13
VPN Verbindung steht - Ping geht nicht durch
Hallo Leute,
Ich habe da ein Problemchen wo ich mir schon ne Woche lang die Zähne ausbeisse.
Folgendes Szenario: ich möchte gerne 2 Standorte per VPN verbinden. Ich habe hierzu 2x DI-804HV VPN Router angeschafft. Beide Router habe ich laut D-Link VPN-Anleitung eingerichtet. Die Verbindung wird auch hergestellt. (IKE established)
Leider funktioniert die VPN Verbindung nicht. Es gehen keine Daten durch. Auch kein Ping. (von beiden Richtungen probiert)
Mein Netzwerk:
VPN Einstellungen:
Kein aggressive mode
Kein xAuth
IKE Proposal: DH-Gruppe 2, 3DES, MD5, Lifetime 3600 sec
IPSec Proposal: DH-Gruppe 2, Protokoll: ESP, 3DES, MD5, Lifetime 5000 sec
Hat jemand eine Ahnung woran es liegen könnte?
Standort 1 ist in Deutschland
Standort 2 ist in Österreich
In Österreich wird die Internetverbindung durch ein PPTP aufgebaut. Kann es daran liegen dass es nicht funktioniert?
Für eure Hilfe bin ich euch sehr dankbar.
Schöne Grüße
Whirly
Ich habe da ein Problemchen wo ich mir schon ne Woche lang die Zähne ausbeisse.
Folgendes Szenario: ich möchte gerne 2 Standorte per VPN verbinden. Ich habe hierzu 2x DI-804HV VPN Router angeschafft. Beide Router habe ich laut D-Link VPN-Anleitung eingerichtet. Die Verbindung wird auch hergestellt. (IKE established)
Leider funktioniert die VPN Verbindung nicht. Es gehen keine Daten durch. Auch kein Ping. (von beiden Richtungen probiert)
Mein Netzwerk:
VPN Einstellungen:
Kein aggressive mode
Kein xAuth
IKE Proposal: DH-Gruppe 2, 3DES, MD5, Lifetime 3600 sec
IPSec Proposal: DH-Gruppe 2, Protokoll: ESP, 3DES, MD5, Lifetime 5000 sec
Hat jemand eine Ahnung woran es liegen könnte?
Standort 1 ist in Deutschland
Standort 2 ist in Österreich
In Österreich wird die Internetverbindung durch ein PPTP aufgebaut. Kann es daran liegen dass es nicht funktioniert?
Für eure Hilfe bin ich euch sehr dankbar.
Schöne Grüße
Whirly
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101333
Url: https://administrator.de/contentid/101333
Printed on: April 23, 2024 at 07:04 o'clock
13 Comments
Latest comment
Hallo,
wenn ich das richtig sehe, wird DynDNS verwendet. Und wenn ich mich jetzt noch recht entsinne, ist dafür der Aggrssive Mode zwingend.
Grüße, Steffen
wenn ich das richtig sehe, wird DynDNS verwendet. Und wenn ich mich jetzt noch recht entsinne, ist dafür der Aggrssive Mode zwingend.
Grüße, Steffen
Hallo Steffen,
vielen Dank für deine Antwort. Ich werde das mal gleich ausprobieren. Aber ich komme erst am Montag dazu weil der zweite Router in Österreich steht.
Söne Grüße und noch ein schönes Wochenende wünscht
Christian
vielen Dank für deine Antwort. Ich werde das mal gleich ausprobieren. Aber ich komme erst am Montag dazu weil der zweite Router in Österreich steht.
Söne Grüße und noch ein schönes Wochenende wünscht
Christian
Hallo,
ich habe jetzt auf Aggressive mode umgestellt. (Ich bin draufgekommen dass ich die Routereinstellungen auch von hier aus machen kann.)Aber es hat leider nichts gebracht. Ich poste mal die Logs. Vielleicht kann jemand was erkennen:
Standort 1 (in Deutschland):
Samstag November 08, 2008 07:26:30 Receive IKE A1(AINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:30 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Samstag November 08, 2008 07:26:30 Send IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 IKE Phase1 (ISAKMP SA) established : [91.0.81.68]<->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE Q1(QINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 Requested routing is [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:31 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Samstag November 08, 2008 07:26:31 Send IKE Q2(QRESP) : 192.168.1.0 --> 192.168.3.0
Samstag November 08, 2008 07:26:32 Receive IKE Q3(QHASH) : [192.168.3.0|88.117.110.157]-->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 IKE Phase2 (IPSEC SA) established : [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 inbound SPI = 0x13000010, outbound SPI = 0x10000010
Standort 2 (in Österreich):
Dienstag Januar 01, 2008 00:09:32 Send IKE A1(AINIT) : 88.117.110.157 --> 91.0.81.68
Dienstag Januar 01, 2008 00:09:33 Receive IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Dienstag Januar 01, 2008 00:09:33 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Dienstag Januar 01, 2008 00:09:33 Send IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 IKE Phase1 (ISAKMP SA) established : [88.117.110.157]<->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 Receive IKE Q2(QRESP) : [192.168.1.0|91.0.81.68]-->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Dienstag Januar 01, 2008 00:09:34 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 IKE Phase2 (IPSEC SA) established : [192.168.1.0|91.0.81.68]<->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 inbound SPI = 0x10000010, outbound SPI = 0x13000010
Vielen Dank für eure Hilfe
Schöne Grüße
Christian
ich habe jetzt auf Aggressive mode umgestellt. (Ich bin draufgekommen dass ich die Routereinstellungen auch von hier aus machen kann.)Aber es hat leider nichts gebracht. Ich poste mal die Logs. Vielleicht kann jemand was erkennen:
Standort 1 (in Deutschland):
Samstag November 08, 2008 07:26:30 Receive IKE A1(AINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:30 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Samstag November 08, 2008 07:26:30 Send IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 IKE Phase1 (ISAKMP SA) established : [91.0.81.68]<->[88.117.110.157]
Samstag November 08, 2008 07:26:31 Receive IKE Q1(QINIT) : [88.117.110.157]-->[91.0.81.68]
Samstag November 08, 2008 07:26:31 Requested routing is [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:31 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Samstag November 08, 2008 07:26:31 Send IKE Q2(QRESP) : 192.168.1.0 --> 192.168.3.0
Samstag November 08, 2008 07:26:32 Receive IKE Q3(QHASH) : [192.168.3.0|88.117.110.157]-->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 IKE Phase2 (IPSEC SA) established : [192.168.3.0|88.117.110.157]<->[91.0.81.68|192.168.1.0]
Samstag November 08, 2008 07:26:32 inbound SPI = 0x13000010, outbound SPI = 0x10000010
Standort 2 (in Österreich):
Dienstag Januar 01, 2008 00:09:32 Send IKE A1(AINIT) : 88.117.110.157 --> 91.0.81.68
Dienstag Januar 01, 2008 00:09:33 Receive IKE A2(ARESP) : [91.0.81.68]-->[88.117.110.157]
Dienstag Januar 01, 2008 00:09:33 Try to match with ENC:3DES AUTH:PSK HASH:MD5 Group:Group2
Dienstag Januar 01, 2008 00:09:33 Send IKE A3(AHASH) : [88.117.110.157]-->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 IKE Phase1 (ISAKMP SA) established : [88.117.110.157]<->[91.0.81.68]
Dienstag Januar 01, 2008 00:09:33 Send IKE Q1(QINIT) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 Receive IKE Q2(QRESP) : [192.168.1.0|91.0.81.68]-->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-3DES AUTH:MD5 HASH:Others PFS(Group):Group2
Dienstag Januar 01, 2008 00:09:34 Send IKE Q3(QHASH) : 192.168.3.0 --> 192.168.1.0
Dienstag Januar 01, 2008 00:09:34 IKE Phase2 (IPSEC SA) established : [192.168.1.0|91.0.81.68]<->[88.117.110.157|192.168.3.0]
Dienstag Januar 01, 2008 00:09:34 inbound SPI = 0x10000010, outbound SPI = 0x13000010
Vielen Dank für eure Hilfe
Schöne Grüße
Christian
Hei,
Windows Firewall an? Die lässt, wenn sie aktiviert ist, keinen Ping zu, sofern du es nicht eingestellt hast.
Windows Firewall an? Die lässt, wenn sie aktiviert ist, keinen Ping zu, sofern du es nicht eingestellt hast.
Hallo,
der Tunnel steht ja, aber es gehen keine Daten durch. Daher hätte ich noch folgende Fragen:
-> Arbeitest du bei den Peers mit 'Traffic Lists' oder 'Virtual Interfaces'?
-> Was ist in den Access Lists und Stateful Inspection konfiguriert?
-> Hast du die NAT-Einstellungen mal per SNMP Manager im 'ipNatPreset Table' geprüft (für IPSec gibt es per Default Einträge, die im Setup-Tool nicht sichtbar sind)?
-> Hast du evtl. auf einem der WAN Interfaces mehr als eine IP?
[Nachtrag]
-> Verwendest du evtl. eine Unique Source IP Adress?
[/Nachtrag]
Grüße, Steffen
der Tunnel steht ja, aber es gehen keine Daten durch. Daher hätte ich noch folgende Fragen:
-> Arbeitest du bei den Peers mit 'Traffic Lists' oder 'Virtual Interfaces'?
-> Was ist in den Access Lists und Stateful Inspection konfiguriert?
-> Hast du die NAT-Einstellungen mal per SNMP Manager im 'ipNatPreset Table' geprüft (für IPSec gibt es per Default Einträge, die im Setup-Tool nicht sichtbar sind)?
-> Hast du evtl. auf einem der WAN Interfaces mehr als eine IP?
[Nachtrag]
-> Verwendest du evtl. eine Unique Source IP Adress?
[/Nachtrag]
Grüße, Steffen
Hallo,
vielen Dank für deinen Tip.
ich habe auch den Ping zum Netzwerkdrucker bzw. direkt zum Router gemacht. Geht auch nicht.
schöne Grüße
Christian
vielen Dank für deinen Tip.
ich habe auch den Ping zum Netzwerkdrucker bzw. direkt zum Router gemacht. Geht auch nicht.
schöne Grüße
Christian
Hallo Steffen,
Erstmal zu der Frage die ich beantworten kann: Jedes Wan-Interface hat nur eine IP.
Die anderen Fragen verstehe ich leider nicht.
Zu den Einstellungen die ich an den Routern noch so gemacht habe:
Firewall: Standardeinstellungen
Filter: Standarteinstellungen
Dynamisches Routing: Deaktiviert
Lokales SNMP Aktiviert
SNMP Remote Deaktiviert
Bei dem Standort wo der Server steht (in Deutschland) habe ich DMZ aktiviert (zum Server)
Vielleicht kannst du mir die Begriffe ein bisschen erklären.
Vielen Dank im Voraus.
Schöne Grüße
Christian
Erstmal zu der Frage die ich beantworten kann: Jedes Wan-Interface hat nur eine IP.
Die anderen Fragen verstehe ich leider nicht.
Zu den Einstellungen die ich an den Routern noch so gemacht habe:
Firewall: Standardeinstellungen
Filter: Standarteinstellungen
Dynamisches Routing: Deaktiviert
Lokales SNMP Aktiviert
SNMP Remote Deaktiviert
Bei dem Standort wo der Server steht (in Deutschland) habe ich DMZ aktiviert (zum Server)
Vielleicht kannst du mir die Begriffe ein bisschen erklären.
Vielen Dank im Voraus.
Schöne Grüße
Christian
Hallo Christian,
habe mich wohl im Thread verirrt (da sind gerade einige VPN-Threads, in welchen ich aktiv bin...) und dabei das Gerät verwechselt.
Trotzdem gilt es zunächst die Firewall- und Filter-Settings zu kennen (mit Standardeinstellungen kann ich in dem Fall nichts anfangen, da ich das Gerät selbst nicht einsetze).
Eine weitere Ursache für Verbindungsprobleme mit etablierten Tunnel sind die NAT-Einstellungen. Vielleicht hast du dazu einen Screenshot.
Sorry für die vorhergehende, etwas irreführende Antwort.
Grüße, Steffen
habe mich wohl im Thread verirrt (da sind gerade einige VPN-Threads, in welchen ich aktiv bin...) und dabei das Gerät verwechselt.
Trotzdem gilt es zunächst die Firewall- und Filter-Settings zu kennen (mit Standardeinstellungen kann ich in dem Fall nichts anfangen, da ich das Gerät selbst nicht einsetze).
Eine weitere Ursache für Verbindungsprobleme mit etablierten Tunnel sind die NAT-Einstellungen. Vielleicht hast du dazu einen Screenshot.
Sorry für die vorhergehende, etwas irreführende Antwort.
Grüße, Steffen
Hallo Steffen,
Vielen Dank für deine Antwort.
Ich habe mal von allem Wissenswerten Screenshots gemacht:
Ich hoffe du kannst ewas erkennen.
Ich kann mir zwar die NAT-Tabelle ansehen. Ich kann aber keine NAT-Einstellungen machen. Ich glaube das kann der Router nicht.
Schöne Grüße
Christian
Vielen Dank für deine Antwort.
Ich habe mal von allem Wissenswerten Screenshots gemacht:
Ich hoffe du kannst ewas erkennen.
Ich kann mir zwar die NAT-Tabelle ansehen. Ich kann aber keine NAT-Einstellungen machen. Ich glaube das kann der Router nicht.
Schöne Grüße
Christian
Hallo Christian,
kannst du hier als Protokoll 'ESP' auswählen?
(auf dieser Seite wird wohl NAT Port Forwarding konfiguriert
)
Grüße, Steffen
kannst du hier als Protokoll 'ESP' auswählen?
(auf dieser Seite wird wohl NAT Port Forwarding konfiguriert
)Grüße, Steffen
Hallo Steffen,
Auf dieser Seite "Virtuelle Server" kann ich Port Forwarding konfigurieren. In dieser sichtbaren Liste sind verschiedene Sachen vorkonfiguriert. (Aber keine aktiviert) Ich kann auch neue hinzufügen. Ich muss nur Port und interne Zieladresse wissen. Aber ich weiß nicht ob uns das weiterhilft.
Andere Frage: Muss ich bei den VPN Einstellungen "IPSec NAT Traversal" aktivieren. Ich habs mit und ohne probiert. Beides funktioniert nicht.
Schöne Grüße
Christian
Auf dieser Seite "Virtuelle Server" kann ich Port Forwarding konfigurieren. In dieser sichtbaren Liste sind verschiedene Sachen vorkonfiguriert. (Aber keine aktiviert) Ich kann auch neue hinzufügen. Ich muss nur Port und interne Zieladresse wissen. Aber ich weiß nicht ob uns das weiterhilft.
Andere Frage: Muss ich bei den VPN Einstellungen "IPSec NAT Traversal" aktivieren. Ich habs mit und ohne probiert. Beides funktioniert nicht.
Schöne Grüße
Christian
Hallo Christian,
eigentlich müssen für IPSec midesten das Protokoll UDP mit Port 500 und das Protokoll ESP auf den Router selbst weitergeleitet sein (wobei weiterleiten in diesem Zusammenhang wohl falsch ist, da die Adresse nicht geändert wird).
Bei mir sieht das etwa so aus:
Meint in etwa, alles was UDP 500 oder ESP ist, landet auf dem Router selbst.
In deinem Fall scheint zumindest UDP Port 500 richtig gesetzt (auch wenn der Screenshot was falsches anzeigt - TCP 500), da der Verbindungsaufbau klappt. Wenn nun ESP fehlt, scheint zwar der Tunnel etabliert, aber nicht geht durch.
Hoffe es hilft.
Grüße, Steffen
eigentlich müssen für IPSec midesten das Protokoll UDP mit Port 500 und das Protokoll ESP auf den Router selbst weitergeleitet sein (wobei weiterleiten in diesem Zusammenhang wohl falsch ist, da die Adresse nicht geändert wird).
Bei mir sieht das etwa so aus:
| Protocol | SrcAdress | Port | ExtAdress | Port | DesAdress | Port |
| udp | ANY | any | 0.0.0.0 | 500 | 0.0.0.0 | 500 |
| esp | ANY | any | 0.0.0.0 | any | 0.0.0.0 | any |
Meint in etwa, alles was UDP 500 oder ESP ist, landet auf dem Router selbst.
In deinem Fall scheint zumindest UDP Port 500 richtig gesetzt (auch wenn der Screenshot was falsches anzeigt - TCP 500), da der Verbindungsaufbau klappt. Wenn nun ESP fehlt, scheint zwar der Tunnel etabliert, aber nicht geht durch.
Hoffe es hilft.
Grüße, Steffen
Hallo Steffen,
vielen Dank für deine Mühe.
Auf meinem Screenshot sind nur ein paar mögliche Weiterleitungen. Aber keine davon sind aktiviert.
Ich gehe davon aus dass der Router so intelligent ist, wenn ein VPN eingerichtet ist, dass er automatisch auf den richtigen Ports "lauscht".
Aber ich habe trotzdem vieles ausprobiert. Es hat nichts geholfen.
Ich werde mir einen VPN Fachmann ins hausholen der hoffentlich den Fehler findet.
Ein schönes Wochenende und schöne Grüße
Christian
vielen Dank für deine Mühe.
Auf meinem Screenshot sind nur ein paar mögliche Weiterleitungen. Aber keine davon sind aktiviert.
Ich gehe davon aus dass der Router so intelligent ist, wenn ein VPN eingerichtet ist, dass er automatisch auf den richtigen Ports "lauscht".
Aber ich habe trotzdem vieles ausprobiert. Es hat nichts geholfen.
Ich werde mir einen VPN Fachmann ins hausholen der hoffentlich den Fehler findet.
Ein schönes Wochenende und schöne Grüße
Christian
