Standort an dem ich mich eingewählt habe auf das Netzwerk zugreifen kann.
Ich habe es nicht hinbekommen, das die Verbindung des VPN-Clients in das andere Subnetz, sprich zu dem anderen
Standort funktioniert.
Die IP's beider Router sind dynamische, die VPN-Verbindung der beiden Standorte wird über DynDns realisiert.
Hat jemand eine Idee wie dies zu realisieren wäre?
Falls mit statischen Routen, bitte detaillierte Angaben, da ich da schon einiges versucht habe, aber nicht weiter gekommen bin.
Das Problem bei den statischen Routen ist allerdings noch, das ich beim Router jeweils Schnittstelle (ADSL, LAN, WAN) auswählen muss, wobei nur LAN funktioniert.
Kennt jemand vielleicht noch ein gutes Tool, welches bei der Analyse von Routing Problemen hilft?
Gruß
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72211
Url: https://administrator.de/contentid/72211
Printed on: April 19, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hallo Ralf,
der VPN-Client kennt vermutlich nur das Netz, in welches er sich verbindet. Du mußt dem VPN-Client sagen, daß ein zweites Netz über diesen Zugang erreichbar ist.
Für eine genauere Hilfe wäre die Art des VPN hilfreich (IPSec, PPTP, etc.).
Steffen
der VPN-Client kennt vermutlich nur das Netz, in welches er sich verbindet. Du mußt dem VPN-Client sagen, daß ein zweites Netz über diesen Zugang erreichbar ist.
Für eine genauere Hilfe wäre die Art des VPN hilfreich (IPSec, PPTP, etc.).
Steffen
Es handelt sich um eine IPSec-Verbindung und ich nutze den Netgear ProSafe Client v. 10.7.2.
Wie kann man den Client denn mit dem anderen Subnetz bekannt machen?
Gruß
Ralf
Wie kann man den Client denn mit dem anderen Subnetz bekannt machen?
Gruß
Ralf
Hallo Ralf,
vorab, ich kenne Netgear nicht, aber die prinzipielle Funktionsweise sollte auch auf diese Router zutreffen. Was du hast ist:
VPN-Client-1<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->Internet <--->Client-2
Kannst du die folgende Aufstellung bzgl. Adressen vervollständigen?
Netz Client-1: ?
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: ?
Beispiel:
Netz Client-1: 10.0.10.X/32
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: 10.0.11.X/32
Tunnel zwischen Netz-A und B anpassen:
Router-A:
192.168.10.0/24->Router-B (ab durch den Tunnel)
10.0.10.0/24->Router-B (ab durch den Tunnel)
Router-B:
192.168.11.0/24->Router-A (ab durch den Tunnel)
10.0.11.0/24->Router-A (ab durch den Tunnel)
VPN Client anpassen:
Client-1:
192.168.10.0/24->Router-A (ab durch den Tunnel)
192.168.11.0/24->Router-A (ab durch den Tunnel)
Client-2:
192.168.11.0/24->Router-B (ab durch den Tunnel)
192.168.10.0/24->Router-B (ab durch den Tunnel)
Ich hoffe, das Beispiel ist zu verstehen...
Steffen
vorab, ich kenne Netgear nicht, aber die prinzipielle Funktionsweise sollte auch auf diese Router zutreffen. Was du hast ist:
VPN-Client-1<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->Internet <--->Client-2
Kannst du die folgende Aufstellung bzgl. Adressen vervollständigen?
Netz Client-1: ?
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: ?
Beispiel:
Netz Client-1: 10.0.10.X/32
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: 10.0.11.X/32
Tunnel zwischen Netz-A und B anpassen:
Router-A:
192.168.10.0/24->Router-B (ab durch den Tunnel)
10.0.10.0/24->Router-B (ab durch den Tunnel)
Router-B:
192.168.11.0/24->Router-A (ab durch den Tunnel)
10.0.11.0/24->Router-A (ab durch den Tunnel)
VPN Client anpassen:
Client-1:
192.168.10.0/24->Router-A (ab durch den Tunnel)
192.168.11.0/24->Router-A (ab durch den Tunnel)
Client-2:
192.168.11.0/24->Router-B (ab durch den Tunnel)
192.168.10.0/24->Router-B (ab durch den Tunnel)
Ich hoffe, das Beispiel ist zu verstehen...
Steffen
Hallo Steffen,
Du liegst fast richtig. Schematisch sieht das Ganze wie folgt aus:
VPN-Client<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->PC
VPN-Client: 192.168.12.150 (dynamisch)
Netz-A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
PC im Netz-B: 192.168.11.251
Das Routing zwischen den beiden Netzen ist nicht das Problem, da ich nur vom Client aus jeweils nur nicht in das andere Netz komme.
Ich hab auch schon auf dem Client-PC folgende Route eingerichte:
route add 192.168.11.0 mask 255.255.255.0 192.168.10.254 metric 2 IF 0x30007
Hat aber leider auch nicht funktioniert.
Gruß
Ralf
Du liegst fast richtig. Schematisch sieht das Ganze wie folgt aus:
VPN-Client<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->PC
VPN-Client: 192.168.12.150 (dynamisch)
Netz-A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
PC im Netz-B: 192.168.11.251
Das Routing zwischen den beiden Netzen ist nicht das Problem, da ich nur vom Client aus jeweils nur nicht in das andere Netz komme.
Ich hab auch schon auf dem Client-PC folgende Route eingerichte:
route add 192.168.11.0 mask 255.255.255.0 192.168.10.254 metric 2 IF 0x30007
Hat aber leider auch nicht funktioniert.
Gruß
Ralf
Was sagt den ein Traceroute (tracert bei Win) oder ein Pathping ins Zielnetz ? Dort kannst du dann ganz genau sehen ob die Packete den Weg über den VPN Tunnel nehmen oder am Router verschütt gehen, weil sie wahrscheinlich ins Internet geroutet werden und die statische Route doch nicht greift.
Bedenke auch das bei deiner statischen Route der -p Parameter fehlt und die Route damit nach jedem Reboot des Rechners wieder verloren ist !
Bedenke auch das bei deiner statischen Route der -p Parameter fehlt und die Route damit nach jedem Reboot des Rechners wieder verloren ist !
Ich hab das Ganze mal mit pathping gestest. Ich habe den Eindruck das es nicht durch den Tunnel geht. Hier die entsprechenden Ergenisse:
C:\Dokumente und Einstellungen\Ralf>route add 192.168.11.0 mask 255.255.255.0 19
2.168.10.254 metric 2 IF 0x70007
C:\Dokumente und Einstellungen\Ralf>route print
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 16 d3 50 18 0c ...... Broadcom NetLink (TM) Gigabit Ethernet - Paketpl
aner-Miniport
0x3 ...00 1a 4d 25 71 c1 ...... Gigabyte GN-WI01GT (mini) PCI-E WLAN Card - Pake
tplaner-Miniport
0x4 ...00 ff fa d4 b3 b9 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x70007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 90.187.39.22 90.187.39.22 2
90.187.39.22 255.255.255.255 127.0.0.1 127.0.0.1 50
90.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.12.100 192.168.12.100 1
192.168.11.0 255.255.255.0 192.168.10.254 192.168.12.100 2
192.168.12.100 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.12.255 255.255.255.255 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 192.168.12.100 2 1
255.255.255.255 255.255.255.255 192.168.12.100 4 1
255.255.255.255 255.255.255.255 192.168.12.100 192.168.12.100 1
255.255.255.255 255.255.255.255 192.168.12.100 3 1
Standardgateway: 90.187.39.22
Ständige Routen:
Keine
C:\Dokumente und Einstellungen\Ralf>pathping 192.168.11.254
Routenverfolgung zu 192.168.11.254 über maximal 30 Abschnitte
0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\Ralf>pathping 192.168.10.254
Routenverfolgung zu 192.168.10.254 über maximal 30 Abschnitte
0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]
Ablaufverfolgung beendet.
Der 2. Pathping war zur Kontrolle an den Router im eingewählten Standort, aber selbst das scheint nicht zu gehen. Über einen normalen Ping ist dieser aber zu erreichen.
Irgendwelche Ideen? Woran kann es denn liegen das die Route nicht verwendet wird?
Gruß
Ralf
C:\Dokumente und Einstellungen\Ralf>route add 192.168.11.0 mask 255.255.255.0 19
2.168.10.254 metric 2 IF 0x70007
C:\Dokumente und Einstellungen\Ralf>route print
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 16 d3 50 18 0c ...... Broadcom NetLink (TM) Gigabit Ethernet - Paketpl
aner-Miniport
0x3 ...00 1a 4d 25 71 c1 ...... Gigabyte GN-WI01GT (mini) PCI-E WLAN Card - Pake
tplaner-Miniport
0x4 ...00 ff fa d4 b3 b9 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x70007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 90.187.39.22 90.187.39.22 2
90.187.39.22 255.255.255.255 127.0.0.1 127.0.0.1 50
90.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.12.100 192.168.12.100 1
192.168.11.0 255.255.255.0 192.168.10.254 192.168.12.100 2
192.168.12.100 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.12.255 255.255.255.255 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 192.168.12.100 2 1
255.255.255.255 255.255.255.255 192.168.12.100 4 1
255.255.255.255 255.255.255.255 192.168.12.100 192.168.12.100 1
255.255.255.255 255.255.255.255 192.168.12.100 3 1
Standardgateway: 90.187.39.22
Ständige Routen:
Keine
C:\Dokumente und Einstellungen\Ralf>pathping 192.168.11.254
Routenverfolgung zu 192.168.11.254 über maximal 30 Abschnitte
0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\Ralf>pathping 192.168.10.254
Routenverfolgung zu 192.168.10.254 über maximal 30 Abschnitte
0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]
Ablaufverfolgung beendet.
Der 2. Pathping war zur Kontrolle an den Router im eingewählten Standort, aber selbst das scheint nicht zu gehen. Über einen normalen Ping ist dieser aber zu erreichen.
Irgendwelche Ideen? Woran kann es denn liegen das die Route nicht verwendet wird?
Gruß
Ralf
Routing allein hilft dir nicht! IPSec arbeitet mit Traffic Listen, ist das Zielnetz nicht aufgeführt, kommen die Pakete nicht durch den Tunnel.
Da ich nur den NCP basierten Cient kennt, habe ich mir gerade ein paar Screenshots vom Netgear Prosafe VPN Client angesehen HowTo - VPN-Verbindung mit Netgear DG834B ADSL-Firewall-Router
Die notwendige Einstellung scheint dort 'Remote Party Identity and Addressing' zu sein.
Im Übrigen muß auch die Traffic Liste auf dem Router stimmen.
Gruß Steffen
Da ich nur den NCP basierten Cient kennt, habe ich mir gerade ein paar Screenshots vom Netgear Prosafe VPN Client angesehen HowTo - VPN-Verbindung mit Netgear DG834B ADSL-Firewall-Router
Die notwendige Einstellung scheint dort 'Remote Party Identity and Addressing' zu sein.
Im Übrigen muß auch die Traffic Liste auf dem Router stimmen.
Gruß Steffen
Auch nach mehreren Versuchen habe ich es leider nicht hinbekommen die Einstellungen so abzuändern das es funktioniert.
Ist es möglich sich die aktuellen Traffic Listen irgendwie anzuzeigen. Ich kann so leider schlecht feststellen, ob die geänderten Einstellungen den gewünschten erfolg versprechen.
Oder gibt es vielleicht einen VPN-Client bei dem diese Einstellungen leichter vorzunehmen sind, so dass ich diesen zu Testzwecken erst mal nutzen könnte?
Gruß
Ralf
Ist es möglich sich die aktuellen Traffic Listen irgendwie anzuzeigen. Ich kann so leider schlecht feststellen, ob die geänderten Einstellungen den gewünschten erfolg versprechen.
Oder gibt es vielleicht einen VPN-Client bei dem diese Einstellungen leichter vorzunehmen sind, so dass ich diesen zu Testzwecken erst mal nutzen könnte?
Gruß
Ralf
Mir ist vorhin mal aufgefallen, das ich im Log von dem Netgear Prosafe Client gelegentlich folgende Einträge habe:
10-31: 16:56:33.093 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:56:33.593 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:57:22.265 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 16:59:24.796 Inbound packet failed validation: 192.168.11.100 -> 192.168.12.100
10-31: 16:59:49.750 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:00:03.312 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:00:03.328 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:02:22.968 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:05:04.421 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:05:04.500 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:07:26.359 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:08:30.718 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
Also scheint von den Rechner in Standirt B ja irgendwas anzukommen, was verworfen wird.
Wie kann ich den Client einstellen, das er die Pakete durchlässt?
Ralf
10-31: 16:56:33.093 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:56:33.593 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:57:22.265 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 16:59:24.796 Inbound packet failed validation: 192.168.11.100 -> 192.168.12.100
10-31: 16:59:49.750 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:00:03.312 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:00:03.328 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:02:22.968 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:05:04.421 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:05:04.500 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:07:26.359 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:08:30.718 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
Also scheint von den Rechner in Standirt B ja irgendwas anzukommen, was verworfen wird.
Wie kann ich den Client einstellen, das er die Pakete durchlässt?
Ralf
Hi,
von Funkwerk gibt es eine 30-Tage Trail FEC Secure IPSec Cient (http://www.funkwerk-ec.de/prod_bintec_vpn-ipsec-client_main_de,59623,19 ..). Ob dieser mit Netgear mag, weis ich nicht. Die Einstellung der VPN scheint mir da übersichtlicher.
Grüße, Steffen
von Funkwerk gibt es eine 30-Tage Trail FEC Secure IPSec Cient (http://www.funkwerk-ec.de/prod_bintec_vpn-ipsec-client_main_de,59623,19 ..). Ob dieser mit Netgear mag, weis ich nicht. Die Einstellung der VPN scheint mir da übersichtlicher.
Grüße, Steffen
Das sieht eher so aus als ob der NetGear selber ein Problem hat mit Packeten für das 11er Netz. Mit Validation meint er wohl (geraten...) das das für ihn keine gültigen Packete für das VPN sind, da für ihn falsche IP Adresse. Scheinbar akzeptiert er nur solche aus dem VPN.
Das nährt mal wieder den Verdacht das man beim Thema VPN besser die Finger von NetGear lässt. Die haben sich dort noch nie mit Ruhm bekleckert...
Egal du solltest mal im NetGear suchen ob es eine Funktion gibt die ihm auch beibringt andere Packete als das VPN selber zu akzeptieren. Hat er das nicht, ist wohl die netGear Hotline die letzte Instanz. Ob man dir da kompetent helfen kann mit diesem Problem ist einen andere Frage....
Das nährt mal wieder den Verdacht das man beim Thema VPN besser die Finger von NetGear lässt. Die haben sich dort noch nie mit Ruhm bekleckert...
Egal du solltest mal im NetGear suchen ob es eine Funktion gibt die ihm auch beibringt andere Packete als das VPN selber zu akzeptieren. Hat er das nicht, ist wohl die netGear Hotline die letzte Instanz. Ob man dir da kompetent helfen kann mit diesem Problem ist einen andere Frage....
