Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst LANCOM 1721 VPN Routing geht nicht obwohl VPN zum ext. Gateway geht

Mitglied: absurt

absurt (Level 1) - Jetzt verbinden

27.09.2013, aktualisiert 14:09 Uhr, 4012 Aufrufe, 15 Kommentare, 3 Danke

Hallo Gemeinde,

habe ein Problem und finde nicht die Lösung.

Sensario:

Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o

Folgendes habe ich eingerichtet:

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)

Warum läuft das eine und das andere nicht? Was habe ich übersehen?

Danke Vorab!
absurt
Mitglied: tikayevent
27.09.2013 um 14:09 Uhr
Dazu benötigst du ein paar mehr Konfigurationsänderungen.

LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:15 Uhr
Ja, danke tikayevent, hatte ich jedoch schon ausprobiert. Jedoch kann ich natürlich nur meine Seite "einrichten". Ich komme ja schon auf das Netzwerk 172.20.0.0 jedoch nicht auf 172.16.0.0
Ansonsten ist es das selbe Gateway mit denselben Konfigurationen.
Bitte warten ..
Mitglied: MrNetman
27.09.2013 um 14:18 Uhr
Hi Absurd,

Da gibt es einen großen Haken in deinem Szenario:

Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.

Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.

Gruß
Netman
Bitte warten ..
Mitglied: tikayevent
27.09.2013 um 14:19 Uhr
Dann brauchst du auf deiner Seite nichts ändern, bis auf die Routingtabelle und aus 172.20.0.0/wasweißich 172.16.0.0/12 draus machen. Wenn es dann nicht geht, dann ist das Gateway am anderen Ende des Tunnels nicht richtig konfiguriert. Du brauchst ja auch eine Rückroute, sonst weiß die Gegenstelle nicht, wohin mit der Antwort.
Bitte warten ..
Mitglied: 108012
27.09.2013, aktualisiert um 14:26 Uhr
Hallo,

also entweder Du bist zu nervös, oder ich habe es nicht kapiert!

Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Wohin geht es denn? und in welchem Netzwerk bist Du?

Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Ja und wo ist das denn nun genau?

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
???
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Ist das jetzt Deine Seite?

Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
???


Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!

Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24

Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24

So das funktioniert auf jeden Fall!

So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?

So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.

Gruß
Dobby
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:24 Uhr
Hi ebenfalls!

wenn ich über meinen Router das entfernte Gateway (IKE Schlüssel und Identität) auf dieser Seite auf die 2 Netzwerke die dahinter liegen zugreigen, muss ich doch nur das 2 Netzwerk routen?!
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:38 Uhr
Okay, etwas einfacher

SEITE A (mein Netzwerk)
Netzwerk 0: 192.184.0.0/24
Gateway 0: 178.x.x.x

VPN
Verbindungs-Liste: beide entf. IP mit GW eingetragen
Verbindungs-Parameter: kein PFS, IKE-Gruppe 2
IKE-Schlüssel mit loc. ID (178.x.x.x) und entf. Id. (62.x.x.x)


SEITE B (entf. Netzwerk)
Netzwerk 1: 172.16.1.0/24
und
Netzwerk 2: 172.20.1.0/24
Gateway 1: 62.x.x.x

Der Weg zum Netzwerk 1 geht (Mailserver)
Der Weg zum Netzwerk 2 geht nicht (Applikationen)

Für mich dache ich, Verbindung und Routing ergänzen, der Gateway mit VPN bleint und los....
Bitte warten ..
Mitglied: MrNetman
27.09.2013, aktualisiert um 14:48 Uhr
Und in dem dahinter liegenden Netzwerk muss selbstverständlich auch die richtige Konfiguration fürs Routen sein.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse eines ganzen Netzes.

edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:49 Uhr
> Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse
eines ganzen Netzes.
Es ist kein öffentliches Netzwerk! Wenn Routig 1 passt, warum nicht Routing 2? Das ist meine Frage gewesen... Das GW ist rein fiktiv.
Bitte warten ..
Mitglied: aqui
27.09.2013, aktualisiert um 14:53 Uhr
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:

NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http:
whois.arin.net/rest/org/IL //

Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
  • Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
  • Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
  • Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
  • Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24 erlaubt ?
  • Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Bitte warten ..
Mitglied: absurt
27.09.2013 um 15:07 Uhr
Hi aqui,

Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NSA lässt Grüßen

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
Ja, so wurde es mir gesagt
* Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
statisch, sticky und DMZ maskiert
* Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
Ja, sollte jedoch über den VPN frei sein
* Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
Nein, nur im Router
* Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24
erlaubt ?
Im Router ist die Regel eingestellt
* Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
tracert auf 172.20.0.0 (bsp. 172.20.1.2) ist sauber bis zum Endpunkt (über 4 Stationen)
tracert auf 172.16.0.0 (bsp. 172.16.3.4) hört nach meinen Router auf, "Zeitüberschreitung der Anforderung", kommt nicht auf das entf. GW

All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Nur zu, ich brache auch eine Lösung!

Danke!
Bitte warten ..
Mitglied: Arch-Stanton
27.09.2013 um 15:15 Uhr
vielleicht solltest Du wirklich mal die die unglücklich vergebene offizielle IP-Adresse im internen Netz ändern, sonst sitzt Du noch bis Weihnachten an der Lösung...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: tkr104
29.09.2013 um 01:19 Uhr
Zitat von absurt:
Nur zu, ich brache auch eine Lösung!

Nur mal so aus Neugierde - wenn du die 172.16.0.0 auf deiner Seite einträgst, wer ändert dann die Tunnel Config auf der anderen Seite?

VG,

Thomas
Bitte warten ..
Mitglied: aqui
29.09.2013 um 09:50 Uhr
@absurt
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.

Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.

Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Bitte warten ..
Mitglied: absurt
02.10.2013 um 10:58 Uhr
Erst einmal vielen Dank für die Unterstützung!

Mein IT Verstand geht doch noch zu 100% !

Wenn die Gegenseite einen Fehler bei der FW macht kann ich es lange problieren.

Fazit, Routingtabelle und Verbindungsliste genügt wenn der VPN schon richtig funktioniert!

@aqui
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist
natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
auf meiner Konfing-Seite war ja alles korrekt, somit keine Einstellungsfehler!
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Wenn ich nur das OK von der Gegenseite bekommt "alles muss gehen!" dann habe ich an mir selbst gezweifelt! Also weiter gehts!

@thomas
dein Kommentar hat mir gezeigt, dass ich auf den richigen Weg war: Die Gegenseite hat's verpennt!
Danke auch dir!

Grüße
absurt
Bitte warten ..
Ähnliche Inhalte
Router & Routing
LANCOM 1721
gelöst Frage von brammerRouter & Routing6 Kommentare

Hallo, nur mal eine kurze Frage an die LANCOM Jungs und Mädels hier Wenn auf der Unterseite des Routers, ...

Router & Routing
Lancom Routing VPN
Frage von mekmekRouter & Routing11 Kommentare

Hallo, wir haben momentan 2 Netze in unserer Zentrale (Netz A + Netz B). Unsere Standorte sind über eine ...

Router & Routing
Routing: Multi Gateway to Gateway VPN
gelöst Frage von TobiasNYCRouter & Routing20 Kommentare

bin mir gerade etwas unsicher und will mich nochmal absichern. Es soll folgendes Szenario aufgebaut werden, hier ein beispiel ...

Router & Routing

Routing über 3 Netze (mit VPN Gateway)

gelöst Frage von HScomputerRouter & Routing15 Kommentare

Ich hoffe, keine bereíts gegebene Lösung für mein Problem übersehen zu haben. Hier mein Problem: Ich habe 2 Standorte ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 9 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 11 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 11 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...