Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

GELÖST

Nicht alle Geräte im Netz sind erreichbar

Mitglied: brammer

brammer (Level 4) - Jetzt verbinden

01.12.2010, aktualisiert 25.01.2011, 7293 Aufrufe, 4 Kommentare, 1 Danke

Problem wurde ohne Lösung ad acta gelegt. Kunde betrachtet das Problem nicht mehr als Problem.

brammer

Hallo,

mal wieder ein kleines Problem.
Folgende Situation.

Lokales Netz ---- Cisco 3900 als VPN Device ---- Internet ----- Cisco 877 VPN Gegenstelle ----- L2 Cisco 2960 Switch --- entferntes Netz

Also ein klassischer VPN Aufbau wie er wohl tausendfach in Betrieb ist.
Nur, im entfernten Netz sind nicht alle Endgeräte erreichbar.
Ich erreiche per netscan den Cisco 877 sowie einen Teil des entfernten Netzes, mit Ausnahme von 8 IP Adressen (aufeinander folgend) , darunter der Switch, die mitten im Netzwerk liegen.
Auch ein direkter Ping auf die Maschinen ist nicht möglich
Vom Router aus kann ich alle Endgeräte im Netz anpingen, inklusive Switch. Auf allen Geräten ist der Cisco 877 als Gateway eingetragen.
Ein Techniker vor Ort konnte alle Geräte über netscan erreichen.
Die SSH Verbindung vom Router zum Switch funktioniert ebenfalls nicht, allerdings vom Laptop des Technikers auf den Switch, das geht.
Der Router hat die IOS Version (c870-advipservicesk9-mz.150-1.M.bin)
Der Switch die IOS Version (c2960-lanbasek9-tar.122-50.SE.tar)

Auf dem Router sind keinerlei access-lists konfiguriert die irgendwas verbieten.
Es handelt sich um eine isoliertes Netz für das ein eigenständiger Internet Zugang (Marokkanische DSL Anbieter) besteht und das keinen Übergang zum übrigen Kunden Netz hat.
Bei dem DSL Modem handelt es sich um einen der üblichen Kastrierten Baumarkt Router der nur als Modem arbeitet.
Auf keiner der entfernten Geräte läuft eine Firewall.
Es handelt sich im wesentlichen um XP Embedded Systeme und Linux Rechner.

Wieso kann ich die Geräte, die defintiv angeschaltet sind nicht erreichen?

brammer
Mitglied: aqui
01.12.2010 um 10:11 Uhr
Hallo brammer,
Als Profi wirst du ja sicher schon die grundlegenden Dinge wie sh ip route usw. auf beiden Routern gemacht haben um die Routing Tabelle zu checken gepaart mit einem traceroute usw.
Da du vom 877er alle Geräte pingen kannst sieht es ja erstmal so aus als ob lokal soweit alles OK ist. Das SSH nicht klappt ist ggf. ein Konfig Problem ?
Hast du
line vty 0 4
password Geheim
login local
transport input ssh
!

mit
username brammer password geheim
auf dem Switch konfiguriert ?
Ebenfalls sollte natürlich ein ip default gateway <ip_877> oder ip route 0.0.0.0 0.0.0.0 <ip_877> auf dem Switch nicht fehlen !
Bei VPNs hast du ja eine ACL auf dem Router der die entsprechenden IPs in den Tunnel schickt wenn die ACL matched. Wichtig ist hier der Befehl ip ssh source-interface xy , denn sonst kann es passieren das SSH die native WAN Interface IP nimmt und so nicht durch den Tunnel kommt.
Weitere Fragen sind komplett abhängig von der Konfig und ggf. debug outputs auf dem Router und daher schwer hier im Forum zu beantworten.
Ggf. solltest du hier mal ein ip oder icmp packet debugging laufen lassen um zu sehen ob IPs aus dem Tunnel überhaupt ankommen an den Endgeräten und viel wichtiger, ob die Endgeräte auch korrekt darauf antworten.
Sinn macht es auch bei den VPN ACLs einmal ein log dazu einzuschalten um zu checken ob die ACLs korrekt arbeiten.
Bitte warten ..
Mitglied: brammer
01.12.2010 um 11:17 Uhr
Hallo aqui,

die Routing Tabellen inklusive der Netzmasken sind geprüft und passen, es handelt sich im entfernten Netz um ein /25er Netz.
Da ich ja einen Teil des Netzes erreiche kann es an den Routen eigentlich nicht lliegen.

hier einfach mal die Switch Konfig:


Using 5612 out of 65536 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging file flash:logging_errors.txt errors
logging buffered 8192
!
username xxx privilege 15 secret xxxx
username xxxx privilege 15 secret xxxx
!
!
no aaa new-model
system mtu routing 1500
vtp interface VLAN101
authentication mac-move permit
ip subnet-zero
!
!
ip domain-name xxx.com
!
!
crypto pki trustpoint TP-self-signed-yxyxyx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-yxyxyx
revocation-check none
rsakeypair TP-self-signed-yxyxyx
!
!
crypto pki certificate chain TP-self-signed-yxyxyx
certificate self-signed 01 nvram:IOS-Self-Sig#3839.cer
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh version 2
!
!
interface FastEthernet0/1
description Reserve
shutdown
!
interface FastEthernet0/2
description Reserve
shutdown
!
interface FastEthernet0/3
description Reserve
shutdown
!
interface FastEthernet0/4
description Reserve
shutdown
!
interface FastEthernet0/5
description Reserve
shutdown
!
interface FastEthernet0/6
description Reserve
shutdown

!
interface FastEthernet0/7
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/8
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/9
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/10
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/11
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/12
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/13
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/14
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/15
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/16
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/17
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/18
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/19
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/20
description machine LAN
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/21
description Reserve
shutdown
!
interface FastEthernet0/22
description Reserve
shutdown
!
interface FastEthernet0/23
description Reserve
shutdown
!
interface FastEthernet0/24
description connect to Router
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet0/1
description Reserve
shutdown
!
interface GigabitEthernet0/2
description Reserve
shutdown
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan101
description machine LAN
ip address 10.17.181.130 255.255.255.128
no ip route-cache
!
ip default-gateway 10.17.181.129
ip http server
ip http authentication local
ip http secure-server
ip sla enable reaction-alerts
snmp-server community public_xxx RO

!
line con 0
logging synchronous
login local
line vty 0 4
logging synchronous
login local
transport preferred ssh
transport input ssh
transport output ssh
line vty 5 15
logging synchronous
login local
transport preferred ssh
transport input ssh
transport output ssh
!
end

die Router Konfig muss ich erstmal aktuell ziehen.

Nachtrag 11:36

hier die Router konfig:


version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname r877
!
boot-start-marker
boot-end-marker
!
logging buffered 16384
logging console critical
!
aaa new-model
!
!
aaa group server radius xysxsyxsyx
server yxyxyx auth-port 1812 acct-port 1813
server yxyxyxy auth-port 1812 acct-port 1813
cache expiry 720 failover
cache authorization profile usercache
cache authentication profile usercache
ip radius source-interface Loopback0
deadtime 1
load-balance method least-outstanding
!
aaa authentication login AAA_Auth group xcxvxvxv cache xcxvxvxv local
aaa authorization console
aaa authorization exec AAA_Auth group xcxvxvxv cache xcxvxvxv local if-authenticated
aaa cache profile usercache
all
!
!
aaa session-id common
clock timezone CET 1
!
crypto pki trustpoint TP-self-signed-xxxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxx
revocation-check none
rsakeypair TP-self-signed-xxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxx
certificate self-signed 01 nvram:IOS-Self-Sig#8.cer
dot11 syslog
ip source-route
!
!
ip cef
no ip bootp server
ip domain name xxx.com
ip name-server xxxx
ip name-server xxxx
!
!
archive
log config
logging enable
logging size 1000
notify syslog contenttype plaintext
hidekeys
vtp file flash:vtp.dat
vtp domain r877-9
vtp mode transparent
username xxx privilege 15 secret xxx
!
!
vlan 101
name Line1
!
ip tcp synwait-time 10
ip tcp path-mtu-discovery
ip ssh authentication-retries 2
ip ssh version 2
!
!
crypto ipsec client ezvpn xxx
connect auto
ctcp port 443
group r877-9_xxx key xxx
mode network-extension
peer xxx
peer xxx
acl ACL_xxx
nat allow
virtual-interface 1
username r877 password xxx
xauth userid mode local
!
!
interface Loopback0
description Management
ip address xxx 255.255.255.255
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn xxx inside
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
description xxx
switchport access vlan 101
!
interface FastEthernet1
description reserve
shutdown
!
interface FastEthernet2
description reserve
shutdown
!
interface FastEthernet3
description Internet Access
!
interface Virtual-Template1 type tunnel
ip nat outside
ip virtual-reassembly
tunnel mode ipsec ipv4
!
interface Vlan1
description Internet Access
ip address dhcp client-id FastEthernet3
ip nat outside
ip virtual-reassembly
no ip route-cache cef
no ip route-cache
crypto ipsec client ezvpn xxx
!
interface Vlan101
description xxx
ip address 10.17.181.129 255.255.255.128
ip nat inside
ip virtual-reassembly
crypto ipsec client ezvpn xxx inside
hold-queue 100 out
!
ip forward-protocol nd
no ip http server
ip http authentication aaa login-authentication AAA_Auth
ip http authentication aaa exec-authorization AAA_Auth
ip http secure-server
ip http secure-port 4444
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip route 0.0.0.0 0.0.0.0 dhcp
!
ip access-list extended ACL_xxx
remark VPN-Tunnel xxx - xxx
permit ip 10.17.181.128 0.0.0.127 xxx 0.0.7.255
permit ip host xxx yyyy 0.0.7.255
permit ip host xxx host yxyxyx
permit ip host xxx host yxyxyxy
permit ip host xxx host xxx
permit ip host xxx host xxxx
permit ip host xxx host xxx
deny ip any any
!
logging source-interface Loopback0
logging xxx
access-list 20 remark SNMP requests
access-list 20 permit xxxx
access-list 20 deny any
!
!
!
snmp-server group xysxsyxsyx v3 priv read xysxsyxsyxView access 20
snmp-server view xysxsyxsyxView iso included
snmp-server location Kunde
snmp-server contact xxx
!
radius-server host yxyxyx auth-port 1812 acct-port 1813 key xcxcxc
radius-server host yxyxyxy auth-port 1812 acct-port 1813 key cxccxcx
radius-server retransmit 2
radius-server timeout 3
!
control-plane
!

!
line con 0
privilege level 15
authorization exec AAA_Auth
logging synchronous
login authentication AAA_Auth
no modem enable
line aux 0
line vty 0 4
privilege level 15
authorization exec AAA_Auth
logging synchronous
login authentication AAA_Auth
transport preferred ssh
transport input ssh
transport output ssh
!
ntp logging
ntp server xxx prefer source Loopback0
ntp server xxx source Loopback0
end

brammer
Bitte warten ..
Mitglied: laster
01.12.2010 um 12:20 Uhr
Hallo, wie sieht es mit den Netzwerkeinstellungen der nicht von extern erreichbaren Geräte aus? Haben die das richtigen Standardgateway? Prüfe, ob die Pakete hin gehen, aber nicht zurück kommen.
vG
LS
Bitte warten ..
Mitglied: brammer
01.12.2010 um 13:18 Uhr
Hallo,

die entfernten Geräte habe ich geprüft, zumindest bei zweien direkt und bei den anderen durch einen Techniker vor Ort.

brammer
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Eine IP nicht von allen Geräten erreichbar
Frage von lolynarfNetzwerke5 Kommentare

Hallo zusammen, ich habe das Problem, dass ich die Telefonanlage nicht von allen Geräten per IP erreichen kann. Die ...

Windows Server
DNS in mehreren Netzen erreichbar machen
gelöst Frage von ThoomaasWindows Server5 Kommentare

Hallo alle zusammen! Da ich schon oft hier meine letztendlich Lösungen gefunden habe, konnte ich mich nun durchringen mich ...

Router & Routing
Freigabe aus anderem Netz nicht erreichbar
gelöst Frage von McLionRouter & Routing44 Kommentare

Hallo, ich habe ein folgendes Szenario. FritzBox (Internet), Windows-Server-Freigabe im Netz (A) 10.0.0.0 und einen Client im Netz 192.168.9.0 ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar
Frage von guntisLAN, WAN, Wireless14 Kommentare

Hallo, ich habe seit einigen Tagen das Problem das ich mit einem Rechner eine IP-Kamera im privaten Netz nicht ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...