Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

LANCOM 1721 VPN Routing geht nicht obwohl VPN zum ext. Gateway geht

Frage Netzwerke Router & Routing

Mitglied: absurt

absurt (Level 1) - Jetzt verbinden

27.09.2013, aktualisiert 14:09 Uhr, 3427 Aufrufe, 15 Kommentare, 3 Danke

Hallo Gemeinde,

habe ein Problem und finde nicht die Lösung.

Sensario:

Über meinen LANCOM lauft ein aktives Routing zum entfernten Gateway. Hierzu soll ein weiteres Netzwerk geroutet werden über dasselbe GW.
Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o

Folgendes habe ich eingerichtet:

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)

Warum läuft das eine und das andere nicht? Was habe ich übersehen?

Danke Vorab!
absurt
Mitglied: tikayevent
27.09.2013 um 14:09 Uhr
Dazu benötigst du ein paar mehr Konfigurationsänderungen.

LANCOM hat dazu einen Eintrag in der Knowledgebase https://www2.lancom.de/kb.nsf/1275/232DB632F29665DBC1256ED1004B4C64?Open ...
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:15 Uhr
Ja, danke tikayevent, hatte ich jedoch schon ausprobiert. Jedoch kann ich natürlich nur meine Seite "einrichten". Ich komme ja schon auf das Netzwerk 172.20.0.0 jedoch nicht auf 172.16.0.0
Ansonsten ist es das selbe Gateway mit denselben Konfigurationen.
Bitte warten ..
Mitglied: MrNetman
27.09.2013 um 14:18 Uhr
Hi Absurd,

Da gibt es einen großen Haken in deinem Szenario:

Wenn du über ein VPN in ein privates Gateway routest ist das ein kompletter Vorgang.
Eine läppische Routenerweiterung in ein weiteres unbekanntes privates Netzwerk kann gar nicht gehen.

Für so ein Netz brauchst du wieder einen Zugang. Der fehlt.
Der Router macht das einzig richtige: Er zeigt dir einen mittleren Finger. Routen in private Netze geht nicht übers Internet.

Gruß
Netman
Bitte warten ..
Mitglied: tikayevent
27.09.2013 um 14:19 Uhr
Dann brauchst du auf deiner Seite nichts ändern, bis auf die Routingtabelle und aus 172.20.0.0/wasweißich 172.16.0.0/12 draus machen. Wenn es dann nicht geht, dann ist das Gateway am anderen Ende des Tunnels nicht richtig konfiguriert. Du brauchst ja auch eine Rückroute, sonst weiß die Gegenstelle nicht, wohin mit der Antwort.
Bitte warten ..
Mitglied: Dobby
27.09.2013, aktualisiert um 14:26 Uhr
Hallo,

also entweder Du bist zu nervös, oder ich habe es nicht kapiert!

Das Routing über das Gateway in das Netzwerk 172.20.0.0/24 geht.
Wohin geht es denn? und in welchem Netzwerk bist Du?

Gebe ich ein weiteres Routing über dasselbe Gateway in das Netzwerk 172.16.0.0/24 und ich kann es nicht pingen! :-o
Ja und wo ist das denn nun genau?

Routing-Tabelle (entferntes Netzwerk/172.16.0.0/24)
???
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Ist das jetzt Deine Seite?

Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
???


Ich würde es eben etwas verständlicher schreiben, Du weißt wo was ist, wir nicht, aber wir sollen uns da hineindenken!!!

Seite A (ich selber oder mein Netzwerk)
172.16.1.0/24
Gateway IP Router: 172.16.1.1/24

Seite B (entferntes Netzwerk)
172.20.1.0/24
Gateway IP Router: 172.20.1.1/24

So das funktioniert auf jeden Fall!

So und nun noch zu dem ganzen mit dem VPN, also wenn Du schon sagst dass alles via VPN miteinander verbunden ist,
dann doch wohl auch ein mal ein Wort darüber verlieren welche VPN Methode eingesetzt wird, oder?

So und private IP Adressen lassen sich nicht über das Internet routen!!!!
Also hat auch höchstwahrscheinlich Dein VPN nie funktioniert, denn dafür braucht man statische und öffentliche IP
Adressen oder zwei DynDNS Accounts.

Gruß
Dobby
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:24 Uhr
Hi ebenfalls!

wenn ich über meinen Router das entfernte Gateway (IKE Schlüssel und Identität) auf dieser Seite auf die 2 Netzwerke die dahinter liegen zugreigen, muss ich doch nur das 2 Netzwerk routen?!
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:38 Uhr
Okay, etwas einfacher

SEITE A (mein Netzwerk)
Netzwerk 0: 192.184.0.0/24
Gateway 0: 178.x.x.x

VPN
Verbindungs-Liste: beide entf. IP mit GW eingetragen
Verbindungs-Parameter: kein PFS, IKE-Gruppe 2
IKE-Schlüssel mit loc. ID (178.x.x.x) und entf. Id. (62.x.x.x)


SEITE B (entf. Netzwerk)
Netzwerk 1: 172.16.1.0/24
und
Netzwerk 2: 172.20.1.0/24
Gateway 1: 62.x.x.x

Der Weg zum Netzwerk 1 geht (Mailserver)
Der Weg zum Netzwerk 2 geht nicht (Applikationen)

Für mich dache ich, Verbindung und Routing ergänzen, der Gateway mit VPN bleint und los....
Bitte warten ..
Mitglied: MrNetman
27.09.2013, aktualisiert um 14:48 Uhr
Und in dem dahinter liegenden Netzwerk muss selbstverständlich auch die richtige Konfiguration fürs Routen sein.
Also in dem Falle:
172.z.x.y --- WAN-VPN --- 172.20.x.y --- LAN ---172.16.x.y
Verbindungsliste (Extranet mit Gateway eingetragen/172.16.0.0/24 + 62.0.1.2)
Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse eines ganzen Netzes.

edit:
Der erste Router von der Gegenstelle kennt ja das 192.184 Netz , das ja gar nicht zu einem privaten Netzwerk gehört. Der zweite Router kennt es nicht. Die Pakete würden sofort ins Internet geroutet.
Bitte warten ..
Mitglied: absurt
27.09.2013 um 14:49 Uhr
> Firewall-Station (IP-Netzwerk ergänzt/172.16.0.0/24)
Was das sagt? Glaskugel antworte bitte. Es liest sich wie ein ein öffentliches Gateway. Und eine Brandstation mit der Adresse
eines ganzen Netzes.
Es ist kein öffentliches Netzwerk! Wenn Routig 1 passt, warum nicht Routing 2? Das ist meine Frage gewesen... Das GW ist rein fiktiv.
Bitte warten ..
Mitglied: aqui
27.09.2013, aktualisiert um 14:53 Uhr
Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:

NetRange: 192.184.0.0 - 192.184.3.255
CIDR: 192.184.0.0/22
OrgName: InstaVPS
OrgId: IL
Address: 179 Social Hall Ave.
Address: Suite 200
City: Salt Lake City
StateProv: UT
PostalCode: 84111
Country: US
RegDate: 2010-09-07
Updated: 2013-02-20
Ref: http:
whois.arin.net/rest/org/IL //

Nicht wirklich gut ! Eigentlich solltest du hier dann kein Deutsch sprechen im Forum ! Besser du korrigierst das ?!

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
  • Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
  • Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
  • Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
  • Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24 erlaubt ?
  • Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Bitte warten ..
Mitglied: absurt
27.09.2013 um 15:07 Uhr
Hi aqui,

Oha... wirklich 192.184.0.0 ?? Du benutzt damit ein offizell von der IANA zugewiesenes IP Netzwerk in den USA:
NSA lässt Grüßen

Zurück zu deinem Problem:
  • Sind die beiden IP Netze 172.16.1.0/24 und 172.20.1.0/24 an einem Router ?
Ja, so wurde es mir gesagt
* Ist an diesem Route eine Route für dein 192.184.0.0/24 eingetragen oder routest du dynamisch ?
statisch, sticky und DMZ maskiert
* Gibt es an dem Router an "B" ggf. Accesslisten oder eine Firewall die den Zugang zu blockieren ?
Ja, sollte jedoch über den VPN frei sein
* Haben Endgeräte im 172.20.1.0/24 Netz diesen Router auch als Gateway eingetragen ?
Nein, nur im Router
* Haben Endgeräte im 172.20.1.0/24 Netz eine entsprechende Regel in der lokalen Firewall die Zugriff von 192.184.0.0/24
erlaubt ?
Im Router ist die Regel eingestellt
* Was sagt ein Traceroute oder Pathping ins 172.20.1.0/24 (z.B. LAN Port Router) wo stoppt der ?
tracert auf 172.20.0.0 (bsp. 172.20.1.2) ist sauber bis zum Endpunkt (über 4 Stationen)
tracert auf 172.16.0.0 (bsp. 172.16.3.4) hört nach meinen Router auf, "Zeitüberschreitung der Anforderung", kommt nicht auf das entf. GW

All diese Fragen solltest du sicher klären sonst raten wir hier fröhlich weiter !
Nur zu, ich brache auch eine Lösung!

Danke!
Bitte warten ..
Mitglied: Arch-Stanton
27.09.2013 um 15:15 Uhr
vielleicht solltest Du wirklich mal die die unglücklich vergebene offizielle IP-Adresse im internen Netz ändern, sonst sitzt Du noch bis Weihnachten an der Lösung...

Gruß, Arch Stanton
Bitte warten ..
Mitglied: tkr104
29.09.2013 um 01:19 Uhr
Zitat von absurt:
Nur zu, ich brache auch eine Lösung!

Nur mal so aus Neugierde - wenn du die 172.16.0.0 auf deiner Seite einträgst, wer ändert dann die Tunnel Config auf der anderen Seite?

VG,

Thomas
Bitte warten ..
Mitglied: aqui
29.09.2013 um 09:50 Uhr
@absurt
Oha, da sind aber eine Menge, könnte...sollte...müsste...wurde mir gesagt drin !! Das musst du wasserdicht klären und nicht so rumeiern und raten ! Auch nur eine einzige dieser o.g. Bedingungen die nicht stimmt und schon funktioniert es nicht.

Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.

Das das Traceroute zu 172.16.0.0 beim Router aufhört zeigt dir ganz sicher das dort oder am Next Hop die Routing Tabelle fehlerhaft ist und eine Route ins 172.16er Netz fehlt !
Bitte poste mal die Routing Tabelle show ip route dieser beiden Router hier.
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Bitte warten ..
Mitglied: absurt
02.10.2013 um 10:58 Uhr
Erst einmal vielen Dank für die Unterstützung!

Mein IT Verstand geht doch noch zu 100% !

Wenn die Gegenseite einen Fehler bei der FW macht kann ich es lange problieren.

Fazit, Routingtabelle und Verbindungsliste genügt wenn der VPN schon richtig funktioniert!

@aqui
Die Frage nach der Einstellung der lokalen Rechner Firewall die du mit "Im Router ist die Regel eingestellt" ist
natürlich Blödsinn aber das leuchtet dir sicher auch selber ein denn....
Was nützt eine entsprechende Regel auf dem Router wenn die lokale Rechner Firewall es dann doch wieder blockt !
Also auch das kontrollieren.
auf meiner Konfing-Seite war ja alles korrekt, somit keine Einstellungsfehler!
Eine Fehlerlösung nur rein durch raten oder die Kristallkugel willst du nicht wirklich, oder ??
Wenn ich nur das OK von der Gegenseite bekommt "alles muss gehen!" dann habe ich an mir selbst gezweifelt! Also weiter gehts!

@thomas
dein Kommentar hat mir gezeigt, dass ich auf den richigen Weg war: Die Gegenseite hat's verpennt!
Danke auch dir!

Grüße
absurt
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Netzwerkgrundlagen
gelöst Routing mit entferntem Gateway (4)

Frage von agowa338 zum Thema Netzwerkgrundlagen ...

Router & Routing
Lancom IKEv2 - Mac OS VPN (16)

Frage von geforce28 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...