Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

Site-to-Site VPN Sonicwall TZ170 zu TZ190 mit Speedport W721V als Modem dazwischen

Mitglied: neun11turbo

neun11turbo (Level 1) - Jetzt verbinden

27.06.2009, aktualisiert 00:59 Uhr, 3279 Aufrufe, 1 Kommentar

Der Tunnel lässt sich von EINER Seite (TZ190 hinter Speedport als VDSL Modem) aufbauen und funktioniert dann von beiden Seiten aus perfekt. Er lässt sich aber NICHT von der anderen Seite (TZ170 hinter normalem DSL Modem) aufbauen (wohl aber nutzen wenn er von der anderen Seite aufgebaut wurde...)

Folgendes Szenario:

Site A:

VDSL an Speedport W721V
Speedport hat die Zugansdaten und die Option "als Modem nutzen" ist aktiviert
Adresse Speedport ist 192.168.2.1
DHCP ist aktiviert

Sonicwall TZ190 WAN Port angeschlossen an den LAN Port 1 des Speedport
WAN Zugang so definiert, dass sich die Sonicwall per DHCP vom Speedport die "WAN"-Adresse etc. holt
Die TZ 190 hat dann als "WAN" Adresse 192.168.2.153
Die LAN Adresse des TZ190 ist auf 10.10.101.1 gesetzt.
Alle PCs etc. sind über die LAN Anschlüsse und diverse Switche so an die TZ190 angeschlossen

Alles funktioniert so weit perfekt. Alle PCs kommen in Internet etc., alles wunderbar

Jetzt wollen wir einen VPN Tunnel mit einer anderen Site aufsetzen:

Site B

Normales ADSL an normalem DSL Modem (reines Modem)
Sonicwall TZ170 WAN Port angeschlossen am Modem
TZ170 hat die Zugangsdaten und bekommt über PPPoE seine WAN Adresse etc.
Die LAN Adresse des TZ170 ist 10.101.98.1
Wieder sind alle PCs etc an den LAN Anschlüssen des TZ179 angeschlossen

Auch hier funktioniert alles so weit perfekt


VPN zwischen den Sites:

Die WAN Adressen sind über DYNdns als FQDN vorhanden und entsprechend bei IPSec Primary Gateway eingetragen
Secondary GW ist 0.0.0.0

IKE mit PSK
IDs sind die UFIs (bei der TZ190 / bei der TZ170 muss der VPN Policy Name dem UFI der Peer Seite entsprechen)
Proposals sind identisch auf beiden Seiten

Auf Site A ist als remote Netzwerk 10.101.98.1 mit 255.255.255.0 eingetragen
Auf Site B ist als remote Netzwerk 10.10.101.1 mit 255.255.255.0 eingetragen


Wird jetzt VON Site A im Browser z.B. 10.10.101.1 eigetragen wird der Tunnel ohne Problem aufgebaut und es escheint die Login-Seite der TZ170 von Site B (die hat auf Site B ja 10.101.98.1). Auch von Site B kann jetzt jedes Gerät im LAN von Site A angesprochen werden und alles funktioniert ohne jedes Problem....

Ganz anders von Site B: wird hier eine Adresse von Site A im Browser eingetragen passiert gar nichts und im TZ170 Log ist zu lesen:



2009/06/27 00:53:37.832 IKE negotiation aborted due to timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
3 2009/06/27 00:53:03.832 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
4 2009/06/27 00:52:46.816 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
5 2009/06/27 00:52:35.832 IKE Initiator: No response - remote party timeout xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net
6 2009/06/27 00:52:27.864 IKE Initiator: Start Aggressive Mode negotiation (Phase 1) xxx.xxx.xxx.xxx, pxxxxxxxxx.dip.t-dialin.net xxx.xxx.xxx.xxx, pyyyyyyyyy.dip.t-dialin.net


...die TZ170 versucht also den Tunnel aufzubauen, scheitert aber kläglich...

Woran könnte es nun liegen, dass es zwar in einer Richtung problemlos klappt, in der anderen aber nicht...?

Danke für alle Ideen,
Klaus
Mitglied: aqui
28.06.2009 um 14:44 Uhr
Ein Argument von dir:
Die TZ 190 hat dann als "WAN" Adresse 192.168.2.153

zeigt ganz klar das der SP niemals nur als Modem arbeitet ! Ein Modem ist transparent und es ist also zu erwarten das du eine öffentliche IP Adresse an diesem Port bekommst aber niemals eine RFC 1918 IP Adresse
http://de.wikipedia.org/wiki/Private_IP-Adresse

Die ganz klar auf einen NAT Prozess schliessen lässt, denn die T-Com verwendet logischerweise ja keine privaten IPs im WAN !!

Vermutlich hast du also vergessen den DHCP Server beim Speedport W721V auszuschalten. Es ist auch zu bezweifeln das die T-Com IP Adressen bei VDSL mit DHCP vergibt. Vermutlich wird hier ebenfalls PPPoE benutzt.
Es ist logisch das mit einer geNATeten IP Adresse aus einem RFC 1918 IP netz niemals eine VPN Verbindung zustande kommt.

Erst wenn du auf dem WAN Port der Sonicwall eine öffentliche IP hast ist das IP Adressing OK und dann wird ein (VPN) Schuh draus !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Site to Site VPN zwischen Sonicwall und Fritzbox
Frage von KisteRouter & Routing5 Kommentare

Hallo zusammen, ich versuche jetzt seit längerem einen dauerhafte VPN Verbindung zwischen einer Fritzbox 7490 mit (DynDns) und einer ...

Netzwerke
Projekt VPN Site to Site
Frage von obamakingNetzwerke2 Kommentare

Hi Leute, ich bin momentan an einem Projekt dran. Ich habe ein Home Office und einen Hauptstandort. Am Hauptstandort ...

LAN, WAN, Wireless
Site to Site VPN FritzBox
gelöst Frage von marni1996LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, Ich versuche vergeblich eine VPN Verbindung zwischen Office <> RZ herzustellen. Leider klappt es nicht im RZ ...

Router & Routing
Site-to-Site VPN zwischen Sonicwall TZ 205 und Fritzbox 7580 Verbindungsabbruch
Frage von KisteRouter & Routing6 Kommentare

Hallo Kollegen, ich habe ein VPN zwischen einer Sonicwall TZ 205 und einer FB 7580 (FRITZ!OS 06.54) aufgebaut. Die ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit13 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...