fuzzyq
Goto Top

VPN Tunnel offen, aber kein Ping möglich (IPSec)

Hallo zusammen!

Ich versuche nun schon seit Tagen erfolglos, einen VPN-Tunnel zwischen einem Netgear FVL328 (hinter einer Fritz!Box 7113) und einem Win7 Rechner hinter einer ISA 2006 Firewall mittels TheGreenBow VPN Client Software zum Laufen zu bekommen. Vielleicht weiß ja ein Profi Rat.

Das exakte Szenario ist folgendes:

Auf der einen Seite funktioniert eine Fritz!Box 7113 als Router für einen 1&1 Komplettanschluss. Per "exposed host"-Funktion (DMZ) wird sämtlicher Verkehr auf einen Netgear FVL328 weitergeleitet. Auf diesem ist eine VPN Verbindung eingerichtet über IPSec.

Auf der anderen Seite hängt Win7 hinter einer ISA 2006 Firewall und versucht mittels TheGreenBow VPN Client Software, auf den Netgear zuzugreifen. Laut GreenBow wird der VPN Tunnel zwar erfolgreich geöffnet, ein Zugriff auf das Remote Netzwerk oder auch nur ein Ping wird jedoch nicht beantwortet.

In der ISA 2006 sind folgende Regeln erstellt:

- VPN zum externen Netzwerk: IKE-Client (UDP 500 senden/empfangen), NAT-T (UDP 4500 senden/empfangen)
- VPN zum internen Netzwerk: IKE-Server (UDP 500 empfangen/senden); als Ursprung ist hier der ISA-server angegeben
- VPN ESP: ESP (IP-Protokoll 50 senden/empfangen)

Interessanterweise zeigt das Übertragungsprotokoll der Firewall den Ping-Versuch nicht an, d.h. die bestende VPN-Verbindung wird wohl irgendwie genutzt, nur anscheinend nicht richtig. Ich vermute, dass die IKE-Absprachen noch richtig übermittelt werden, aber mit den ESP-Paketen irgenein Unfug passiert. Leider habe ich mich das wenige Wissen, das ich über VPN-Verbindungen besitze, in den letzten Wochen anlesen müssen, ich bin sehr weit davon entfernt, ein Profi zu sein.

Um Hilfe oder Denkanstöße wäre ich sehr dankbar!

Mit freundlichem Gruß

Content-Key: 152295

Url: https://administrator.de/contentid/152295

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: aqui
aqui 04.10.2010 um 15:38:53 Uhr
Goto Top
Vermutlich kommt dein VPN Tunnel gar nicht zustande ! Relevant wäre hier der Log Auszug des NetGears, denn nur da steht ob es Probleme mit dem VPN Aufbau gibt.
Ggf. kannst du mal einen freien VPN Client wie den Shrew Client probieren, der selber auch ein Log führt: (Grennbow vorher deinstallieren !)
http://www.shrew.net/support/wiki/HowtoNetgear
Nur anhand eines Logs ist eine detailiertere Fehleranlyse möglich. Leider ist NetGear, vorsichtig gesagt, kein Glanzlicht im Bereich VPN wie dir die zahllosen frustrieten Threads hier unschwer belegen. Andere können das erheblich besser.
Es ist zudem auch unverständlich warum du 2 Router wie die FB und den NetGear kaskadierst ?? Was soll der tiefere Sinn sein und warum terminierst du den VPN Tunnel nicht gleich auf der FB was ja sinnvoller wäre um den Stress mit NAT zu umgehen ?
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
Was meinst du mit "...zeigt das Übertragungsprotokoll der Firewall den Ping-Versuch nicht an" ?? Welche Firewall ???
Wenn du den ISA meinst, ist das doch logisch ! Die ISA sieht doch nur den IPsec Tunnel aber nicht dessen (ICMP) Inhalt. Das genau ist ja der tiefere Sinn eines VPNs !!
Ein paar Sachen solltest du noch beantworten:
  • Betreibst du den ISA direkt ohne NAT Router am Internet ?? (Hoffentlich nicht, dann ist auch hier PFW nötig f. IPsec)
  • Was sagt ein ipconfig -all bei aktivem Client ? Bekommst du eine korrekte VPN IP vom NetGear am Client ?
  • Kannst du die lokale LAN IP des NetGear pingen ?
Bedenke das wenn du Endgeräte im Zielnetz pingst du aus einem anderen IP Netz kommst und folglich eine fremde Absender IP hast.
Lokale Firewalls wie die von Windows blocken diese in der Regel. Hier musst du also auch die FW Einstellungen anpassen !
Mitglied: FuzzyQ
FuzzyQ 05.10.2010 um 09:37:10 Uhr
Goto Top
Hallo aqui,
vielen Dank zunächst für deine rasche Antwort.

Ich denke, ich sollte meinen Netzwerkaufbau noch ein wenig näher beschreiben. Auf der Seite mit der Fritz!Box und dem Netgear hängt kein Rechner, wenn ich darauf zugreifen will. Dort hängen andere Geräte wie eine NAS, ein Netzwerkdrucker etc. dran. Der Laptop, der dort normalerweise mit eingebunden ist, soll eben auch von außen auf dieses Netzwerk zugreifen können.
Die Fritz!Box 7113 unterstützt von sich aus kein VPN (im Gegensatz zu Modellen wie der 7270). Ich habe mir dieses Fernzugriff -Programm von AVM einmal kurz angesehen, aber wenn ich das richtig verstehe, hilft mir das nicht weiter, da es meiner Fritz!Box nicht nachträglich zum VPN Aufbau verhelfen vermag. Sehe ich das richtig? Falls ja erklärt sich der Stress mit Fritz!Box und Netgear von selbst.

Dass der Netgear alles andere als einfach zu handhaben ist, ist mir bereits mehrfach schmerzlich bewusst gemacht worden. Ich habe einfach die Hardware zu nutzen versucht, die schon da war, zusätzliches Geld wollte ich nach Möglichkeit nicht darauf verwenden (sonst hätte ich mir gleich die Fritz!Box 7270 o.ä. gekauft).

Den Shrew Soft Client habe ich als Erstes ausprobiert, allein schon deswegen, weil er im Gegensatz zum GreenBow kostenlos ist. Das Dumme ist nur: ich bekomme den Shrew Soft Client nicht richtig konfiguriert. Angeblich stimmt schon die Phase 1 (IKE Protokoll) von Client und Netgear nicht überein. Mit den selben Einstellungen erstellt der GreenBow die Verbindung jedoch ohne Probleme (naja, sagen wir mal er bekommt zumindest Phase 1 tadellos hin).

So, nun zum größten aktuellen Problem, für das du mich bestimmt am liebsten schlagen würdest: zwischen den beiden zu verbindenden Systemen liegen 550 km. An ein Protokoll des Netgears komme ich also so lange nicht ran, bis die Verbindung funktioniert oder ich die 550 km selbst zurück gelegt habe anstatt der Datenpakete face-confused
Der Punkt ist nun aber der, dass die VPN Verbindung zwischen Netgear und GreenBow in einer anderen Umgebung bereits erfolgreich getestet wurde. Ich bin mir zu 99% sicher, dass das Problem nicht hier liegt.
Und jetzt das Absurdeste an der ganzen Geschichte: vorgestern hat die Verbindung, um die es sich dreht, für ca. 10 Minuten einwandfrei funktioniert. Ich konnte jedes Gerät im entfernten Netzwerk pingen, die NAS wurde erfolgreich per Wake-on-Lan aus dem Tiefschlaf geholt und man konnte darauf zugreifen. Dann brach der Tunnel zusammen und seitdem kann man zwar den Tunnel wieder öffnen, jedoch nichts mehr pingen, geschweige denn Datenzugriff erlangen.

Ich gebe zu, dass anhand dieser komplizierten Situation eine Ferndiagnose selbst für einen Profi so gut wie unmöglich sein dürfte. Aber es könnte ja sein, dass jemand einen speziellen Verdacht hat, wo genau das Problem liegen könnte. Mein Tipp wäre, dass es etwas mit der ISA 2006 Firewall zu tun hat, aber ich bin wie gesagt kein Fachmann. Die Windows Firewall wurde im Übrigen aus Testzwecken ausgeschaltet, die sollte dabei auch keine Probleme mehr machen.


Zitat von @aqui:
Vermutlich kommt dein VPN Tunnel gar nicht zustande !
(...)
Was meinst du mit "...zeigt das Übertragungsprotokoll der Firewall den Ping-Versuch nicht an" ?? Welche
Firewall ???
Wenn du den ISA meinst, ist das doch logisch ! Die ISA sieht doch nur den IPsec Tunnel aber nicht dessen (ICMP) Inhalt. Das genau
ist ja der tiefere Sinn eines VPNs !!


Diese Aussagen sind für mich widersprüchlich. Wenn der VPN Tunnel nicht (wie eigtl. von GreenBow gemeldet) zustande käme, dann würde sich der Ping nicht im VPN, sondern unverschlüsselt im WAN bewegen, und müsste somit in den Firewall Protokollen der ISA 2006 auftauchen, oder verstehe ich die Sache ganz falsch? Meiner Ansicht nach ist das nicht-Auftauchen des Pings im Protokoll ein Beweis dafür, dass der VPN-Tunnel sehr wohl zustande kommt, darum habe ich das Phänomen erwähnt.

Ich glaube weiterhin, dass irgendein Unfug mit den ESP Paketen passiert und dass es etwas mit der ISA 2006 zu tun hat.

Langfristig werde ich mit vielleicht doch noch eine bessere Fritz!Box zulegen, um die Prozedur zu vereinfachen, aber bis ich wieder vor Ort bin vergehen noch mehrere Wochen, in denen ich nicht an meine Daten ran komme. Das ist nicht lebenswichtig tragisch, aber doch ziemlich ärgerlich. Daher wäre ich weiterhin für jeden Denkanstoß dankbar und entschuldige mich für die wahnwitzig erscheinende Konfiguration und die wenigen Informationen, die ich bieten kann.

Mit freundlichem Gruß
Mitglied: aqui
aqui 06.10.2010 um 11:46:19 Uhr
Goto Top
Na ja, wenn der Tunnel schon mal funktioniert hat, dann hast du ja alles richtig gemacht. Einen besseren Beweis gibt es nicht. Bei der Shrew Beispielkonfig im Web musst du aufpassen, da dort ein anderes (10er) IP Netz als lokales LAN im NetGear angegeben ist. Das musst du natürlich zwingend ändern auf dein verwendetes IP Netz.
Vermutlich bist du laienhaft aus Unwissenheit in die Falle getappt ansonsten funktioniert der Shrew absolut problemlos sogar mit dem NetGear Müll.
Wichtig für dich ist das beide Router die aktuellste Firmware geflasht haben.
Auf der FB vor dem NetGear muss VPN Passthrough aktiviert sein und Port Weiterleitung für UDP 500, 4500 und für das ESP Protokoll mehr nicht.
Vom LAN Anschluss der FB geht ein Verbindungskabel zum WAN Port des NetGear. So sollte deine Verkabelung aussehen:
(Splitter)-----DSL-Port(FritzBox)LAN-Port-----WAN/DSL-Port(NetGear)LAN-Port-----(lokales LAN)