Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site-to-Site VPN Sonicwall TZ170 zu TZ190 mit Speedport W721V als Modem dazwischen

Mitglied: neun11turbo

neun11turbo (Level 1) - Jetzt verbinden

27.06.2009, aktualisiert 00:59 Uhr, 3288 Aufrufe, 1 Kommentar

Der Tunnel lässt sich von EINER Seite (TZ190 hinter Speedport als VDSL Modem) aufbauen und funktioniert dann von beiden Seiten aus perfekt. Er lässt sich aber NICHT von der anderen Seite (TZ170 hinter normalem DSL Modem) aufbauen (wohl aber nutzen wenn er von der anderen Seite aufgebaut wurde...)

Folgendes Szenario:

Site A:

VDSL an Speedport W721V
Speedport hat die Zugansdaten und die Option "als Modem nutzen" ist aktiviert
Adresse Speedport ist 192.168.2.1
DHCP ist aktiviert

Sonicwall TZ190 WAN Port angeschlossen an den LAN Port 1 des Speedport
WAN Zugang so definiert, dass sich die Sonicwall per DHCP vom Speedport die "WAN"-Adresse etc. holt
Die TZ 190 hat dann als "WAN" Adresse 192.168.2.153
Die LAN Adresse des TZ190 ist auf 10.10.101.1 gesetzt.
Alle PCs etc. sind über die LAN Anschlüsse und diverse Switche so an die TZ190 angeschlossen

Alles funktioniert so weit perfekt. Alle PCs kommen in Internet etc., alles wunderbar

Jetzt wollen wir einen VPN Tunnel mit einer anderen Site aufsetzen:

Site B

Normales ADSL an normalem DSL Modem (reines Modem)
Sonicwall TZ170 WAN Port angeschlossen am Modem
TZ170 hat die Zugangsdaten und bekommt über PPPoE seine WAN Adresse etc.
Die LAN Adresse des TZ170 ist 10.101.98.1
Wieder sind alle PCs etc an den LAN Anschlüssen des TZ179 angeschlossen

Auch hier funktioniert alles so weit perfekt


VPN zwischen den Sites:

Die WAN Adressen sind über DYNdns als FQDN vorhanden und entsprechend bei IPSec Primary Gateway eingetragen
Secondary GW ist 0.0.0.0

IKE mit PSK
IDs sind die UFIs (bei der TZ190 / bei der TZ170 muss der VPN Policy Name dem UFI der Peer Seite entsprechen)
Proposals sind identisch auf beiden Seiten

Auf Site A ist als remote Netzwerk 10.101.98.1 mit 255.255.255.0 eingetragen
Auf Site B ist als remote Netzwerk 10.10.101.1 mit 255.255.255.0 eingetragen


Wird jetzt VON Site A im Browser z.B. 10.10.101.1 eigetragen wird der Tunnel ohne Problem aufgebaut und es escheint die Login-Seite der TZ170 von Site B (die hat auf Site B ja 10.101.98.1). Auch von Site B kann jetzt jedes Gerät im LAN von Site A angesprochen werden und alles funktioniert ohne jedes Problem....

Ganz anders von Site B: wird hier eine Adresse von Site A im Browser eingetragen passiert gar nichts und im TZ170 Log ist zu lesen:



2009/06/27 00:53:37.832 IKE negotiation aborted due to timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
3 2009/06/27 00:53:03.832 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
4 2009/06/27 00:52:46.816 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
5 2009/06/27 00:52:35.832 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
6 2009/06/27 00:52:27.864 IKE Initiator: Start Aggressive Mode negotiation (Phase 1) xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net


...die TZ170 versucht also den Tunnel aufzubauen, scheitert aber kläglich...

Woran könnte es nun liegen, dass es zwar in einer Richtung problemlos klappt, in der anderen aber nicht...?

Danke für alle Ideen,
Klaus
Mitglied: aqui
28.06.2009 um 14:44 Uhr
Ein Argument von dir:
Die TZ 190 hat dann als "WAN" Adresse 192.168.2.153

zeigt ganz klar das der SP niemals nur als Modem arbeitet ! Ein Modem ist transparent und es ist also zu erwarten das du eine öffentliche IP Adresse an diesem Port bekommst aber niemals eine RFC 1918 IP Adresse
http://de.wikipedia.org/wiki/Private_IP-Adresse

Die ganz klar auf einen NAT Prozess schliessen lässt, denn die T-Com verwendet logischerweise ja keine privaten IPs im WAN !!

Vermutlich hast du also vergessen den DHCP Server beim Speedport W721V auszuschalten. Es ist auch zu bezweifeln das die T-Com IP Adressen bei VDSL mit DHCP vergibt. Vermutlich wird hier ebenfalls PPPoE benutzt.
Es ist logisch das mit einer geNATeten IP Adresse aus einem RFC 1918 IP netz niemals eine VPN Verbindung zustande kommt.

Erst wenn du auf dem WAN Port der Sonicwall eine öffentliche IP hast ist das IP Adressing OK und dann wird ein (VPN) Schuh draus !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Site to Site VPN zwischen Sonicwall und Fritzbox

Frage von KisteRouter & Routing5 Kommentare

Hallo zusammen, ich versuche jetzt seit längerem einen dauerhafte VPN Verbindung zwischen einer Fritzbox 7490 mit (DynDns) und einer ...

LAN, WAN, Wireless

Site to Site VPN FritzBox

gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Router & Routing

Site-to-Site VPN zwischen Sonicwall TZ 205 und Fritzbox 7580 Verbindungsabbruch

Frage von KisteRouter & Routing6 Kommentare

Hallo Kollegen, ich habe ein VPN zwischen einer Sonicwall TZ 205 und einer FB 7580 (FRITZ!OS 06.54) aufgebaut. Die ...

Netzwerke

Site-to-Site VPN pfSense hinter Speedports mit IP Telefonie

gelöst Frage von DanyCodeNetzwerke4 Kommentare

Hallo alle miteinander, ich bin noch recht neu in der Materie VPN (Site-to-Site) pfSense etc. Ich beschreibe einmal kurz ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...