Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ping über VPN funktioniert nicht (aber nur ein bestimmtes Endgerät)

Frage Internet

Mitglied: haudegen99

haudegen99 (Level 1) - Jetzt verbinden

18.01.2012, aktualisiert 18.10.2012, 4377 Aufrufe, 18 Kommentare

Ich kann alle Rechner im Netzwerk anpingen, nur der Linksys WRT 64GL mit Open-WRT antwortet nicht.

Hallo liebes Forum,
ich komme nicht weiter. Weiß wirklich nicht, woran es liegt. Habe schon alles mit einem Kollegen durchgeprochen, aber er weiß auch keinen Rat. Als erstes versuche ich den Aufbau mal schematisch darzustellen

Server (99er-Netz)--------Linksys-Router (mit VLAN von 99er auf 1er-Netz und andersrum)------Draytek VPN-Router (1er-Netz)-----(Internet)---Draytek VPN-Router (12er-Netz)-------Server
192.168.99.110-----------------192.168.99.253/192.168.1.253----------------------------------192.168.1.1-------------------------------192.168.12.250--------------192.168.12.2

So, nun möchte ich gerne von dem Server im 12er-Netz auf den Server im 99er-Netz. Bislang ging das recht einfach mit einer statischen Route ala ROUTE ADD -P 192.168.99.0 MASK 255.255.255.0 192.168.1.253.

Bei anderen Geräten funktionierte das auch einwandfrei. Denn die VPN-Router geben alle IP-Adressen in beide Richtungen frei. Das Problem ist allerdings, dass ich vom 12er-Server noch nicht mal den Router mit 192.168.1.253 anpingen kann! Wenn ich TRACERT 192.168.1.253 vom Router aus mache, zeigt er mir an, dass er bis zum VPN-Router mit 192.168.1.1 kommt, aber dann geht es nicht weiter. Das kuriose an der Sache ist aber, dass ich zum einen vom VPN-Router selber den Linksys-Router anpingen kann. Und das ich zum anderen einen Rechner mit der IP 192.168.1.254 auch anpingen kann. Nur der Linksys geht nicht. Ach ja, aus dem 1er-Netz direkt heraus kann ich den Linksys-Router natürlich auch einfach anpingen. Also alles funktioniert wie es sollte, nur der Linksys-Router lässt sich nicht aus dem anderen Netz anpingen.
Mitglied: Lochkartenstanzer
18.01.2012 um 20:46 Uhr
Ich tippe mal auf ein Routing und/oder NAT Problem. Sind denn überall die korrekten Routen drin und ist überall NAT auch aus?

Hast Du die Möglichkeit im 1-er Netz zu sniffen? Dann würde ich einfach makl schauen, welche Pakete da im Netz herumschwirren, wenn der linksys gepingt werden soll.
Bitte warten ..
Mitglied: haudegen99
18.01.2012 um 23:12 Uhr
Danke. Werde mal die tage mitsniffen, aber Routen müssen ja eigentlich gar nicht eingetragen sein. Habe es zwar testweise mal damit probiert, aber auch ohne müsste er ja die 192.168.1.253 direkt finden, die anderen findet er ja auch.
Bitte warten ..
Mitglied: aqui
19.01.2012, aktualisiert 18.10.2012
Die Frage die sich erstmal generell stellt ist die was die eigentlich sinnlose Router Kaskadierung mit dem Linksys und dem Draytek am 99er Netz macht bzw. was der tiefere Sinn dazu sein soll ??
Dann die noch viel wichtigere Frage WER stellt denn überhaupt das VPN ?? Machen das die Drayteks (was ja sinnvoll wäre), macht das der Linksys mit dem Draytek, macht das irgendwie der Server mit einem der zahllosen Router.
Alles wäre möglich aber von dir keinerlei Info dazu so das du uns zum Raten im freien Fall oder den Blick in die Kristallkugel zwingst. Eine sinnvolle Hilfestellung ist so logischerweise nicht möglich.
Deine angegebene statische Route ist auch kompletter Blödsinn und kann so niemals funktionieren sofern denn die Drayteks das VPN aufbauen. Du kannst dem Server ja niemals einen Next Hop IP Adresse (Gateway) für diese Route angeben in einem IP Netz was der Server gar nicht kennt (.1er Netz !). Das würde ja nur der Draytek kennen. In so fern wäre diese Route völlig unsinnig und auch kontraproduktiv.
Wie gesagt nur mal im freien Fall geraten wenn die Drayteks den VPN Tunnel aufbauen.
Ohne das du diese 2 Fragen oben klärst kommen wir hier nicht sinnvoll weiter...!
Sinnvoll für dich wäre noch als grundlegende Lektüre zum Routing:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
und was das Thema Kaskadierung anbetrift (NAT Firewall Problematik bei Router Kaskaden !)
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ...
Dann sehen wir mal weiter hier....
Bitte warten ..
Mitglied: haudegen99
19.01.2012 um 09:26 Uhr
Da muss ich dir doch mal widersprechen.
Oben steht doch klar, dass die beiden Draytek-Router als vPN-Router fungieren und somit alle IPs aus beiden Netzwerken überall erreichbar sind.
Und was heißt zahllos? Es sind genauso viele wie nötig. Der Linksys verbindet das 99er-Netz mit mehreren anderen Netzwerken per VLAN (steht auch oben), unter anderem auch mit dem 1er-Netz. Das 12-Netz ist physisch an einem anderen standort, daher auch der VPN-Tunnel übers Internet.
Die statische Route mag ja Quatsch sein, aber soweit sind wir ja noch gar nicht. Die Frage ist ja nicht, wie komme ich ins 99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber zu dem Linksys-Router nicht?
Und ja, nur der Draytek kennt natürlich das 1er-Netz. Aber das ist ja nicht schlimm, denn er ist ja auch gleichzeitig Gateway.
Bitte warten ..
Mitglied: Lochkartenstanzer
19.01.2012 um 09:39 Uhr
Zitat von haudegen99:
99er-Netz, sondern wie komme ich auf die IP 192.168.1.253? Warum geht der Ping zu Rechnern, die z.B. die 192.168.1.254 haben, aber
zu dem Linksys-Router nicht?

Wie ist der Linksys eingestellt? "Schützt" der eventuell das dihintergelegene netz mit einer "Firewall" und ist eventuell so eingestellt, daß er eingehedes ICMP blockt?

Wie gesagt prüf mal auf NAT und Firewall-Regeln. kann der 254 auf die 253 pingen? kann überhaupt eine gerät aus dem 1-er Netz den Linksys pingen?
Bitte warten ..
Mitglied: haudegen99
19.01.2012 um 09:42 Uhr
Ja, das ist das Problem, das funktioniert alles einwandfrei. Der Linksys hat keine Firewall-Einstellungen. Aus allen anderen Netzwerken und auch direkt aus dem 1er-Netz kann ich den Linksys anpingen.

Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja über die Weboberfläche den Linksys anpingen.
Bitte warten ..
Mitglied: aqui
19.01.2012, aktualisiert 18.10.2012
@66505
OK, da hat ich dann wohl Tomaten auf den Augen....sorry
Was du aber nicht benatwortet hats ist die Frage ob du am DD-WRT VLAN Router NAT aktiviert hast oder nicht ??
http://www.administrator.de/wissen/mit-einem-wlan-zwei-ip-netzwerke-ver ...
Wenn du es aktiviert hast (Gateway Modus) dann kommst du logischerweise NICHT in die VLAN Subnetze auf der anderen Seite und es ist klar das es nicht klappt mit dem Ping auf den Draytek weil die NAT Firewall das verindert.
Es geht dann nur mit Port Forwarding in der Firewall oder indem du auf transparentes Routing ohne NAT umstellst (Router Modus) und dann aber zwingend statische Routen auf dem Draytek eingeben musst.
Dieses fürs Troubleshooting wichtige Detail verschweigst du aber wirklich (3 mal gelesen...)
Die statische Route bleibt aber trotzdem Quatsch...aber soweit sind wir ja wirklich noch nicht...
Bitte warten ..
Mitglied: Lochkartenstanzer
19.01.2012 um 11:26 Uhr
Zitat von haudegen99:
Werde mir mal NAT genauer anschauen, aber trotzdem sollte das eigentlich nicht das Problem sein. Selbst der Draytek-Router kann ja
über die Weboberfläche den Linksys anpingen.

Welcher von den beiden Drayteks?

Außerdem ist die frage, ob der wirklich einen ICMP-ECHO über die Oberfläche benutzt oder das UDP/TCP-echo-protokoll (ja, es gibt manchmal, wenn auch selten, Implementierungen, die das über udp-echo machen9.

lks
Bitte warten ..
Mitglied: haudegen99
19.01.2012 um 11:38 Uhr
Danke euch beiden.
Werde mir jetzt erst mal anschauen, ob es etwas mit den NAT-Einstellungen zu tun hat.

Der Draytek mit der IP 192.168.1.1 kann den Linksys direkt anpingen.

Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.
Bitte warten ..
Mitglied: aqui
19.01.2012 um 11:55 Uhr
.. .kann den Linksys direkt anpingen...
Was soll uns diese halbe Aussage nun bringen ??
WAS kann er denn anpingen ?? Das WAN Interfaces des Linksys ?? Alle VLAN Interfaces des Linksys, Alles am Linksys.
Das natürlich unter der Annahme das der Linksys mit dem WAN Interface mit dem Draytek verbunden ist was auch nicht klar beschrieben ist
Bitte warten ..
Mitglied: Lochkartenstanzer
19.01.2012 um 11:56 Uhr
Zitat von haudegen99:
Der Draytek im 12er-Netz leitet die IP auch richtig zum Draytek im 1er-Netz weiter. Aber ab da hängt das tracert.

Das verstärkt den verdacht, daß entweder ein NAT zwischendrin stört oder das Routing im linksys nicht ganz korrekt ist.
Bitte warten ..
Mitglied: haudegen99
19.01.2012 um 12:00 Uhr
Nein, nein, lassen wir mal die VLNS außen vor. Ich möchte nur den Linksys mit der IP 192.168.1.253 anpingen. Das funktioniert mit einem Rechner, der im gleichen Netzwerk ist ohne Problem. Auch lässt sich der Router direkt vom Draytek, der im gleichen Netz ist, anpingen. Natürlich, sind ja alle im 1er-Netz. Jetzt kommt aber das Problem: Aus dem 12er-Netz lässt sich der Router nicht anpingen, obwohl andere Rechner im 1er-Netz sich durchaus anpingen lassen.
Bitte warten ..
Mitglied: aqui
19.01.2012 um 12:04 Uhr
Ums dann nochmals nachzufragen ist die IP 192.168.1.253 dann der WAN Port des DD-WRT ???
Welcher Router lässt sich aus dem 12er netz nicht anpingen und auf welchem Interface ??
Sorry, aber du hast derer ja viele und solltest etwas präziser sein und dir nicht alles einzeln aus der Nase ziehen lassen
Kläre ob der dd-WRT im Router oder Gateway Modus arbeitet !
Bitte warten ..
Mitglied: haudegen99
19.01.2012 um 12:10 Uhr
Ja, schlecht erklärt, ich weiß.

Nein, die 192.168.1.253 ist der Lan-Port des DD-WRT. Ist intern als VLAN geschaltet und verbindet so, die Netzwerke, wie auch das 1er-Netz mit dem 99er-Netz. Aber das ist ja eher sekundär, weil ich ja noch nicht mal zur 192.168.1.253 komme.

Der DD-WRT lässt sich nicht anpingen, zwar aus dem eigenen Netz schon, nicht aber aus dem 12er-Netz. Aus dem 12er-Netz habe ich das per Konsole auf dem server gemacht. Das tracert zeigt mir dann:

192.168.12.250
192.168.1.1
  • * *

Das komische ist ja, dass mir das tracert bei einer anderen IP, z.B. die eines Rechners anzeigt:

192.168.12.250
192.168.1.1
192.168.1.101
Bitte warten ..
Mitglied: Lochkartenstanzer
19.01.2012 um 12:16 Uhr
dann sniffe einfach mal zwischen den beiden Routern im 1-er netz und schau, ob der linksys einen ICMP-Echo-Request bekommt und darauf anwortet. Das dürfte recht schnell klären, wo das Problem liegt.
Bitte warten ..
Mitglied: aqui
20.01.2012, aktualisiert 18.10.2012
Schreibe doch bitte erstmal genau auf WO und an welchem Port des DD-WRT welches IP Netz dran ist !! Ohne das drehen wir uns doch nur weiter im Kreis hier
Vermutlich sieht das so aus bei dir, oder ?

12be501c49c84d685e22d810cd28a8cd - Klicke auf das Bild, um es zu vergrößern

Und die dd-wrt VLAN Konfig ist gemäss dieses Tutorials gemacht worden, richtig:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Kardinalsfrage: Was ist mit dem WAN Interface des dd-wrt Routers ? Ist der unbeschaltet machst du also nur ein lokales Routing am LAN Port zwischen den VLANs ??
Ohne eine präzise Beschreibung kommen wir hier nicht weiter !!
Bitte warten ..
Mitglied: haudegen99
20.01.2012 um 10:20 Uhr
Oh ja, genau so sieht es aus!

Also, die Konfiguration des DD-WRT habe ich nicht selbst gemacht. Dort ist OpenWRT White Russian installiert.

Wieso WAN-Interface? Der Router ist nicht am Internet, der hat alle vier Ports mit verschiedenen Netzwerken belegt. Denn diese Netzwerke müssen alle auf den Server 192.168.99.110 zugreifen, aber sollen sich gegenseitig nicht sehen, daher die VLANs.
Bitte warten ..
Mitglied: aqui
22.01.2012, aktualisiert 18.10.2012
Mit anderen Worten: Dein WAN/Internet Interface ist dann unbenutzt, und dort ist nichts aufgesteckt, richtig ?
Hätte ja sein können das du es benutzt, denn dort muss ja nicht unbedingt das Internet ran.
OK, wenn dem so ist das du nur die LAN Ports routest für die VLANs hast du folwende ToDos damit sich alles anpingen kann:
  • In den einzelnen VLANs zeigen die Gateway IP ALLE Rechner auf die jeweils korrespondierende IP des DD-WRT Interfae in diesem VLAN.
  • DD-WRT VLAN Router benötigt eine default Route auf die 192.168.1.er IP des Draytek 192.168.1.1
  • Der Draytek benötig statische Routing Einträge für ALLE VLAN IP Netze also auch dem .99.0 mit einer Gateway IP 192.168.1.253 (IP Adresse DD-WRT)
Mögliche Fehlerquelle:
Es kann sein das die Default Route auf dem DD-WRT nicht auf dem LAN Interfaces greift, sondern nur auf dem WAN/Internet Interface. (Vermutung) Das ist aber kein Problem...!
Du machst dann folgendes:
  • Du nimmst dann einfach das 192.168.1.0er VLAN vom LAN Port runter und löschst VLAN und IP
  • Das 192.168.1.0er IP netz konfigurierst du dann auf dem WAN/Internet Interface (Static IP, 192.168.1.253 /24 eingeben und das Gateway auf die 192.168.1.1 stellen !)
  • Achtung: Unbedingt dann den Routing Modus auf Router umstellen ! (Darf nicht "Gateway" sein sonst macht der Port NAT !) Siehe HIER
  • Kabel mit dem .1.0er netz vom LAN Port auf den WAN Port umstecken ! Fertisch.
Damit funktioniert das Szenario dann ganz sicher und es ist nur eine kosmetische Umstellung bei gleicher Funktion !
Wenn das so konfiguriert ist können sich alle IP Netze und Endgeräte auf der DD-WRT / Draytek Seite problemlos untereinander anpingen !
Das wäre der wichtige erste Schritt !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 10
VPN funktioniert mit Win10 nicht, mit Win 7 schon? (11)

Frage von peter-g zum Thema Windows 10 ...

Netzwerke
FritzBox VPN funktioniert zwar, jedoch kein Internetzugriff (1)

Tipp von pelzfrucht zum Thema Netzwerke ...

Netzwerke
gelöst Ping zu Windows Server funktioniert im OpenVPN netz nicht (5)

Frage von ketanest112 zum Thema Netzwerke ...

Windows 10
gelöst Windows 10 interner vpn client funktioniert nicht (3)

Frage von tobias3355 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...