Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit VPN-Verbindung - IPSec und Shrew-Client

Frage Netzwerke Router & Routing

Mitglied: osterhase09

osterhase09 (Level 1) - Jetzt verbinden

07.10.2009, aktualisiert 11.10.2009, 13201 Aufrufe, 13 Kommentare

Hallo zusammen,

irgendwie komme ich bei meinem Problem nicht so recht weiter.

Am Standort A, zu dem eine VPN-Verbindung aufgebaut werden soll, steht ein Linksys WRV210 Router, IP 192.168.178.1 / Subnet 255.255.255.0, Dynamische WAN-IP / Dyndns.

Am Standort B steht ein WinXP Client, IP 172.20.10.133 / Subnet 255.255.0.0, ebenfalls dynamische WAN-IP, mit dem Shrew-VPN-Client möchte ich eine Verbindung aufbauen.

Soweit die kurze Zusammenfassung, hier die Router-VPN Einstellungen von Standort A:

e83627b85e4d7b9301b4896d12c80fd8-linksys_vpn - Klicke auf das Bild, um es zu vergrößern





Hier alle Client Einstellungen

5ea18dc23344994e874003c4cfdd6431-shrew_vpn - Klicke auf das Bild, um es zu vergrößern





Verbindungsaufbau:
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled
Soweit so gut. Den Router 192.168.178.1 kann ich anpingen, jedoch keines der Geräte in dem Netzwerk von Standort A. Windows-Firewalls auf den PCs sind alle ausgeschaltet, Pass-Through auf dem Router aktiviert.
Woran kann das liegen? Habt ihr Ideen?
Mitglied: corpse2001
07.10.2009 um 14:54 Uhr
Hallo,

gibts es in deinem Router irgentwo sowas wie "entfernte Netze über Proxy-ARP einbinden"?

mfg corpse2001
Bitte warten ..
Mitglied: osterhase09
07.10.2009 um 15:07 Uhr
Hm... meinst Du sowas?
a856f7652999dc1c9c3a98da1b10b67b-linksys2 - Klicke auf das Bild, um es zu vergrößern

Das versteckt sich hinter dem Advanced-Button auf der IPSec Seite. Ansonsten kann ich noch statische Routen eintragen im Router.

das ist die Routingtabelle im Router

Destination LAN IP Subnet Mask Gateway Interface
217.0.118.103 255.255.255.255 0.0.0.0 WAN
192.168.178.0 255.255.255.0 0.0.0.0 LAN&Wireless
Default Route (*) 0.0.0.0 217.0.118.103 WAN
127.0.0.1 0.0.0.0 127.0.0.1 LOOPBACK
Bitte warten ..
Mitglied: aqui
07.10.2009 um 17:30 Uhr
Haben die Rechner im 192.168.178.0er Netzwerk die du anpingen willst:
  • Den Default Gateway Eintrag auch auf den 192.168.178.1 er Router ?? (.178.0 sieht verdächtig nach einem Fritzbox Netz aus !!)
  • ICMP aktiviert in der Firewall ?? (In den erweiterten Eigenschaften der Firewall den Haken bei ICMP und dort "Auf eingehende Echo Anforderungen antworten" gesetzt !)
  • Ist die lokale Windows Firewall der zu pingenden Rechner entsprechend customized ?? Die Windows Firewall blockt normalerweise wenn du nichts machst alle Zugriffe die NICHT aus dem lokalen Netzwerk kommen, also folglich auch deinen VPN Ping ! Hier musst du die Windows Firewall entsprechend anpassen !!

Erst wenn du diese 3 Dinge entsprechend geprüft hast sollte ein Ping auch problemlos funktionieren !!
Bitte warten ..
Mitglied: osterhase09
07.10.2009 um 19:18 Uhr
Zitat von aqui:
Haben die Rechner im 192.168.178.0er Netzwerk die du anpingen willst:
  • Den Default Gateway Eintrag auch auf den 192.168.178.1 er Router ??
(.178.0 sieht verdächtig nach einem Fritzbox Netz aus !!)


Es ist ein ehemaliges Fritzbox-Netz, daher noch die typische IP Adresse. Aber die Fritzbox wurde jetzt eben durch den Linksys Router ersetzt.
Der Gateway-Eintrag ist gesetzt.

* ICMP aktiviert in der Firewall ?? (In den erweiterten Eigenschaften
der Firewall den Haken bei ICMP und dort "Auf eingehende Echo
Anforderungen antworten"
gesetzt !)

Vielleicht bin ich blind, aber die Einstellung finde ich irgendwie nicht....

-Block Anonymous Internet Requests
-Block Multicast

habe ich beides deaktiviert. ich kann den router auch ohne vpn anpingen, kein problem. auch durch den vpn tunnel kann ich ihn über die lokale ip 192.168.178.1 anpingen. Nur das netzwerk dahinter halt nicht...

* Ist die lokale Windows Firewall der zu pingenden Rechner
entsprechend customized ?? Die Windows Firewall blockt normalerweise
wenn du nichts machst alle Zugriffe die NICHT aus dem lokalen
Netzwerk kommen, also folglich auch deinen VPN Ping ! Hier musst du
die Windows Firewall entsprechend anpassen !!

Die XP Firewalls sind komplett deaktiviert.
Bitte warten ..
Mitglied: aqui
08.10.2009 um 11:15 Uhr
.
"...ich kann den router auch ohne vpn anpingen, kein problem. " Das ist Unsinn und technisch gar nicht möglich, sofern du die 192.168.178.1 IP Adresse damit meinst !!!
Das ist ein RFC_1918 IP Netzwerk was im Internet NICHT geroutet und bei jedem Provider weggefiltert wird !
Wenn überhaupt, dann kannst du nur die WAN/DSL IP des Routers pingen, was man aber aus Sicherheitsgründen immer deaktivieren sollte im Betrieb später. Testweise ist es ok.

ICMP (Ping) aktiviert man unter den erweiterten Eigenschaften der LAN Verbindung -> Einstellung (Firewall) -> Erweitert -> Einstellung (ICMP) !
Hier den Haken bei "Eingehende Echoanforderungen zulassen" setzen.

Wer suchet der findet... !!
Bitte warten ..
Mitglied: osterhase09
08.10.2009 um 13:16 Uhr
Sorry, hatte mich ungenau ausgedrückt. Gemeint war, dass ich (ohne aktive VPN Verbindung) den Router über die WAN IP anpingen kann (zu Testzwecken) . Bei aktiver VPN Verbindung funktioniert ping 192.168.178.1 auch problemlos. Aber die Client-PCs oder das NAS-System kann ich nicht anpingen. Auch aufs Webinterface vom NAS komme ich nicht.

Die ICMP Einstellungen ist bei allen Clients aktiviert. Daran liegt es also auch nicht...
Bitte warten ..
Mitglied: aqui
09.10.2009 um 10:56 Uhr
Hat das NAS sicher einen default Gateway Eintrag auf die 192.168.178.1 ???
Das NAS sollte immer einen statischen IP und gateway Eintrag haben keinen per DHCP !

Ansonste wäre das Verhalten nicht zu erklären ??

Was sagt denn ein Traceroute (tracert) oder pathping auf die IP des NAS von remote ??
Bitte warten ..
Mitglied: osterhase09
10.10.2009 um 19:24 Uhr
Ich habe es gerade noch mal kontrolliert - NAS hat als Gateway die 192.168.178.1 eingetragen und hat natürlich eine statische IP...
IP der NAS 192.168.178.19
IP des VPN Clients im Remote-Netzwerk 192.168.178.45

>pathping 192.168.178.19

Routenverfolgung zu 192.168.178.19 über maximal 30 Abschnitte

0 ms-vm-05 [192.168.178.45]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 ms-vm-05 [192.168.178.45]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% ms-vm-05 [0.0.0.0]

Ablaufverfolgung beendet.




Beim tracert zur NAS (192.168.178.19) sieht man nur " 1 * * * Zeitüberschreitung der Anforderung." über alle 30 Abschnitte.


Als vergleich pathping und tracert zum Router 192.168.178.1

>tracert 192.168.178.1

Routenverfolgung zu 192.168.178.1 über maximal 30 Abschnitte

1 96 ms 101 ms 97 ms 192.168.178.1

Ablaufverfolgung beendet.



>pathping 192.168.178.1

Routenverfolgung zu 192.168.178.1 über maximal 30 Abschnitte

0 ms-vm-05 [192.168.178.45]
1 192.168.178.1

Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 ms-vm-05 [192.168.178.45]
0/ 100 = 0% |
1 95ms 0/ 100 = 0% 0/ 100 = 0% 192.168.178.1

Ablaufverfolgung beendet.
Bitte warten ..
Mitglied: aqui
10.10.2009 um 23:31 Uhr
Das ist in der Tat verwunderlich ! Interessant wäre nochmal ein route print vom VPN Client bei aktiviertem VPN.

Du solltest mal einen Sniffer an den WRV LAN Port hängen und checken ob die Pakete vom VPN Client überhaupt vom Router an das NAS geforwardet werden.
Alternativ ist es einfacher statt des NAS einen PC im Netz zu nehmen und den Sniffer darauf laufen zu lassen und dann diesen PC anzupingen ob hier überhaupt ICMP Pakete ankommen ??
Es ist auch möglich das der VPN Tunnel nicht sauber aufgebaut ist.
Bekommst du vom WRV irgendwelche Logs bzw. Logeinträge beim VPN Aufbau ??
Bitte warten ..
Mitglied: osterhase09
11.10.2009 um 00:45 Uhr
Das Ergebnis von route print als Grafik, damit man das noch vernünftig lesen kann:

91cf81823f73284ba1fe88c725b182a6-route - Klicke auf das Bild, um es zu vergrößern


Die Theorie, dass die Pakete garnicht am LAN Port ankommen, scheint mir recht plausibel. prüfen kann ich das leider erst in ca. einer Woche, wenn ich wieder an die Rechner dran komme.

Mit dem Linksys Quick VPN Tool funktioniert das ganze übrigens einwandfrei, aber der Client läuft ja nicht unter 64bit Systemen... daher dieser Weg.


Der WRV Router hat leider nur ein sehr abgespecktes Konfigurationsmenü, Log-Einträge kann man nur mit einem externen Viewer aufzeichnen. Auch diese Infos kann ich erst in ca. einer Woche liefern...


Ist es denkbar, dass die Probleme mit Shrew dadurch entstehen, dass ich für solche Fernwartungsaufgaben eine virtuelle Maschine nutze? (Netzwerkkarte im Bridge-Modus, virtualisiert mit Vmware-Server 2). Das könnte ich morgen mal noch auf einem WinXP x64 Rechner testen. Mit PPTP-VPNs und eben dem Linksys Tool läuft aber alles prima...
Bitte warten ..
Mitglied: aqui
12.10.2009 um 09:51 Uhr
Nein, eine Bridge stört nicht, denn da wird im Layer 3 nichts beeinflusst. Schlimmer wäre es wenn du NAT machen würdest in der VM. Da das aber nicht der Fall ist ist das kein Thema !
Was höchstens sein kann ist das sich 2 VPN Clients stören sofern du beide auf einer Maschine installiert hast. Es ist also immer besser eine komplett zu deinstallieren und nur mit einer Client SW zur Zeit zu testen.

Hast du mal etwas mit den Verschlüsselungs Algorhytmen rumgetestet ?? Ältere Linlsys VPN Systeme supporten nur DES und 3DES. Der Client darf also kein AES oder sowas machen.
Es hilft nix, ohne Logs kommt man schwer weiter.....
Installier den Kiwi Syslog und schreib alles mit..dannshen wir in einer Woche mal weiter !
Bitte warten ..
Mitglied: osterhase09
13.10.2009 um 14:05 Uhr
Andere Verschlüsselungsverfahren habe ich probiert, in zig verschiedenen Kombinationen...

Hatte gerade doch kurz die Möglichkeit, auf den Rechner zuzugreifen. Kiwi zeigt im Zeitraum des Aufbaus der VPN Verbindung und auch bei Ping Befehlen keine Informationen an.

Dann habe ich Wireshark mal installiert und geschaut, ob die ping-Befehle auch ankommen - scheint so!
c5b2a9003dd61cd490b439ce78949bd8-wireshark - Klicke auf das Bild, um es zu vergrößern

die 192.168.178.19 hat das NAS, 100 der Client (lokal), 45 ist im VPN Client hinterlegt.
Bitte warten ..
Mitglied: aqui
13.10.2009 um 18:42 Uhr
Nein scheinbar nicht... denn die .45 pingt die .100 (ICMP request) es kommt aber keinerlei Antwort (ICMP echo reply) von der .100 zurück !!
Das zeigt wenigstens dein o.a. Sniffer Trace !
Bitte warten ..
Ähnliche Inhalte
Windows 10
Problem mit Vpn Verbindung über Shrew Soft VPN Client
Frage von Hannibal87Windows 105 Kommentare

Hallo Leute, ich habe mir über meine Fritzbox ein Vpn Typ IPSec Xauth PSK eingerichtet. Solange ich bei Freunden ...

Router & Routing
VPN Verbindung shrew zu Fritzbox: Routing Problem
gelöst Frage von tillixx07Router & Routing88 Kommentare

Hallo zusammen! Ich möchte eine VPN-Verbindung unter Win10 mittels shrew zu einer Fritz!Box aufbauen. Der Tunnel selbst wird erfolgreich ...

LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

Netzwerkgrundlagen
IPSEC VPN mit pfSense und Lancom - keine verbindung wenn Client offline
Frage von DanyCodeNetzwerkgrundlagen9 Kommentare

Hallo, ich habe folgendes Phänomen. Ich habe 2 Standorte nach Anleitung hier im Forum mit IPSEC VPN verbunden. Standort ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 StundeInternet1 Kommentar

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 7 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 18 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 20 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...