Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing Problem mit VPN-Verbindung bei Netgear DGFV338

Frage Netzwerke Router & Routing

Mitglied: Ralf83

Ralf83 (Level 1) - Jetzt verbinden

29.10.2007, aktualisiert 01.11.2007, 8160 Aufrufe, 11 Kommentare

Hallo,

ich habe zwei Firmenstandorte über jeweils einen VPN-Router (Netgear DGFV338) über einen VPN-Tunnel verbunden.
Die Standorte haben unterschiedliche Subnetze:

Standort A: SUBNET 192.168.10.0 MASK 255.255.255.0 / VPN-Router: 192.168.10.254
Standort B: SUBNET 192.168.11.0 MASK 255.255.255.0 / VPN-Router: 192.168.11.254

Ich kann von jedem Standort jeweils alle Rechner an dem anderen Standort bzw. Subnetz erreichen.


Das Problem was ich allerdings habe, ist das ich bei der Einwahl mit dem Netgear Prosafe VPN Client nur auf den jeweiligen
Standort an dem ich mich eingewählt habe auf das Netzwerk zugreifen kann.
Ich habe es nicht hinbekommen, das die Verbindung des VPN-Clients in das andere Subnetz, sprich zu dem anderen
Standort funktioniert.


Die IP's beider Router sind dynamische, die VPN-Verbindung der beiden Standorte wird über DynDns realisiert.


Hat jemand eine Idee wie dies zu realisieren wäre?
Falls mit statischen Routen, bitte detaillierte Angaben, da ich da schon einiges versucht habe, aber nicht weiter gekommen bin.
Das Problem bei den statischen Routen ist allerdings noch, das ich beim Router jeweils Schnittstelle (ADSL, LAN, WAN) auswählen muss, wobei nur LAN funktioniert.
Kennt jemand vielleicht noch ein gutes Tool, welches bei der Analyse von Routing Problemen hilft?


Gruß
Ralf
Mitglied: 51705
29.10.2007 um 19:51 Uhr
Hallo Ralf,

der VPN-Client kennt vermutlich nur das Netz, in welches er sich verbindet. Du mußt dem VPN-Client sagen, daß ein zweites Netz über diesen Zugang erreichbar ist.

Für eine genauere Hilfe wäre die Art des VPN hilfreich (IPSec, PPTP, etc.).

Steffen
Bitte warten ..
Mitglied: Ralf83
29.10.2007 um 20:03 Uhr
Es handelt sich um eine IPSec-Verbindung und ich nutze den Netgear ProSafe Client v. 10.7.2.
Wie kann man den Client denn mit dem anderen Subnetz bekannt machen?

Gruß
Ralf
Bitte warten ..
Mitglied: 51705
29.10.2007 um 20:34 Uhr
Hallo Ralf,

vorab, ich kenne Netgear nicht, aber die prinzipielle Funktionsweise sollte auch auf diese Router zutreffen. Was du hast ist:

VPN-Client-1<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->Internet <--->Client-2

Kannst du die folgende Aufstellung bzgl. Adressen vervollständigen?

Netz Client-1: ?
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: ?

Beispiel:

Netz Client-1: 10.0.10.X/32
Netz A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
Netz Client-B: 10.0.11.X/32

Tunnel zwischen Netz-A und B anpassen:

Router-A:
192.168.10.0/24->Router-B (ab durch den Tunnel)
10.0.10.0/24->Router-B (ab durch den Tunnel)
Router-B:
192.168.11.0/24->Router-A (ab durch den Tunnel)
10.0.11.0/24->Router-A (ab durch den Tunnel)

VPN Client anpassen:

Client-1:
192.168.10.0/24->Router-A (ab durch den Tunnel)
192.168.11.0/24->Router-A (ab durch den Tunnel)
Client-2:
192.168.11.0/24->Router-B (ab durch den Tunnel)
192.168.10.0/24->Router-B (ab durch den Tunnel)


Ich hoffe, das Beispiel ist zu verstehen...

Steffen
Bitte warten ..
Mitglied: Ralf83
29.10.2007 um 21:08 Uhr
Hallo Steffen,
Du liegst fast richtig. Schematisch sieht das Ganze wie folgt aus:

VPN-Client<--->Internet<--->Netz-A<--->Internet<--->Netz-B<--->PC

VPN-Client: 192.168.12.150 (dynamisch)
Netz-A: 192.168.10.0/24
Netz-B: 192.168.11.0/24
PC im Netz-B: 192.168.11.251

Das Routing zwischen den beiden Netzen ist nicht das Problem, da ich nur vom Client aus jeweils nur nicht in das andere Netz komme.
Ich hab auch schon auf dem Client-PC folgende Route eingerichte:
route add 192.168.11.0 mask 255.255.255.0 192.168.10.254 metric 2 IF 0x30007
Hat aber leider auch nicht funktioniert.

Gruß
Ralf
Bitte warten ..
Mitglied: aqui
30.10.2007 um 14:05 Uhr
Was sagt den ein Traceroute (tracert bei Win) oder ein Pathping ins Zielnetz ? Dort kannst du dann ganz genau sehen ob die Packete den Weg über den VPN Tunnel nehmen oder am Router verschütt gehen, weil sie wahrscheinlich ins Internet geroutet werden und die statische Route doch nicht greift.
Bedenke auch das bei deiner statischen Route der -p Parameter fehlt und die Route damit nach jedem Reboot des Rechners wieder verloren ist !
Bitte warten ..
Mitglied: Ralf83
30.10.2007 um 18:46 Uhr
Ich hab das Ganze mal mit pathping gestest. Ich habe den Eindruck das es nicht durch den Tunnel geht. Hier die entsprechenden Ergenisse:

C:\Dokumente und Einstellungen\Ralf>route add 192.168.11.0 mask 255.255.255.0 19
2.168.10.254 metric 2 IF 0x70007

C:\Dokumente und Einstellungen\Ralf>route print
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 16 d3 50 18 0c ...... Broadcom NetLink (TM) Gigabit Ethernet - Paketpl
aner-Miniport
0x3 ...00 1a 4d 25 71 c1 ...... Gigabyte GN-WI01GT (mini) PCI-E WLAN Card - Pake
tplaner-Miniport
0x4 ...00 ff fa d4 b3 b9 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x70007 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 90.187.39.22 90.187.39.22 2
90.187.39.22 255.255.255.255 127.0.0.1 127.0.0.1 50
90.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.12.100 192.168.12.100 1
192.168.11.0 255.255.255.0 192.168.10.254 192.168.12.100 2
192.168.12.100 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.12.255 255.255.255.255 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 192.168.12.100 192.168.12.100 50
224.0.0.0 240.0.0.0 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 90.187.39.22 90.187.39.22 1
255.255.255.255 255.255.255.255 192.168.12.100 2 1
255.255.255.255 255.255.255.255 192.168.12.100 4 1
255.255.255.255 255.255.255.255 192.168.12.100 192.168.12.100 1
255.255.255.255 255.255.255.255 192.168.12.100 3 1
Standardgateway: 90.187.39.22
Ständige Routen:
Keine

C:\Dokumente und Einstellungen\Ralf>pathping 192.168.11.254

Routenverfolgung zu 192.168.11.254 über maximal 30 Abschnitte

0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\Ralf>pathping 192.168.10.254

Routenverfolgung zu 192.168.10.254 über maximal 30 Abschnitte

0 lappi [192.168.12.100]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 lappi [192.168.12.100]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% lappi [0.0.0.0]

Ablaufverfolgung beendet.



Der 2. Pathping war zur Kontrolle an den Router im eingewählten Standort, aber selbst das scheint nicht zu gehen. Über einen normalen Ping ist dieser aber zu erreichen.


Irgendwelche Ideen? Woran kann es denn liegen das die Route nicht verwendet wird?

Gruß
Ralf
Bitte warten ..
Mitglied: 51705
30.10.2007, aktualisiert 24.10.2012
Routing allein hilft dir nicht! IPSec arbeitet mit Traffic Listen, ist das Zielnetz nicht aufgeführt, kommen die Pakete nicht durch den Tunnel.

Da ich nur den NCP basierten Cient kennt, habe ich mir gerade ein paar Screenshots vom Netgear Prosafe VPN Client angesehen http://www.administrator.de/HowTo_-_VPN-Verbindung_mit_Netgear_DG834B_A ...
Die notwendige Einstellung scheint dort 'Remote Party Identity and Addressing' zu sein.

Im Übrigen muß auch die Traffic Liste auf dem Router stimmen.

Gruß Steffen
Bitte warten ..
Mitglied: Ralf83
30.10.2007 um 22:40 Uhr
Auch nach mehreren Versuchen habe ich es leider nicht hinbekommen die Einstellungen so abzuändern das es funktioniert.
Ist es möglich sich die aktuellen Traffic Listen irgendwie anzuzeigen. Ich kann so leider schlecht feststellen, ob die geänderten Einstellungen den gewünschten erfolg versprechen.
Oder gibt es vielleicht einen VPN-Client bei dem diese Einstellungen leichter vorzunehmen sind, so dass ich diesen zu Testzwecken erst mal nutzen könnte?

Gruß
Ralf
Bitte warten ..
Mitglied: Ralf83
31.10.2007 um 17:50 Uhr
Mir ist vorhin mal aufgefallen, das ich im Log von dem Netgear Prosafe Client gelegentlich folgende Einträge habe:

10-31: 16:56:33.093 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:56:33.593 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 16:57:22.265 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 16:59:24.796 Inbound packet failed validation: 192.168.11.100 -> 192.168.12.100
10-31: 16:59:49.750 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:00:03.312 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:00:03.328 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:02:22.968 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:05:04.421 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:05:04.500 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100
10-31: 17:07:26.359 Inbound packet failed validation: 192.168.11.251 -> 192.168.12.100
10-31: 17:08:30.718 Inbound packet failed validation: 192.168.11.250 -> 192.168.12.100


Also scheint von den Rechner in Standirt B ja irgendwas anzukommen, was verworfen wird.
Wie kann ich den Client einstellen, das er die Pakete durchlässt?

Ralf
Bitte warten ..
Mitglied: 51705
31.10.2007 um 17:55 Uhr
Hi,

von Funkwerk gibt es eine 30-Tage Trail FEC Secure IPSec Cient (http://www.funkwerk-ec.de/prod_bintec_vpn-ipsec-client_main_de,59623,19 ...). Ob dieser mit Netgear mag, weis ich nicht. Die Einstellung der VPN scheint mir da übersichtlicher.

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
01.11.2007 um 09:05 Uhr
Das sieht eher so aus als ob der NetGear selber ein Problem hat mit Packeten für das 11er Netz. Mit Validation meint er wohl (geraten...) das das für ihn keine gültigen Packete für das VPN sind, da für ihn falsche IP Adresse. Scheinbar akzeptiert er nur solche aus dem VPN.
Das nährt mal wieder den Verdacht das man beim Thema VPN besser die Finger von NetGear lässt. Die haben sich dort noch nie mit Ruhm bekleckert...
Egal du solltest mal im NetGear suchen ob es eine Funktion gibt die ihm auch beibringt andere Packete als das VPN selber zu akzeptieren. Hat er das nicht, ist wohl die netGear Hotline die letzte Instanz. Ob man dir da kompetent helfen kann mit diesem Problem ist einen andere Frage....
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Virtualisierung
Problem mit VPN-Verbindung und Android-Emulatoren (2)

Frage von OS.Sammler zum Thema Virtualisierung ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows 10
gelöst VPN Verbindung Probleme (7)

Frage von Yeter2 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...