Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kann IP nicht pingen in einem Netz in anderem schon

Frage Netzwerke

Mitglied: blackbruce

blackbruce (Level 1) - Jetzt verbinden

16.03.2012 um 14:15 Uhr, 4386 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe ein Problem. Aber erst mal ein paar Daten:

Provider: Privat; www.mkth.de
Netzabschlussgerät des Providors: Genexis Box
Router: 2x Fritzbox 7170 (Freetz)
Subnet:
Standort A: 192.168.1.0/24
Standort B: 192.168.2.0/24
Client: Vista, 7

Es handelt sich um 2 verschiedene Anschlüsse bei oben genannten Anbieter. An jedem Standort ist eine Fritzbox 7170.
Nun habe ich versucht die beiden per VPN zu verbinden.

Da dies nicht funktionierte begab ich mich auf Spurensuche.

Ping von Standort A auf dyndns Standort B wird korrekt aufgelöst jedoch mit Zeitüberschreitung der Anforderung quittiert. (Sowohl Ping auf Dydns als auch öffentliche IP)
Ein Ping auf sonstige URL`s wird ohne Probleme durchgeführt.

Das gleiche ist wenn ich von Standort B den Standort A pingen will.

Ein tracert auf die IP des anderen Standort läuft bereits nach der Fritzbox ins leere.

An meinem Arbeitsplatz (welcher sich nicht in dem Provider Netz befindet) kann ich aber sowohl Dyndns Standort A wie auch Standort B ohne murren anpingen.

Firewall auf den Fritzboxen wurden zum Test beide deaktiviert.

Ich weiß momentan keine Lösung und hoffe ihr könnt mir ein bisschen unter die Arme greifen.

Vielen Dank bereits im voraus.

Gruß Black
Mitglied: aqui
16.03.2012 um 14:22 Uhr
Normalerweise ist Ping (ICMP Protokoll) deaktiviert auf den öffentlichen Interfaces (WAN/DSL). Macht auch Sinn um diese Endgeräte nicht auspähbar und damit angreifbar zu machen.
Das machen mittlerweile alle Hersteller aus Sicherheitsgründen so, auch die übelsten Billigheimer und vermutlich auch AVM und ganz sicher Freetz.
In der Beziehung ist es dann also ganz normal was du dort als Verhalten siehst !
Man muss dann meistens wissentlich in den Security Settings des Routers das WAN/DSL Interface bewusst pingbar machen (ICMP aktivieren oder in der Accessliste zulassen). Sollte man zum Testen aber immer nur temporär machen aus den obigen bekannten Gründen.
Das die Interfaces nicht pingabr bzw. per ICMP nicht erreichbar sind (Traceroute ist auch ICMP !) besagt ja auch noch lange nicht das nicht ein IPsec Tunnel auch nicht zustandekommt.
Also ist die Ping Aussage für die VPN Fähigkeit herzlich egal bzw. sagt gar nichts aus !
Bitte warten ..
Mitglied: blackbruce
16.03.2012 um 14:29 Uhr
Hallo aqui und vielen Dank für deine Antwort.

Da ich aber von meinem Arbeitsplatz beide Fritzboxen anpingen kann und eben nur nicht die Boxen gegenseitig, besagt mir doch, dass
sich die beiden Boxen nicht "sehen" können, oder?
Bitte warten ..
Mitglied: goscho
16.03.2012 um 14:49 Uhr
Mahlzeit,
Zitat von aqui:
Normalerweise ist Ping (ICMP Protokoll) deaktiviert auf den öffentlichen Interfaces (WAN/DSL). Macht auch Sinn um diese
Endgeräte nicht auspähbar und damit angreifbar zu machen.
Das machen mittlerweile alle Hersteller aus Sicherheitsgründen so, auch die übelsten Billigheimer und vermutlich auch
AVM und ganz sicher Freetz.
Ich habe das gerade mal mit einer FBF7270 und einer FBF7170 mit jeweils eingerichteter DYN-DNS-Adresse und (funktionierendem) VPN getestet und dort ist die WAN-IP (oder der DYNDNS-Name) anpingbar. Eine Funktion zum Ein-/Ausschalten des WAN-Ping habe ich auf der Fritzbox nicht gefunden.
Also gehe ich davon aus, dass dies immer so ist.
Bitte warten ..
Mitglied: brammer
16.03.2012 um 14:53 Uhr
Hallo,

nein besagt es nicht.

irgend eine Maschine auf dem MWeg zwischen den beiden Fritzboxen leitet ICMP nicht weiter.
Auf der Strecke von dir zu den Fritzboxen ist aber wohl was anderes dazwischen. und das Gerät lässt ICMP durch.

Das dein VPN nicht Funktioniert dürfte eher ein Konfigurationsproblem sein!

brammer
Bitte warten ..
Mitglied: goscho
16.03.2012 um 14:53 Uhr
Zitat von blackbruce:
Da ich aber von meinem Arbeitsplatz beide Fritzboxen anpingen kann und eben nur nicht die Boxen gegenseitig, besagt mir doch,
dass
sich die beiden Boxen nicht "sehen" können, oder?
Wie meinst du das?
Du versuchst den Ping auf die WAN-IP von FritzBox 2 von einem Computer, der sich im Netz von Fritzbox 1 befindet?
Wenn die beiden Fritzboxen im Internet hängen und nicht durch irgend wen oder was geblockt werden, solltest du diesen Ping hinbekommen.
Bitte warten ..
Mitglied: blackbruce
16.03.2012 um 14:54 Uhr
Zitat von goscho:
Mahlzeit,
Ich habe das gerade mal mit einer FBF7270 und einer FBF7170 mit jeweils eingerichteter DYN-DNS-Adresse und (funktionierendem) VPN
getestet und dort ist die WAN-IP (oder der DYNDNS-Name) anpingbar. Eine Funktion zum Ein-/Ausschalten des WAN-Ping habe ich auf
der Fritzbox nicht gefunden.
Also gehe ich davon aus, dass dies immer so ist.


Korrekt.
Sie sind ja auch pingbar. Nur lassen sie sich gegenseitig nicht anpingen.

Und ich frage mich eben wieso dies so ist, obwohl es ja von sonst überall funktioniert.
Bitte warten ..
Mitglied: blackbruce
16.03.2012 um 14:57 Uhr
Zitat von goscho:
> Zitat von blackbruce:
> Da ich aber von meinem Arbeitsplatz beide Fritzboxen anpingen kann und eben nur nicht die Boxen gegenseitig, besagt mir
doch,
> dass
> sich die beiden Boxen nicht "sehen" können, oder?
Wie meinst du das?
Du versuchst den Ping auf die WAN-IP von FritzBox 2 von einem Computer, der sich im Netz von Fritzbox 1 befindet?
Wenn die beiden Fritzboxen im Internet hängen und nicht durch irgend wen oder was geblockt werden, solltest du diesen Ping
hinbekommen.

Genau so wie du beschrieben hast ist es. Ping geht allerdings nicht durch.
Bitte warten ..
Mitglied: blackbruce
16.03.2012 um 15:46 Uhr
Hier noch kurz den Fehlercode der Fritzbox zum Verbindungsversuch:

VPN-Fehler: xxxxx.dyndns.org, IKE-Error 0x2027

Ist wohl ein DPD (Dead Peer Detect) Fehler, was meine Vermutung scheinbar unterstreicht, dass sich die beiden Boxen nicht "sehen" können.


Weitere Vorschläge?
Bitte warten ..
Mitglied: 104286
16.03.2012 um 19:41 Uhr
Ja, ich habe einen guten Vorschlag:

Du fängst nochmal von vorn an und diesmal systematisch.

DPD ist was ganz anderes. Die Erkennung wirkt erst dann, wenn eine Verbindung schon bestanden hat. Es werden nur periodisch Info-Pakete losgeschickt, die der Empfänger quittieren muss. Macht er das nicht, weil die Verbindung nicht mehr steht, dann werden Maßnahmen ergriffen, die einen erneuten Verbindungsaufbau ermöglichen. Darauf hast du in der Konfiguration der Box aber keinen Einfluss.

Gruß
leo
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
gelöst Firewall was machen bei Freigaben aus anderem Netz (4)

Frage von dauatitsbest zum Thema Windows Netzwerk ...

Windows Netzwerk
IIS - anderes Netz zulassen (3)

Frage von survial555 zum Thema Windows Netzwerk ...

Erkennung und -Abwehr
Backdoor in IP-Kameras von Sony (3)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...