11
VPN-Tunnel zwischen 2 Netzen mit Zyxel Routern
Weder PING noch Netzwerkzugriffe funktionieren!
Hallo Zusammen!
Ich möchte einen VPN-Tunnel zwischen 2 Netzen aufbauen.
Sie befinden sich an 2 Standorten, bei unterschiedlichen Providern und haben jeweils eine statische WAN-IP.
Netz1: Zyxel 660-HW 192.168.1.0 255.255.255.0 ARCOR
Netz2: Zyxel P662-HW 192.168.2.0 255.255.255.0 Alice-DSL
VPN Konfiguration (auf beiden Routern gleich):
IPSec: IKE
Abstimmung: Allgemein
Encapsulation: Tunnel
Sicherheit: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Phase1:
Abstimmung: Allgemein
Schlüssel: s.o.
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Schlüsselgruppe: DH1
Phase2:
Protokoll: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Encapsulation: Tunnel
PFS: OHNE
Lokal und Gegenstelle werden jeweils als Subnet übergeben.
IDs werden als IP überprüft.
Der Tunnel wird hiermit auch erfolgreich aufgebaut und im VPN-Monitor der Router angezeigt.
Protokoll:
1 02/20/2009 10:58:32 Send<:[HASH][DEL]>
2 02/20/2009 10:58:32 Adjust TCP MSS to 1452
3 02/20/2009 10:58:32 Send<:[HASH][DEL]>
4 02/20/2009 10:58:36 Send<:[SA][VID][VID]>
5 02/20/2009 10:58:36 Send Mode request to <*.*.*.*>
6 02/20/2009 10:58:36 Rule [1] Sending IKE request
7 02/20/2009 10:58:37 Recv<:[KE][NONCE]>
8 02/20/2009 10:58:37 Send<:[KE][NONCE]>
9 02/20/2009 10:58:37 Recv<:[SA][VID]>
10 02/20/2009 10:58:38 Rule [1] Tunnel built successfully
11 02/20/2009 10:58:38 Send<:[HASH]>
12 02/20/2009 10:58:38 Adjust TCP MSS to 1390
13 02/20/2009 10:58:38 Recv<:[HASH][SA][NONCE][ID][ID]>
14 02/20/2009 10:58:38 Send<:[HASH][SA][NONCE][ID][ID]>
15 02/20/2009 10:58:38 Start Phase 2: Quick Mode
16 02/20/2009 10:58:38 Phase 1 IKE SA process done
17 02/20/2009 10:58:38 Recv<:[ID][HASH][NOTFY:INIT_CONTACT]>
18 02/20/2009 10:58:38 Send<:[ID][HASH][NOTFY:INIT_CONTACT]>
Allerdings funktionieren nun weder PING noch Netzwerkzugriffe!
Kann es mit den Router-Firewall Einstellungen zusammenhängen?
(Habe in beiden Regeln fürs IPSec und IKE festgelegt und per NAT UDP 500 für IKE übergeben.)
Wie ist sieht es mit der RIP-Konfiguartion aus? Kann da ein Problem entstehen?
(Habe RIP-2M in beide Richtungen mit IGMP-2 zugelassen)
Vielen Dank schonmal für Eure Hilfe!
Cheers, SmiLee
Ich möchte einen VPN-Tunnel zwischen 2 Netzen aufbauen.
Sie befinden sich an 2 Standorten, bei unterschiedlichen Providern und haben jeweils eine statische WAN-IP.
Netz1: Zyxel 660-HW 192.168.1.0 255.255.255.0 ARCOR
Netz2: Zyxel P662-HW 192.168.2.0 255.255.255.0 Alice-DSL
VPN Konfiguration (auf beiden Routern gleich):
IPSec: IKE
Abstimmung: Allgemein
Encapsulation: Tunnel
Sicherheit: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Phase1:
Abstimmung: Allgemein
Schlüssel: s.o.
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Schlüsselgruppe: DH1
Phase2:
Protokoll: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Encapsulation: Tunnel
PFS: OHNE
Lokal und Gegenstelle werden jeweils als Subnet übergeben.
IDs werden als IP überprüft.
Der Tunnel wird hiermit auch erfolgreich aufgebaut und im VPN-Monitor der Router angezeigt.
Protokoll:
1 02/20/2009 10:58:32 Send<:[HASH][DEL]>
2 02/20/2009 10:58:32 Adjust TCP MSS to 1452
3 02/20/2009 10:58:32 Send<:[HASH][DEL]>
4 02/20/2009 10:58:36 Send<:[SA][VID][VID]>
5 02/20/2009 10:58:36 Send Mode request to <*.*.*.*>
6 02/20/2009 10:58:36 Rule [1] Sending IKE request
7 02/20/2009 10:58:37 Recv<:[KE][NONCE]>
8 02/20/2009 10:58:37 Send<:[KE][NONCE]>
9 02/20/2009 10:58:37 Recv<:[SA][VID]>
10 02/20/2009 10:58:38 Rule [1] Tunnel built successfully
11 02/20/2009 10:58:38 Send<:[HASH]>
12 02/20/2009 10:58:38 Adjust TCP MSS to 1390
13 02/20/2009 10:58:38 Recv<:[HASH][SA][NONCE][ID][ID]>
14 02/20/2009 10:58:38 Send<:[HASH][SA][NONCE][ID][ID]>
15 02/20/2009 10:58:38 Start Phase 2: Quick Mode
16 02/20/2009 10:58:38 Phase 1 IKE SA process done
17 02/20/2009 10:58:38 Recv<:[ID][HASH][NOTFY:INIT_CONTACT]>
18 02/20/2009 10:58:38 Send<:[ID][HASH][NOTFY:INIT_CONTACT]>
Allerdings funktionieren nun weder PING noch Netzwerkzugriffe!
Kann es mit den Router-Firewall Einstellungen zusammenhängen?
(Habe in beiden Regeln fürs IPSec und IKE festgelegt und per NAT UDP 500 für IKE übergeben.)
Wie ist sieht es mit der RIP-Konfiguartion aus? Kann da ein Problem entstehen?
(Habe RIP-2M in beide Richtungen mit IGMP-2 zugelassen)
Vielen Dank schonmal für Eure Hilfe!
Cheers, SmiLee
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 109558
Url: https://administrator.de/contentid/109558
Printed on: April 19, 2024 at 09:04 o'clock
11 Comments
Latest comment
die beiden netze dürfen nicht di egleiche ip range haben. in einem netz musst du die ips ändern, wie soll sonst das routing klappen?
sorry. war natürlich nur falsch eingetippt.
habs jetzt berichtigt.
habs jetzt berichtigt.
Ursache ist vermutlich die lokalen Firewalls auf den remoten Rechnern !
Dir ist sicher selber klar das die alles was aus Fremdnetzen...was die VPN Netze ja sind gnadenlos abblocken !
Du musst also eine Ausnahme für die jeweils remoten Netze in der Firewall nachtragen oder die Firewall zum Testen mal temporär deaktivieren !!
Damit sollte das problemlos laufen !!
Was sagt denn ein Traceroute (tracert) oder pathping ??
Dir ist sicher selber klar das die alles was aus Fremdnetzen...was die VPN Netze ja sind gnadenlos abblocken !
Du musst also eine Ausnahme für die jeweils remoten Netze in der Firewall nachtragen oder die Firewall zum Testen mal temporär deaktivieren !!
Damit sollte das problemlos laufen !!
Was sagt denn ein Traceroute (tracert) oder pathping ??
firewalls habe ich auch schon deaktiviert.
tracert macht schon nach der 2. station feierabend.
scheint gar nicht erst den router zu verlassen.
ist aber wirklich komisch, da die verbindung ja erst durch nen ping aufgebaut wird.
das funktioniert auch nur, wenn wirklich 2 clients laufen.
aber der ping geht dann doch nicht durch - bin echt langsam am verzweifeln!
tracert macht schon nach der 2. station feierabend.
scheint gar nicht erst den router zu verlassen.
ist aber wirklich komisch, da die verbindung ja erst durch nen ping aufgebaut wird.
das funktioniert auch nur, wenn wirklich 2 clients laufen.
aber der ping geht dann doch nicht durch - bin echt langsam am verzweifeln!
Das ist Unsinn das die Verbindung durch einen Ping aufgebaut wird.
Wenn beides VPN Router sind bauen die Router die Verbindung auf sowie sie gebootet sind und halten diesen VPN Tunnel.
Man kann ihn also quasi als Standleitung zwischen den beiden remoten Netzen sehen !!
Endgeräte oder Pings oder sowas haben damit gar nichts zu tun...das ist ein Irrglaube ! Vermutlich ist dir die Funktion von VPNs nicht ganz klar ??!!
Kannst du dann wenigstens die LAN IP des Routers auf der remoten Seite pingen ???
Das muss in jedem Falle klappen, denn dort gibt es keinerlei FW und die Ping Pakete bleiben im Router !
Das muss klappen und verifiziert dann das der VPN Tunnel auch wirklich aufgebaut ist und sauber funktioniert !!!
Wenn beides VPN Router sind bauen die Router die Verbindung auf sowie sie gebootet sind und halten diesen VPN Tunnel.
Man kann ihn also quasi als Standleitung zwischen den beiden remoten Netzen sehen !!
Endgeräte oder Pings oder sowas haben damit gar nichts zu tun...das ist ein Irrglaube ! Vermutlich ist dir die Funktion von VPNs nicht ganz klar ??!!
Kannst du dann wenigstens die LAN IP des Routers auf der remoten Seite pingen ???
Das muss in jedem Falle klappen, denn dort gibt es keinerlei FW und die Ping Pakete bleiben im Router !
Das muss klappen und verifiziert dann das der VPN Tunnel auch wirklich aufgebaut ist und sauber funktioniert !!!
jedenfalls wird der tunnel erst nach einem ping auf das remote netz aufgebaut und nicht schon beim starten der router. (habe aber "keep alive" eingestellt)
mit einem draytek-router und dynamischer ip auf der arcor seite hatte ich auch mit den gleichen einstellungen einen voll funktionsfähigen tunnel.
erst mit dem wechsel zur statischen arcor-ip und dem "neuen" zyxel-p662-hw klappt es jetzt nicht mehr richtig.
ping zu den remote wan-ips geht - über vpn auf remote router lan-ip nicht.
(ist auch aus beiden richtungen das gleiche...)
hab ich denn irgend etwas übersehen?
haben denn generell die RIP oder multicast Einstellungen irgendeinen Einfluß aufs VPN?
mit einem draytek-router und dynamischer ip auf der arcor seite hatte ich auch mit den gleichen einstellungen einen voll funktionsfähigen tunnel.
erst mit dem wechsel zur statischen arcor-ip und dem "neuen" zyxel-p662-hw klappt es jetzt nicht mehr richtig.
ping zu den remote wan-ips geht - über vpn auf remote router lan-ip nicht.
(ist auch aus beiden richtungen das gleiche...)
hab ich denn irgend etwas übersehen?
haben denn generell die RIP oder multicast Einstellungen irgendeinen Einfluß aufs VPN?
Draytek ist nun aber auch ein ganz andere Qualität als Billigheimer Zyxel. Daran das es mit Draytek ging kannst du sehen das im Verfahren per se kein Fehler ist.
Ein Ping kann niemals einen VPN Tunnel triggern... VPN Router bauen den selbstständig auf wenn dieser definiert ist, das ist mal nun so bei VPN Routern.
In der beziehung hat dein Zyxel da eine Macke !!!
Das neueste Firmware Image hast du aufgespielt ???
Dadurch das du die remote LAN IP des Routers nicht pingen kannst kannst du ersehen das der VPn Tunnel nicht funktioniert !!
Fazit: Zyxel entsorgen...Draytek einsetzen !! Ist sowieso fraglich warum du vom Mercedes in den Trabbi umsteigst... ???
Ein Ping kann niemals einen VPN Tunnel triggern... VPN Router bauen den selbstständig auf wenn dieser definiert ist, das ist mal nun so bei VPN Routern.
In der beziehung hat dein Zyxel da eine Macke !!!
Das neueste Firmware Image hast du aufgespielt ???
Dadurch das du die remote LAN IP des Routers nicht pingen kannst kannst du ersehen das der VPn Tunnel nicht funktioniert !!
Fazit: Zyxel entsorgen...Draytek einsetzen !! Ist sowieso fraglich warum du vom Mercedes in den Trabbi umsteigst... ???
Den neuen Zyxel brauchten wir wegen Umstellung auf ADSL2+.
Hatte nicht damit gerechnet, daß der solche Zicken macht, wenn sein deutlich älterer Bruder das VPN ohne Macken hinbekommt...
Firmware sind auch jeweils die aktuellsten drauf.
Ist es denn möglich den Draytek Router hinter den Zyxel zu hängen, ihn als LAN-Client einzubinden und dann nur als VPN-Router zu betreiben?
Hatte nicht damit gerechnet, daß der solche Zicken macht, wenn sein deutlich älterer Bruder das VPN ohne Macken hinbekommt...
Firmware sind auch jeweils die aktuellsten drauf.
Ist es denn möglich den Draytek Router hinter den Zyxel zu hängen, ihn als LAN-Client einzubinden und dann nur als VPN-Router zu betreiben?
Der Draytek Vogor 2700 kann auch ADSL2+ !! Warum du dennoch auf Zyxel gegangen bist ist unverständlich ???
Zumal dein alter Draytek bis 6 Mbit supportet. OK wenn du natürlich eine höhere Bandbreite hast nütztdir das nichts.
Da wäre der 2700 dann das Gerät der Wahl gewesen...
Zumal dein alter Draytek bis 6 Mbit supportet. OK wenn du natürlich eine höhere Bandbreite hast nütztdir das nichts.
Da wäre der 2700 dann das Gerät der Wahl gewesen...
Mir war nicht klar, daß der Zyxel angeblich soooo schlecht ist.
(Außerdem hatte ich gar keinen Vigor 2700 zur Auswahl...)
Wie sieht es denn aus, mit meiner obigen Frage - könnte das klappen?
(Außerdem hatte ich gar keinen Vigor 2700 zur Auswahl...)
Wie sieht es denn aus, mit meiner obigen Frage - könnte das klappen?
ich wüde zuerst mal dem zyxel support auf die nervern gehen.
support für endkunden aus Deutschland: 02405- 690969
http://www.zyxel.de/web/support_category.php?ProgramNo=PRG2006055
support für endkunden aus Deutschland: 02405- 690969
http://www.zyxel.de/web/support_category.php?ProgramNo=PRG2006055
