Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN Verbindung Phase 1

Mitglied: relesys

relesys (Level 1) - Jetzt verbinden

14.02.2008, aktualisiert 19.02.2008, 7026 Aufrufe, 3 Kommentare

Verfendete HW / SW: ZyWALL 5, ZyXEL P660HW, Greenbow VPN Client

Hallo zusammen

Ich hoffe mir kann jemand bei diesem relativ komplizierten Problem helfen:

Es wird versucht, eine VPN-Verbindung zwischen meiner Arbeitsstation im Geschäft und einem Netzwerk im Feld herzustellen. Genauer gesagt verwende ich den Greenbow-VPN-Client und versuche mit diesem das Subnet der ausenstelle zu verbinden.

Der Fehler: Peer unreachable beim Greenbow VPN-Client.
Nun könnte man sagen, ja kein Problem, ich habe einen Schreibfehler im Client bei der Eingabe der fixen IP der Aussenstelle geamcht. Leider eben nicht!

Wies aussieht:
Internet der Ausenstelle funktioniert, kann ebenfalls auch auf den Webserver hinter der ZyWALL 5 zugreifen.
Ausenstelle hat eine Fixe IP-Adresse

Einstellungen:
ZyXEL P660HW ist auf Bridge gestellt, DHCP off, Firewall off
ZyWALL 5 hat alle Interneteinstellungen. Die Firewall ist für VPN entsprechend konfiguriert.

Lösungsversuche:
1. Alle Einstellungen überprüft. Gleiches Problem
2. Alle Geräte druch Updates, Austauschen etc. überprüft. Gleiches Problem
3. Verbindung von meinem Client zu anderen VPN's hergestellt: Funktioniert
4. Das ganze über einen DynDNS Account versucht: Gleiches Problem
5. Mit Studerus (ZyXEL Importeur CH) telefoniert und sämtliche Einstellungen überprüft: Gleiches Problem
6. Mit dem ISP kommuniziert und auf Fehler / eventuelle aktive FW etc. überprüft.

Was ausgeschlossen werden kann:
1. Fehler bei Client, weil dieser auf andere VPN's funktioniet
2. Konfigurationsfehler auf ZyWALL und Router, da die Einstellungen doppelt und dreifach überprüft und abgesprochen wurden
3. Gerätefehler
4. ISP-Fehler*

  • Nach Aussage ISP


Sonstiges
- Die ZyWALL logt nichts, wenn ich einen Verbindungsversuch unternehme. Das sagt mir, dass das Signal nicht einmal so weit kommt

Also, man sieht, ich habe schon einiges versucht und ausgeschlossen. Komme nun einfach nicht mehr weiter.

Noch ein letztes:
Interessant ist, dass wenn ich den Befehl TRACERT von der CMD aus starte habe ich bei zwei weitgehend identischen Aussenstellen verschiedene Rückmeldungen:

Bei der funktioniertenden Aussenstelle mit Fixer IP läuft alles sauber durch.
Bei der nichtfunktionierenden Aussenstelle leider nicht.

Laut ISP (haben denselben Provider) dürfte es bei der funktionierenden Aussenstelle nicht durchlaufen. Also sie sehen das als einen unbedeutenden Fehler das es bei der einten Aussenstelle durchläuft und bei der anderen nicht. Also laut ISP müsste es so oder so funktionieren.

So, dass ist alles was ich weiss. Hoffe auf einige Ideen!
Vielen Dank und Grüsse
Relesys
Mitglied: 61369
14.02.2008 um 16:17 Uhr
Salut
Du hast ja ein Benutzerlogin inkl. Passwort für die Firewall erhalten.
Es soll sich doch jemand bei DEINEM Gerät mit einem anderen VPN-Benutzerlogin anmelden und prüfen, ob der Fehler beim Benutzerlogin der Firewall liegt oder an Deinen Einstellungen. Wenn es mit seinem Benutzer auch nicht geht, dann MUSS es an Deiner lokalen Konfiguration liegen (VPN, OS, Firewall), wenn es jedoch mit seinem geht, dann muss Dein Benutzerprofil der Firewall neu analysiert werden.
Wir haben eine Sonicwall, bei der immer wieder vergessen wird, die eröffneten Benutzer für die VPN-Verbindung manuell zu aktivieren. Tut man das nicht, funktioniert die Phase 1 nicht.
Weiss jedoch nicht, ob Du es bereits mit einem funktionierenden, anderen Login getestet hast.
Du hast geschrieben Du hättest es mit anderen VPN-Verbindungen versucht, jedoch nicht, ob ein anderer bei Deinem PC mit seinem Login dasselbe versucht hat.
Bitte warten ..
Mitglied: aqui
15.02.2008 um 12:26 Uhr
Verdächtig ist das die Firewall rein gar nichts mitloggt. Das ist sehr ungewöhnlich und legt die Vermutung nahe das die VPN Packete gar nicht erst bei ihr ankommen, denn es müsste in jedem Falle ein incoming xyz VON Session im Log stehen.
Leider verschweigst du uns ja WAS für ein VPN Protokoll du benutzt (IPsec AH, IPsec ESP, PPTP, L2TP, SSL oder was auch immer) so das eine detailierte Hilfe nicht einfach ist.

Traceroute oder Windows Pathping benutzen meist ICMP für die Hop Discovery. Es ist gut möglich das der Carrier diese ICMP Typen per Accessliste filtert. Ein Ping auf die Aussenstelle sollte aber immer und in jedem Falle möglich sein, sofern du einen externen Ping in der Firewall erlaubst. Zum Debugging solltest du das in jedem Falle erstmal machen um die Erreichbarkeit sicherzustellen.
Um ICMP Filterungen zu umgehen solltest du ein Traceroute Tool benutzen was auf Basis von UDP oder TCP arbeitet. Fast alle Unix Derivate arbeiten mit einem UDP traceroute. Eine Linux Live Boot CD ist hier sehr hilfreich. TCP benutzt z.B. tcptraceroute.

Wenn alle Stricke reissen hilft dir nur einen Packetsniffer wie den www.WIRESHARK.org zwischen das Modem und die Firewall zu klemmen und die eingehenden Packete explizit mitzusniffern. Hier kannst du dann ganz genau sehen ob deine gesendeten VPN Packete die Firewall überhaupt erreichen.
Vermutlich (laut Log) ist aber genau das nicht der Fall.... Oder sie kommen an und werden dann in der Firewall selber geblockt.
Ein Sniffer Trace sollte da sehr schnell Klarheit schaffen !
Bitte warten ..
Mitglied: relesys
19.02.2008 um 13:46 Uhr
Hey

Vielen Dank für die Lösungsansätze und Geduld...
Also, die Lösung ist:

Infach unter NAT --> Portforwarding den Defaultserver mit 0.0.0.0 definieren. Sonst funktionierts nicht...

Viele Grüsse
Relesys
Bitte warten ..
Ähnliche Inhalte
Netzwerke

VPN Verbindung wird bei Phase 1 blockiert

gelöst Frage von UItimateNetzwerke2 Kommentare

Hallo, ich möchte mit meinem Laptop eine VPN-Verbindung zu meiner Fritz!Box 7490 (Software ist die aktuellste Version) herstellen. Installiert ...

LAN, WAN, Wireless

VPN Fehler bei 2x Phase 2

Frage von EB-StefanLAN, WAN, Wireless

Hallo zusammen, ich habe mal wieder ein VPN Problem und zwar habe ich 2 Firewalls von unterschiedlichen Herstellern die ...

Router & Routing

IPSec Phase 1 Main Mode und Aggressive Mode gemeinsam

Frage von the-buccaneerRouter & Routing2 Kommentare

Moin zusammen! Bin grade über was merkwürdiges gestolptert: IPSec Site2Site Verbindung funktioniert mit Site A (PfSense, feste IP) Aggressive ...

Netzwerke

Verbindung mit VPN-Verbindung nicht möglich

Frage von Don-SantoNetzwerke2 Kommentare

Schaffe es nach wie vor nicht einen VPN Tunnel aufzubauen. Nach Vorschlag im Administrator Forum habe ich die "SoftEther" ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing17 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...