Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Verbindung Phase 1

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

14.02.2008, aktualisiert 19.02.2008, 7043 Aufrufe, 3 Kommentare

Verfendete HW / SW: ZyWALL 5, ZyXEL P660HW, Greenbow VPN Client

Hallo zusammen

Ich hoffe mir kann jemand bei diesem relativ komplizierten Problem helfen:

Es wird versucht, eine VPN-Verbindung zwischen meiner Arbeitsstation im Geschäft und einem Netzwerk im Feld herzustellen. Genauer gesagt verwende ich den Greenbow-VPN-Client und versuche mit diesem das Subnet der ausenstelle zu verbinden.

Der Fehler: Peer unreachable beim Greenbow VPN-Client.
Nun könnte man sagen, ja kein Problem, ich habe einen Schreibfehler im Client bei der Eingabe der fixen IP der Aussenstelle geamcht. Leider eben nicht!

Wies aussieht:
Internet der Ausenstelle funktioniert, kann ebenfalls auch auf den Webserver hinter der ZyWALL 5 zugreifen.
Ausenstelle hat eine Fixe IP-Adresse

Einstellungen:
ZyXEL P660HW ist auf Bridge gestellt, DHCP off, Firewall off
ZyWALL 5 hat alle Interneteinstellungen. Die Firewall ist für VPN entsprechend konfiguriert.

Lösungsversuche:
1. Alle Einstellungen überprüft. Gleiches Problem
2. Alle Geräte druch Updates, Austauschen etc. überprüft. Gleiches Problem
3. Verbindung von meinem Client zu anderen VPN's hergestellt: Funktioniert
4. Das ganze über einen DynDNS Account versucht: Gleiches Problem
5. Mit Studerus (ZyXEL Importeur CH) telefoniert und sämtliche Einstellungen überprüft: Gleiches Problem
6. Mit dem ISP kommuniziert und auf Fehler / eventuelle aktive FW etc. überprüft.

Was ausgeschlossen werden kann:
1. Fehler bei Client, weil dieser auf andere VPN's funktioniet
2. Konfigurationsfehler auf ZyWALL und Router, da die Einstellungen doppelt und dreifach überprüft und abgesprochen wurden
3. Gerätefehler
4. ISP-Fehler*

  • Nach Aussage ISP


Sonstiges
- Die ZyWALL logt nichts, wenn ich einen Verbindungsversuch unternehme. Das sagt mir, dass das Signal nicht einmal so weit kommt

Also, man sieht, ich habe schon einiges versucht und ausgeschlossen. Komme nun einfach nicht mehr weiter.

Noch ein letztes:
Interessant ist, dass wenn ich den Befehl TRACERT von der CMD aus starte habe ich bei zwei weitgehend identischen Aussenstellen verschiedene Rückmeldungen:

Bei der funktioniertenden Aussenstelle mit Fixer IP läuft alles sauber durch.
Bei der nichtfunktionierenden Aussenstelle leider nicht.

Laut ISP (haben denselben Provider) dürfte es bei der funktionierenden Aussenstelle nicht durchlaufen. Also sie sehen das als einen unbedeutenden Fehler das es bei der einten Aussenstelle durchläuft und bei der anderen nicht. Also laut ISP müsste es so oder so funktionieren.

So, dass ist alles was ich weiss. Hoffe auf einige Ideen!
Vielen Dank und Grüsse
Relesys
Mitglied: 61369
14.02.2008 um 16:17 Uhr
Salut
Du hast ja ein Benutzerlogin inkl. Passwort für die Firewall erhalten.
Es soll sich doch jemand bei DEINEM Gerät mit einem anderen VPN-Benutzerlogin anmelden und prüfen, ob der Fehler beim Benutzerlogin der Firewall liegt oder an Deinen Einstellungen. Wenn es mit seinem Benutzer auch nicht geht, dann MUSS es an Deiner lokalen Konfiguration liegen (VPN, OS, Firewall), wenn es jedoch mit seinem geht, dann muss Dein Benutzerprofil der Firewall neu analysiert werden.
Wir haben eine Sonicwall, bei der immer wieder vergessen wird, die eröffneten Benutzer für die VPN-Verbindung manuell zu aktivieren. Tut man das nicht, funktioniert die Phase 1 nicht.
Weiss jedoch nicht, ob Du es bereits mit einem funktionierenden, anderen Login getestet hast.
Du hast geschrieben Du hättest es mit anderen VPN-Verbindungen versucht, jedoch nicht, ob ein anderer bei Deinem PC mit seinem Login dasselbe versucht hat.
Bitte warten ..
Mitglied: aqui
15.02.2008 um 12:26 Uhr
Verdächtig ist das die Firewall rein gar nichts mitloggt. Das ist sehr ungewöhnlich und legt die Vermutung nahe das die VPN Packete gar nicht erst bei ihr ankommen, denn es müsste in jedem Falle ein incoming xyz VON Session im Log stehen.
Leider verschweigst du uns ja WAS für ein VPN Protokoll du benutzt (IPsec AH, IPsec ESP, PPTP, L2TP, SSL oder was auch immer) so das eine detailierte Hilfe nicht einfach ist.

Traceroute oder Windows Pathping benutzen meist ICMP für die Hop Discovery. Es ist gut möglich das der Carrier diese ICMP Typen per Accessliste filtert. Ein Ping auf die Aussenstelle sollte aber immer und in jedem Falle möglich sein, sofern du einen externen Ping in der Firewall erlaubst. Zum Debugging solltest du das in jedem Falle erstmal machen um die Erreichbarkeit sicherzustellen.
Um ICMP Filterungen zu umgehen solltest du ein Traceroute Tool benutzen was auf Basis von UDP oder TCP arbeitet. Fast alle Unix Derivate arbeiten mit einem UDP traceroute. Eine Linux Live Boot CD ist hier sehr hilfreich. TCP benutzt z.B. tcptraceroute.

Wenn alle Stricke reissen hilft dir nur einen Packetsniffer wie den www.WIRESHARK.org zwischen das Modem und die Firewall zu klemmen und die eingehenden Packete explizit mitzusniffern. Hier kannst du dann ganz genau sehen ob deine gesendeten VPN Packete die Firewall überhaupt erreichen.
Vermutlich (laut Log) ist aber genau das nicht der Fall.... Oder sie kommen an und werden dann in der Firewall selber geblockt.
Ein Sniffer Trace sollte da sehr schnell Klarheit schaffen !
Bitte warten ..
Mitglied: relesys
19.02.2008 um 13:46 Uhr
Hey

Vielen Dank für die Lösungsansätze und Geduld...
Also, die Lösung ist:

Infach unter NAT --> Portforwarding den Defaultserver mit 0.0.0.0 definieren. Sonst funktionierts nicht...

Viele Grüsse
Relesys
Bitte warten ..
Ähnliche Inhalte
Netzwerke

VPN Verbindung wird bei Phase 1 blockiert

gelöst Frage von UItimateNetzwerke2 Kommentare

Hallo, ich möchte mit meinem Laptop eine VPN-Verbindung zu meiner Fritz!Box 7490 (Software ist die aktuellste Version) herstellen. Installiert ...

Microsoft Office

Provisionserrechnung in Phasen mit Exel

Frage von Stefanie83Microsoft Office5 Kommentare

Hallo, ich habe folgendes Problem. Ein Mitarbeiter bekommt folgende Staffel auf seinen Umsatz: Phase 1 Bis 1000 € Umsatz ...

Netzwerke

Verbindung mit VPN-Verbindung nicht möglich

Frage von Don-SantoNetzwerke2 Kommentare

Schaffe es nach wie vor nicht einen VPN Tunnel aufzubauen. Nach Vorschlag im Administrator Forum habe ich die "SoftEther" ...

Router & Routing

IPSec Phase 1 Main Mode und Aggressive Mode gemeinsam

Frage von the-buccaneerRouter & Routing2 Kommentare

Moin zusammen! Bin grade über was merkwürdiges gestolptert: IPSec Site2Site Verbindung funktioniert mit Site A (PfSense, feste IP) Aggressive ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 1 TagRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1022 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken17 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Peripheriegeräte
Steckdose(nleiste) mit Schwellwert für off und mit externem Taster
Frage von ahstaxPeripheriegeräte16 Kommentare

Hallo, ich suche eine Steckdose oder Steckdosenleiste mit externem Taster und Schwellwerterkennung. Zu realisieren ist folgendes: Ein PC soll ...