Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN nicht mit jedem Provider?

Frage Netzwerke Router & Routing

Mitglied: blutfink

blutfink (Level 1) - Jetzt verbinden

13.05.2007, aktualisiert 18.05.2007, 4496 Aufrufe, 10 Kommentare

Ich nutze eine VPN-Verbindung (IPSec) ins LAN eines Kunden. Vom Büro aus (T-Online, DSL-Modem) klappt das reibungslos.

Von Zuhause aus (mit demselben Notebook und denselben Settings), aber einem anderen Provider (ISH, Kabelmodem), kann ich zwar den Tunnel aufbauen, jedoch keinen der Rechner im Remote-LAN anpingen. Die bisherige Diagnose hat ergeben, dass die Pakete zwar im Remote-LAN ankommen, aber die Replies nicht zurückfinden.

In beiden Fällen (Büro, Zuhause) befinde ich mich zusätzlich hinter einem Router/NAT (gleiches Modell, gleiche Settings), aber auch testweise direkte Anbindung ans Internet löste das Problem nicht, daher schließe ich diese Fehlerquelle mal aus.

Eine Nachfrage bei der Technik-Hotline von ISH ergab natürlich nur ein "An uns kann es nicht liegen -- der Tunnel steht ja."

An welcher Stelle liegt der Fehler, und welche Diagnoseinfos wären hilfreich? Sowohl der Admin des Remote-LANs als auch die Techniker meines Providers haben mir ihre Hilfe zugesagt, wissen aber auch nicht weiter.

Liebsten Dank für jeden Tipp!
Mitglied: Hajo2006
14.05.2007 um 08:51 Uhr
Hallo,

du sagst das allles gleich ist zwischen den Standorten. Hast du mal versucht von der
Firma aus einen VPN Tunnel zu dir nach Hause aufzubauen? Dann würde ich nochmal
gerne wissen wenn der Tunnel zwischen den Standorten steht, wie sind die Einstellungen
zwischen den Netzen (Netzwerk-IP`s, Subnetz??)

Gruß
Hajo
Bitte warten ..
Mitglied: blutfink
14.05.2007 um 10:21 Uhr
du sagst das allles gleich ist zwischen den
Standorten. Hast du mal versucht von der
Firma aus einen VPN Tunnel zu dir nach Hause
aufzubauen?

Du meinst also Kunden-LAN -> Dynamische IP Zuhause? Das ist eine gute Idee. Ich werde das ausprobieren und die Ergebnisse posten.

Dann würde ich nochmal
gerne wissen wenn der Tunnel zwischen den
Standorten steht, wie sind die Einstellungen
zwischen den Netzen (Netzwerk-IP`s,
Subnetz??)

Das Heim-LAN ist ein 192.168.1.0/24, das Kunden-LAN ein 172.16.0.0/16. Mein Rechner Zuhause hat die 192.168.1.2. Die ihm zugewiesene virtuelle IP im Kunden-LAN ist die 172.17.12.1 (in einem eigenen Subnetz mit nur dieser IP), und das VPN-Gateway hat die 172.16.0.1. Es existiert eine Route zwischen dem 172.16.0.0/16-Netz und dem 172.17.12.1/32 (offenbar, sonst würde es ja nicht im T-Online-Fall funktionieren).

Ich bin leider kein Netzwerkexperte -- ich hoffe, dass alles korrekt wiedergebe. Welche Infos wären noch hilfreich?

Vielen Dank schonmal.
Bitte warten ..
Mitglied: the-falcon
14.05.2007 um 19:37 Uhr
Also für mich sieht das ganze deutlich nach einem Routingproblem aus.
Wie dein Anbieter richtig festgestellt hat, steht der Tunnel, da du ja eine virtuelle IP bekommen hast.
Insofern wäre das Erste, was ich nachsehen würde, ist, dass die Zielrechner (Clients, Server, Router usw.) eine Route zu dir zurück haben. Vor allem die Clients versuchen wahrscheinlich, die Antwort auf deinen Ping, an deren Default-Gateway zu senden und wenn der dann keine Route zu dir hat, ist klar, warum die nix zurückbekommst.
Bitte warten ..
Mitglied: blutfink
14.05.2007 um 20:05 Uhr
Also für mich sieht das ganze deutlich
nach einem Routingproblem aus.

[...]

... und wenn der dann
keine Route zu dir hat, ist klar, warum die
nix zurückbekommst.

Ja, es ist ziemlich sicher ein Routingproblem. Ich (mit meinem begrenzten Wissen auf diesem Gebiet) frage mich nur, inwiefern der Wechsel des Providers eine Rückroute verschwinden lässt. Wo würde man denn einen fehlenden Eintrag in einer Routingtabelle vermuten?
Bitte warten ..
Mitglied: the-falcon
14.05.2007 um 21:17 Uhr
Wo würde man denn einen fehlenden Eintrag in einer Routingtabelle vermuten?
Ich tippe auf Router im Zielnetz (also noch hinter dem VPN-Server) oder, falls es kein zentrales Routing gibt, direkt auf den Clients.

Insofern würde ich vom Zielrechner rückwärts dem Kabel folgen und auf den Zwischenrechnern (inklusive dem Zielrechner selbst) bis einschließlich des VPN-Servers die Routingtabellen kontrollieren. Alternativ könntest du mit traceroute versuchen, zu erkennen, wie weit du kommst, womit der erste Rechner, der nicht mehr antwortet, dein point-of-failure ist.

Warum die Rückroute verschwunden ist, kann ich dir nicht sagen, aber ich weiß, dass z.B. Windows gerne relevante Routen vergisst, wenn sie dynamisch erstellt wurden.
Bitte warten ..
Mitglied: Oldman
14.05.2007 um 22:57 Uhr
Hallo Zusammen,

ich bin gerade zufällig auf diesen Beitrag gestoßen, weil ich nach mal langer Zeit endlich mal wieder meine Newsletter gelesen habe.
Eine direkte Lösung fällt mir leider auch nicht ein, aber ich habe schon einige seltsame Erfahrungen mit VPN gemacht.
Ich betreue einige Kunden per VPN.
Bei den meisten gibt es keine Pobleme, auch von zu Hause aus. Zwei haben aber eine größere Watchguard Firewall mit deutlich unterschiedlichen Versionsständen.
Bei einem hatte ich das gleiche Problem.
Der Tunnel baute sich auf, aber es war kein Traffic möglich. Damit hatte ich mich mit abgefunden.

Nachdem ich meinen alten Draytec Router von 1&1 gegen eine Fritzbox ausgetauscht hatte funktionierte der Tunnel erfreulicherweise.
Dann kam der Kunde mit der neueren Watchguard dazu. Gleiches Problem. In meiner Verzweiflung habe ich den alten Draytec Router wieder ausgegraben. Es Funktioniert.
Mit dem Draytec komme ich auf die "neue" Watchguard, mit der FritzBox auf die Alte.
Die restlichen Verbindungen klappen seltsamer(erfreulicher)weise bei beiden Routern.
Der Einfluss der Hardware ist also manchmal nicht zu vernachlässigen, vielleicht auch die beim Provider nicht.
Watchguard hatte für das Phänomen bei mir auch keine Erklärung.

Wenn ein Logging auf der Gegenseite aktiv ist, würde ich einmal nachschauen mit welcher IP sich das Notebook dort meldet.
Mit der Virtuellen oder mit der Tatsächlichen. Vielleich ergibt sich dort ein Ansatz fürs Routing.

Ansonsten würde ich noch einmal nachschauen, ob die Router wirklich "gleich" sind.
Vielleicht spielt Dir der Firmwarestand, oder ein, in den "Tiefen der erweiterten Admineinstellungen", nicht gesetzter Haken bei "IPSec Passtrough" einen Streich.

Bleibt nur noch zu Hause einmal die gleiche IP Range wie im Firmennetzwerk einzustellen, wenn das auch nicht hilft liegts doch bei ISH, obwohl die davon nichts ahnen und wahrscheinlich auch nichts machen können.

Gruß
Bitte warten ..
Mitglied: falkoni1
17.05.2007 um 01:08 Uhr
Ich kann Oldman nur zustimmen. Einfach zu Hause einen anderen Router probieren. Wir hatten dasselbe Problem. Router getauscht gegen ein anderes Fabrikat und schon ging es.
Gruß
Bitte warten ..
Mitglied: blutfink
17.05.2007 um 11:50 Uhr
[...] Einfach zu
Hause einen anderen Router probieren. Wir
hatten dasselbe Problem. Router getauscht
gegen ein anderes Fabrikat und schon ging
es.

Das dachte ich zuerst auch. Aber warum bleibt das Problem bestehen, wenn ich den Router umgehe und direkt Verbindung zum Internet aufnehme?

Hmmm. Es ist natürlich noch immerhin möglich, dass das Modem selbst das Problem ist, weil es dann als Router fungiert: Es hängt per Ethernetkabel am Rechner und vergibt per DHCP die IP 192.168.100.1.

Falls dort das Problem liegt, ist es schwieriger zu lösen, weil ich das Modem nicht so leicht austauschen kann.
Bitte warten ..
Mitglied: the-falcon
17.05.2007 um 11:59 Uhr
Wenn der Tunnel steht, liegt das Problem definitiv im Zielnetz beim Routing.
Da hilft auch kein Gerätetauschen.
Möglich wäre es höchstens noch, dass dein Routing schon einen Fehler hat, was aber nix mit deinem Router oder Modem zu tun hat, da die nur den Tunnel "sehen" und ansonsten keinen Einfluss darauf haben.
Bitte warten ..
Mitglied: blutfink
18.05.2007 um 16:24 Uhr
> du sagst das allles gleich ist zwischen den
> Standorten. Hast du mal versucht von
> der Firma aus einen VPN Tunnel zu dir nach
> Hause aufzubauen?

Ich schrieb dazu:

Du meinst also Kunden-LAN -> Dynamische
IP Zuhause? Das ist eine gute Idee. Ich werde
das ausprobieren und die Ergebnisse posten.

Leider ist das offenbar fürs erste zu aufwendig, weil ich dann einen VPN-Server zuhause bräuchte, und dazu werde ich den Admin nicht überreden können.

Ich werde jetzt mal anregen, dass die IP-Adressen der Pakete genau beobachtet und die Rückrouten genau verfolgt werden.

Vielen Dank schonmal für die bisherigen Tipps. Ich halte euch auf dem Laufenden.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...