7
VPN Remote LAN nicht pingbar
Ich habe mithilfe des Netgear ProSafe Client und einem Netgear FVS 114 einen IPsec VPN Tunnel in ein externes Netz aufgebaut, dieser Tunnel steht ohne Probleme.
Der FVS 114 ist vom Client und auch umgekehrt Pingbar, was ja schonmal nicht so schlecht ist. Leider kann ich vom Client am Standort A nicht die Rechner im externen LAN (Standort B) anpingen. Laut Logfile vom FVS 114 ist die anzupingene IP Adresse unreachable, was aber nicht sein kann, da der Ping vom FVS 114 direkt auf den Rechnern im LAN funktioniert.
Hier meine Konfiguration:
Standort A:
PC mit Netgear ProSafe Client (192.168.0.1)
Linksys Router mit VPN Passthrough (192.168.0.254)
Kabelmodem mit statischer IP Adresse
Standort B:
Kabelmodem mit statischer IP Adresse
Netgear VPN Router FVS 114 (192.168.1.254)
NAS (192.168.1.253)
Client PC´s (192.168.1.1-10)
Zum Testen hab ich am Standort A den Rechner direkt an das Kabelmodem gehängt um eine evtl. Fehlkonfigurationen des Linksys Router ausschließen zu können, leider auch ohne Erfolg.
Ich bin jetzt schon seit Tagen auf der Suche nach dem Problem, leider bin ich mit meinem Latein am Ende. Ich hoffe ihr könnt mir in dieser Sache noch ein paar Tipps geben um die ganze Sache abschließen zu können.
Falls ihr von meiner Seite noch irgendwelche Infos benötigt, kein Problem, kann ich sofort nachreichen.
Danke schonmal im Voraus.
Schöne Grüße
Daniel
Der FVS 114 ist vom Client und auch umgekehrt Pingbar, was ja schonmal nicht so schlecht ist. Leider kann ich vom Client am Standort A nicht die Rechner im externen LAN (Standort B) anpingen. Laut Logfile vom FVS 114 ist die anzupingene IP Adresse unreachable, was aber nicht sein kann, da der Ping vom FVS 114 direkt auf den Rechnern im LAN funktioniert.
Hier meine Konfiguration:
Standort A:
PC mit Netgear ProSafe Client (192.168.0.1)
Linksys Router mit VPN Passthrough (192.168.0.254)
Kabelmodem mit statischer IP Adresse
Standort B:
Kabelmodem mit statischer IP Adresse
Netgear VPN Router FVS 114 (192.168.1.254)
NAS (192.168.1.253)
Client PC´s (192.168.1.1-10)
Zum Testen hab ich am Standort A den Rechner direkt an das Kabelmodem gehängt um eine evtl. Fehlkonfigurationen des Linksys Router ausschließen zu können, leider auch ohne Erfolg.
Ich bin jetzt schon seit Tagen auf der Suche nach dem Problem, leider bin ich mit meinem Latein am Ende. Ich hoffe ihr könnt mir in dieser Sache noch ein paar Tipps geben um die ganze Sache abschließen zu können.
Falls ihr von meiner Seite noch irgendwelche Infos benötigt, kein Problem, kann ich sofort nachreichen.
Danke schonmal im Voraus.
Schöne Grüße
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123562
Url: https://administrator.de/contentid/123562
Printed on: April 20, 2024 at 03:04 o'clock
7 Comments
Latest comment
Vermutlich rennst du wie immer in die klassichen 3 VPN Anfänger Probleme:
1.) ICMP (Ping) ist auf dem Zielsystem nicht aktiviert !
Dazu musst du in die erweiterten Eigenschaften der Windows Firewall und dort unter ICMP den Haken bei "Auf eingehende Echoanforderungen antworten" aktivieren !!
2.) Die lokale Firewall blockt in der Regel alle Paketet die aus Fremdnetzen kommen damit also alle aus deinem VPN !
Hier musst du die FW zwingend um das remote IP Netz erweitern ("Bereich" unter Ausnahmen) oder einfach die Schrotschusseinstellung "Alle Computer.." wählen !
3.) Wenn dein ProSafe Client ebenfalls hinter einem NAT (Adress Translation) Router steht, dann musst du hier zwingend die Ports
UDP 500
ESP Protokoll (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50 !)
in der Port Weiterleitung auf die lokale IP Adresse des Clients forwarden.
Das ist zwingend nötig, da sonst IPsec ESP, was der NetGear als VPN Protokoll nutzt, nicht die NAT Firewall des Routers überwinden kann !!
Danach sollte es dann problemlos mit dem VPN klappen !
1.) ICMP (Ping) ist auf dem Zielsystem nicht aktiviert !
Dazu musst du in die erweiterten Eigenschaften der Windows Firewall und dort unter ICMP den Haken bei "Auf eingehende Echoanforderungen antworten" aktivieren !!
2.) Die lokale Firewall blockt in der Regel alle Paketet die aus Fremdnetzen kommen damit also alle aus deinem VPN !
Hier musst du die FW zwingend um das remote IP Netz erweitern ("Bereich" unter Ausnahmen) oder einfach die Schrotschusseinstellung "Alle Computer.." wählen !
3.) Wenn dein ProSafe Client ebenfalls hinter einem NAT (Adress Translation) Router steht, dann musst du hier zwingend die Ports
UDP 500
ESP Protokoll (IP Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50 !)
in der Port Weiterleitung auf die lokale IP Adresse des Clients forwarden.
Das ist zwingend nötig, da sonst IPsec ESP, was der NetGear als VPN Protokoll nutzt, nicht die NAT Firewall des Routers überwinden kann !!
Danach sollte es dann problemlos mit dem VPN klappen !
1.) Ist definitv aktiv, da vom FVS aus die Geräte Pingbar sind und ich bei der Hardware NAS eine Firewall oder dergleichen nicht vorhanden ist.
2.) Ich hab bei mir keine Software Firewall noch eine Hardwarefirewall. Ausserdem funktioniert es auch nicht wenn ich direkt am Modem ohne NAT dranhänge.
3.) Ich kann bei meinem Linksys Router nur UDP, TCP und Both einstellen. Das ESP Protokoll gibts nicht. Aber das IPsec Passthrough ist am Linksys aktiv.
Schöne Grüße
Danie
2.) Ich hab bei mir keine Software Firewall noch eine Hardwarefirewall. Ausserdem funktioniert es auch nicht wenn ich direkt am Modem ohne NAT dranhänge.
3.) Ich kann bei meinem Linksys Router nur UDP, TCP und Both einstellen. Das ESP Protokoll gibts nicht. Aber das IPsec Passthrough ist am Linksys aktiv.
Schöne Grüße
Danie
Dann musst du in jedem Falle UDP 500 (ggf. UDP 4500) forwarden und hoffen das ESP mit Passthrough mit durchgeht.
Ohne diese Ports im Forwarding wird es generell nichts !!
Hat der Router oder der Client ein Log was du auslesen kannst ?? Dort ist meist der Fehler sofort ersichtlich.
Alternativ mal einen anderen kompatiblen freien Client versuchen wie z.B. Shrew
http://www.shrew.net/
bzw.
http://www.shrew.net/support/wiki/HowtoNetgear
Der hat ein Log das Fehler mitschreibt !
Generell ist NetGear keine sehr gute Router Wahl wenn es um VPNs geht wie die zahllosen Problem Threads hier belegen ! Andere können das erheblich besser...
Ohne diese Ports im Forwarding wird es generell nichts !!
Hat der Router oder der Client ein Log was du auslesen kannst ?? Dort ist meist der Fehler sofort ersichtlich.
Alternativ mal einen anderen kompatiblen freien Client versuchen wie z.B. Shrew
http://www.shrew.net/
bzw.
http://www.shrew.net/support/wiki/HowtoNetgear
Der hat ein Log das Fehler mitschreibt !
Generell ist NetGear keine sehr gute Router Wahl wenn es um VPNs geht wie die zahllosen Problem Threads hier belegen ! Andere können das erheblich besser...
Hier ein Auszug aus dem Log des Netgear:
[Wed, 2009-08-26 21:19:25] - ICMP Packet[Echo Request] - Source:192.168.1.1 - Destination:192.168.0.250 - [Receive]
Dies war ein Ping vom Client (192.168.1.1) zum Netgear Router (192.168.0.250)
[Wed, 2009-08-26 21:20:26] - ICMP Packet[Destination Unreachable] - Source:192.168.0.254 - Destination:192.168.0.250 - [Receive]
Dies ist ein Ping vom Client zum NAS (192.168.0.253). Hier passt rein gar nichts zusammen. Warum ist plötzlich die Source 192.168.0.254 und die Destination der Netgear.
Kann es sein das da mit dem Routing was nicht stimmt?
[Wed, 2009-08-26 21:19:25] - ICMP Packet[Echo Request] - Source:192.168.1.1 - Destination:192.168.0.250 - [Receive]
Dies war ein Ping vom Client (192.168.1.1) zum Netgear Router (192.168.0.250)
[Wed, 2009-08-26 21:20:26] - ICMP Packet[Destination Unreachable] - Source:192.168.0.254 - Destination:192.168.0.250 - [Receive]
Dies ist ein Ping vom Client zum NAS (192.168.0.253). Hier passt rein gar nichts zusammen. Warum ist plötzlich die Source 192.168.0.254 und die Destination der Netgear.
Kann es sein das da mit dem Routing was nicht stimmt?
Ja, ein Destination unreachable sagt das....
Was sagt denn ein Traceroute (tracert) oder pathping auf das Zielsystem ?? Wo es abbricht ist meist auch der Fehler.
Kannst du die Routing Tabelle des NetGears einsehen ??
Was sagt denn ein Traceroute (tracert) oder pathping auf das Zielsystem ?? Wo es abbricht ist meist auch der Fehler.
Kannst du die Routing Tabelle des NetGears einsehen ??
Hier mal die Routing Tabelle des Netgear.
Den Rest kann ich dir ein bisschen später beantworten da ich grad den ProSafe Client deinstalliert habe und den Shrewsoft mal testen werde.
Default -- 90.146.209.1 -- Yes
90.146.209.127 255.255.255.255 90.146.209.127 1 Yes
192.168.0.250 255.255.255.255 192.168.0.250 1 Yes
192.168.0.0 255.255.255.0 192.168.0.250 1 Yes
90.146.209.0 255.255.255.0 90.146.209.127 1 Yes
Schöne Grüße
Daniel
Den Rest kann ich dir ein bisschen später beantworten da ich grad den ProSafe Client deinstalliert habe und den Shrewsoft mal testen werde.
Default -- 90.146.209.1 -- Yes
90.146.209.127 255.255.255.255 90.146.209.127 1 Yes
192.168.0.250 255.255.255.255 192.168.0.250 1 Yes
192.168.0.0 255.255.255.0 192.168.0.250 1 Yes
90.146.209.0 255.255.255.0 90.146.209.127 1 Yes
Schöne Grüße
Daniel
So es ist vollbracht. Es FUNKTIONIERT!!!
Die Lösung war sowas von Simpel das ich mich selber darüber ärgere. Ich nämlich immer nur meine beiden NAS Server im Remote Netzwerk angepingt bei denen kein Gateway eingetragen war. Die haben also immer meinen Ping empfangen und auch darauf geantwortet, nur sind die Antworten im Nirvana verschwunden weil diese eben kein Gateway hatten. Mensch bin ich blöd.
Ich möchte mich aber trotzdem noch bei aqui bedanken das er sich die Mühe gemacht hat mir zu helfen. Dieses Forum ist eines der kompetentesten Foren im Netz, werde es mir auf jeden Fall Bookmarken. Vielen Dank nochmal.
Schöne Grüße
Daniel
Die Lösung war sowas von Simpel das ich mich selber darüber ärgere. Ich nämlich immer nur meine beiden NAS Server im Remote Netzwerk angepingt bei denen kein Gateway eingetragen war. Die haben also immer meinen Ping empfangen und auch darauf geantwortet, nur sind die Antworten im Nirvana verschwunden weil diese eben kein Gateway hatten. Mensch bin ich blöd.
Ich möchte mich aber trotzdem noch bei aqui bedanken das er sich die Mühe gemacht hat mir zu helfen. Dieses Forum ist eines der kompetentesten Foren im Netz, werde es mir auf jeden Fall Bookmarken. Vielen Dank nochmal.
Schöne Grüße
Daniel
