7
kein Ping trotz bestehender VPN-Verbindung
Hallo, ich schildere mal kurz das szenario und danach das problem:
2 Firmen sind mit Lancom 1611+ über VPN Verbunden. Firma 1 ist direkt über dsl mit dem Internet verbunden, Firma 2 über eine Richtfunkstrecke. Bei Firma 2 wurde nach dem Router der die Funkverbindung aufbaut der 1611 drangehängt.
Firma1 hat lanseitig 10.1.1.1, wan feste ip.
firma2 hat am richtfunkrouter lanseitig 10.0.101.1, lancom wan 10.0.101.63 lan 192.168.115.203
Die VPN Verbindung funktioniert auch ohne Probleme aber jetzt kommt der knackpunkt:
wenn ich versuche von firma1, firma2 zu pingen geht das nicht, andersrum aber schon. ich komme aber über lanconfig oder lanmonitor an den router über die feste ip ran. wenn ich jetzt über telnet einen ping von firma 2 auf firma 1 mache. kann ich danach auch von firma 1 firma2 pingen und remotedesktop benutzen usw.
frage:
ehm ehm ehm häääää?
wie kriege ich es hin von firma 1 aus firma 2 pingen und rdp sitzungen aufzumachen ohne vorher über telnet von firma2 aus firma 1 pingen zu müssen?
ich hoffe die beschreibung und fragestellungen waren detailiert genug damit ihr mir weiterhelfen könnt.
vielen dank im voraus
2 Firmen sind mit Lancom 1611+ über VPN Verbunden. Firma 1 ist direkt über dsl mit dem Internet verbunden, Firma 2 über eine Richtfunkstrecke. Bei Firma 2 wurde nach dem Router der die Funkverbindung aufbaut der 1611 drangehängt.
Firma1 hat lanseitig 10.1.1.1, wan feste ip.
firma2 hat am richtfunkrouter lanseitig 10.0.101.1, lancom wan 10.0.101.63 lan 192.168.115.203
Die VPN Verbindung funktioniert auch ohne Probleme aber jetzt kommt der knackpunkt:
wenn ich versuche von firma1, firma2 zu pingen geht das nicht, andersrum aber schon. ich komme aber über lanconfig oder lanmonitor an den router über die feste ip ran. wenn ich jetzt über telnet einen ping von firma 2 auf firma 1 mache. kann ich danach auch von firma 1 firma2 pingen und remotedesktop benutzen usw.
frage:
ehm ehm ehm häääää?
wie kriege ich es hin von firma 1 aus firma 2 pingen und rdp sitzungen aufzumachen ohne vorher über telnet von firma2 aus firma 1 pingen zu müssen?
ich hoffe die beschreibung und fragestellungen waren detailiert genug damit ihr mir weiterhelfen könnt.
vielen dank im voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103921
Url: https://administrator.de/contentid/103921
Printed on: April 26, 2024 at 01:04 o'clock
7 Comments
Latest comment
Leider bist du recht unpräzise bei deinen Angaben so das eine qualifizierte Hilfe her schwer wird... 
Hilfreich wäre die Angabe der Subnetzmakse bei deinen IP Adressen gewesen 10.1.1.1
Wenn beide Seiten eine Class A Subnetzmaske mit 8 Bit benutzen leigt hier der Fehler, denn damit hättest du auf beiden Seiten die gleiche IP Netzwerkkadresse 10.0.0.0 /8 und damit funktioniert kein einziges VPN wie jeder Laie weiss !!
Beide Seiten müssen zwangsweise unterschiedliche IP Netze haben sonst hast du doppelte IP Adressen und nichts funktioniert logischerweise...egal ob dein VPN zustandekommt oder nicht !!
Ferner hast du vermutlich zusätzlich noch ein Route oder NAT Problem am Richtfunkrouter sofern du die VPN Session von diesem durchschleifst... Dieser Router macht vermutlich NAT und benötigt dafür eine statische Portforwarding für alle Ports des VPN Protokolls was du benutzt, zu dem du ja auch nicht sagst ob das PPTP, L2TP oder IPsec oder... ist, so das man dir hier auch nur schwer helfen kann !!
Hilfreich wäre die Angabe der Subnetzmakse bei deinen IP Adressen gewesen 10.1.1.1
Wenn beide Seiten eine Class A Subnetzmaske mit 8 Bit benutzen leigt hier der Fehler, denn damit hättest du auf beiden Seiten die gleiche IP Netzwerkkadresse 10.0.0.0 /8 und damit funktioniert kein einziges VPN wie jeder Laie weiss !!
Beide Seiten müssen zwangsweise unterschiedliche IP Netze haben sonst hast du doppelte IP Adressen und nichts funktioniert logischerweise...egal ob dein VPN zustandekommt oder nicht !!
Ferner hast du vermutlich zusätzlich noch ein Route oder NAT Problem am Richtfunkrouter sofern du die VPN Session von diesem durchschleifst... Dieser Router macht vermutlich NAT und benötigt dafür eine statische Portforwarding für alle Ports des VPN Protokolls was du benutzt, zu dem du ja auch nicht sagst ob das PPTP, L2TP oder IPsec oder... ist, so das man dir hier auch nur schwer helfen kann !!
ja, manchmal vergisst man einfach die wichtigsten sachen. sorry
wir benutzen ipsec im main mode.
10.1.1.0 /16
10.0.101.0 /24
192.168.115.0 /24
das witzige ist das wir firma 2 noch mit einem anderen standpunkt (der ebenfalls einen lancom 1611+ hat) verbunden haben und es da ohne probleme läuft. was bedeutet das es eigentlich nur ein problem an dem router der firma 1 liegen dürfte.
wir benutzen ipsec im main mode.
10.1.1.0 /16
10.0.101.0 /24
192.168.115.0 /24
das witzige ist das wir firma 2 noch mit einem anderen standpunkt (der ebenfalls einen lancom 1611+ hat) verbunden haben und es da ohne probleme läuft. was bedeutet das es eigentlich nur ein problem an dem router der firma 1 liegen dürfte.
Witzig ist das nicht sondern logisch, denn diese 2te Firma hat vermutlich keinen davorliegenden zusätzlichen NAT Router wie du es hier hast... ??!!
OK, dann ist die IP Adressierung schonmal sauber. Es liegt dann sehr wahrscheinlich am Richtfunkrouter sofern dieser auch das NAT zum Internet macht ?? Oder dann eben an dem Router der das NAT zum Internet macht !
Du terminierst ja vermutlich den VPN Tunnel auf der 10.0.101.63, was bedeutet da 10.x.x.x eine RFC 1918 IP Adresse ist, das irgendwo NAT gemacht wird zum Internet !
Dort wo der NAT Prozess liegt können aber eingehende IPsec Pakete vom Internet die NAT Firewall nicht überwinden OHNE eine statische Port Weiterleitung, bleiben dort folglich also hängen und ein VPN Tunnel kommt nicht zustande und somit auch keine Verbindung !!
Hier, an diesem NAT Router, musst du ein statisches Port Forwarding auf die 10.0.101.63 eintragen mit folgenden Ports bei IPsec
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP (IP Protokoll Nummer 50, nicht UDP/TCP 50 !!!)
Dann sollte der Tunnel zustandekommen und deine VPN Verbindung laufen...
OK, dann ist die IP Adressierung schonmal sauber. Es liegt dann sehr wahrscheinlich am Richtfunkrouter sofern dieser auch das NAT zum Internet macht ?? Oder dann eben an dem Router der das NAT zum Internet macht !
Du terminierst ja vermutlich den VPN Tunnel auf der 10.0.101.63, was bedeutet da 10.x.x.x eine RFC 1918 IP Adresse ist, das irgendwo NAT gemacht wird zum Internet !
Dort wo der NAT Prozess liegt können aber eingehende IPsec Pakete vom Internet die NAT Firewall nicht überwinden OHNE eine statische Port Weiterleitung, bleiben dort folglich also hängen und ein VPN Tunnel kommt nicht zustande und somit auch keine Verbindung !!
Hier, an diesem NAT Router, musst du ein statisches Port Forwarding auf die 10.0.101.63 eintragen mit folgenden Ports bei IPsec
UDP 500 (IKE)
UDP 4500 (Nat Traversal)
ESP (IP Protokoll Nummer 50, nicht UDP/TCP 50 !!!)
Dann sollte der Tunnel zustandekommen und deine VPN Verbindung laufen...
ich glaube ich hab mich da nicht ganz deutlich ausgedrückt.
die firma 2 die den richtfunkrouter hat, hat eine bestehende und voll funktionsfähige vpn verbindung zu einer weiteren firma (ich nenne sie zukünftig firma3) welche den selben router hat wie firma 1
die vpn verbindung zu firma 1 von der firma 2 mit dem richtfunkrouter kommt auch zustande, allerdings kann ich nur von firma2 aus firma 1 pingen. erst wenn ich firma 1 gepingt habe, kann ich firma2 von firma 1 aus pingen.
der vpn tunnel wird am lancomrouter terminiert da der richtfunkrouter von einer externen firma aufgestellt wurde, die die internetverbindung bereitstellt. auf den router habe ich keinen zugriff, habe lediglich von der externen firma die routingeinträge in den richtfunkrouter eintragen lassen.
und da die vpn verbindungen eigentlich beide stehen und von firma 3 aus firma 2 ohne weiteres gepingt werden kann, weiss ich nicht so recht wo der fehler liegen soll. ich hoffe es ist jetzt klarer wo das problem liegt.
die firma 2 die den richtfunkrouter hat, hat eine bestehende und voll funktionsfähige vpn verbindung zu einer weiteren firma (ich nenne sie zukünftig firma3) welche den selben router hat wie firma 1
die vpn verbindung zu firma 1 von der firma 2 mit dem richtfunkrouter kommt auch zustande, allerdings kann ich nur von firma2 aus firma 1 pingen. erst wenn ich firma 1 gepingt habe, kann ich firma2 von firma 1 aus pingen.
der vpn tunnel wird am lancomrouter terminiert da der richtfunkrouter von einer externen firma aufgestellt wurde, die die internetverbindung bereitstellt. auf den router habe ich keinen zugriff, habe lediglich von der externen firma die routingeinträge in den richtfunkrouter eintragen lassen.
firma 1 --------- WAN ---------- richtfunkrouter firma 2 ----- lancomrouter firma2
|
|
firma 3 --------- WAN ---------------und da die vpn verbindungen eigentlich beide stehen und von firma 3 aus firma 2 ohne weiteres gepingt werden kann, weiss ich nicht so recht wo der fehler liegen soll. ich hoffe es ist jetzt klarer wo das problem liegt.
Ist schon höchst verwunderlich das ein gegenseitiges Pingen erst möglich ist wenn ein Ping das VPN gewissermassen triggert.
Das lässt eher auf ein Firmware Problem schliessen als auf einen Konfig Fehler...
Fakt ist aber das das Problem vermutlich an Fa.2 liegt und ein weiterer Fakt ist das der NAT Router auf den du keinen Zugriff hast zwangsweise ein Port Forwarding machen muss damit das VPN funktioniert.
Es wäre also schon wichtig zu wissen was die fremdfirma da konfiguriert hat !!
Ein weiterer Fakt ist das ein Port Forwarding nicht 2 mal mit dem gleichen Protokoll geschehen kann bei Fa. 2 !!
Dass Problem kannst du nur lösen indem du die VPN Sessions von Fa.2 aus initiierst, also das Fa. 2 der VPN Client ist und Fa.1 und Fa.3 der Server.
Ohne eine genau Konfig Kenntniss des Fremdrouters kommst du mit dem Problem nicht weiter...
Das lässt eher auf ein Firmware Problem schliessen als auf einen Konfig Fehler...
Fakt ist aber das das Problem vermutlich an Fa.2 liegt und ein weiterer Fakt ist das der NAT Router auf den du keinen Zugriff hast zwangsweise ein Port Forwarding machen muss damit das VPN funktioniert.
Es wäre also schon wichtig zu wissen was die fremdfirma da konfiguriert hat !!
Ein weiterer Fakt ist das ein Port Forwarding nicht 2 mal mit dem gleichen Protokoll geschehen kann bei Fa. 2 !!
Dass Problem kannst du nur lösen indem du die VPN Sessions von Fa.2 aus initiierst, also das Fa. 2 der VPN Client ist und Fa.1 und Fa.3 der Server.
Ohne eine genau Konfig Kenntniss des Fremdrouters kommst du mit dem Problem nicht weiter...
ja ist echt ärgerlich sowas hinkriegen zu müssen ohne an alle router ran zu kommen.
ich werd dann mal deinen tipp versuchen und den tunnel von fa2 aus zu initiieren. zur not muss ich mal gucken ob ich vielleicht durch bitten und betteln an die zugangsdaten des routers komme ... glaube ich aber eher weniger dran.
aber schonmal vielen dank für deine hilfe =)
ich werd dann mal deinen tipp versuchen und den tunnel von fa2 aus zu initiieren. zur not muss ich mal gucken ob ich vielleicht durch bitten und betteln an die zugangsdaten des routers komme ... glaube ich aber eher weniger dran.
aber schonmal vielen dank für deine hilfe =)
Jeder Router hat eine Passwort Recovery Methode 
