Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Tunnel steht - Trotzdem keine Verbindung

Frage Netzwerke Router & Routing

Mitglied: kumbajah

kumbajah (Level 1) - Jetzt verbinden

16.11.2006, aktualisiert 18:07 Uhr, 9514 Aufrufe, 1 Kommentar

VPN Tunnel zwischen Zentrale und Filiale über ZyWall35. Tunnel steht, trotzdem kein Ping etc.

Hallo zusammen!

Folgendes passiert:

Tunnelaufbau mit zwei identischen ZyWall 35 wie beschrieben mit den IKE Parametern: Main, AES, SHA1, SA 28800, DH2.
Funktioniert tadellos.

Filiale: Gateway intern 10.0.0.1/16, Server 10.0.0.20/16

Zentrale: Gateway intern 10.10.10.1/16, Server 10.10.10.100/16

IPSec:

Filiale:
Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0
Proposal: Tunnel, ESP, 3DES, SHA1,28800, NONE, Enable Replay Detection, Enable Multi Proposals.

In der Zentrale das ganze gegenverkehrt.

IPCONFIG des Servers in der Filiale:
Ethernet-Adapter EXTERN:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.0.0.20
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.0.0.10
DNS-Server . . . . . . . . . . . : 10.0.0.10
192.168.0.100
195.58.160.194


IPCONFIG des Servers in der Zentrale:
IP-Adresse. . . . . . . . . . . . : 10.10.10.100
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.10.1
DNS-Server . . . . . . . . . . . : 10.10.10.1
195.58.160.2

Der Traffic müsste bei einem Ping von der Zentrale an 10.0.0.20 jetzt doch durch den Tunnel in die Filiale gehen oder? Tut er aber nicht. Bekomme nur "Zeitüberschreitung der Anforderung". Und im Logfile des Filialrouters habe ich Einträge
"ip Spoofing - WAN ICMP(Echo) Source 10.10.10.0 - Dest 10.0.0.20 - ATTACK"

Bin schon verzweifelt, probiere jetzt seit einer Woche sinnlos herum. An den Subnets kanns doch nicht liegen, die sind gleich, oder doch? Kenne mich nicht mehr aus.

Kann mir jemand einen Hinweis geben bitte??
Mitglied: aqui
16.11.2006 um 18:07 Uhr
Deine Subnets sind schon richtig allerdings gibst du auf beiden Seiten eine falsche Host Range an.
Du benutzt auf beiden Seiten eine 16 Bit Subnetzmaske auf der Class A Adresse bei den Servern also:

10.0.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.0.255.255 analog auf der anderen Seite:
10.10.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.10.255.255

Die Aussage:
"Filiale: Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0"

stimmt dann irgendwie nicht und es kann sein das hier irgendwo ein Adress Maskenfehler vorliegt !
Denn nach dieser Aussage müsste auf den verwendeten 10er Subnetzen eine 24 Bit Maske sein also:
10.0.0.0 mit 255.255.255.0 Hostrange 10.0.0.1 bis .10.0.0.254 analog auf der anderen Seite 10.10.10.0 mit 255.255.255.0 Hostrange 10.10.10.1 bis .10.10.10.254

Wie gesagt und du gibst eine 16 Bit Maske für die Server an, da ist irgendwo ein Widerspruch der ggf. zum Fehler führt.
Das solltest du unbedingt prüfen WELCHE Maske denn nun gültig ist und das die konsistent in den jeweiligen IP Segmenten in Zentrale und Filiale richtig verwendet wird und zwar auf allen maschinen Clients, Router etc..

Nach der Fehlermeldung zu urteilen kann es ebenfalls sein das der Router ICMP Packete (echo) blockt, denn scheinbar kommen die Packete ja bei ihm an er vermutet nur eine Attacke. Ggf. solltest du die Firewall Einstellung auf den Routern diesbezüglich mal checken.

Statt mit Ping kannst du auch mit traceroute arbeiten (tracert bei Windows) dort kannst du dann die einzelen Hops sehen wie weit dein Link kommt. traceroute ist aber auch ICMP basierend, du brauchst dafür dann ebenfalls eine Firewall die dies zulässt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar (10)

Frage von Xaero1982 zum Thema Router & Routing ...

Netzwerke
VPN tunnel anabled und doch keine Verbindung (9)

Frage von Matze08 zum Thema Netzwerke ...

Administrator.de Feedback
Verbindung deaktiviert - Trotzdem Benachrichtigungen (2)

Frage von Raboom zum Thema Administrator.de Feedback ...

Windows Netzwerk
ODBC-Verbindung zu SQL in fremder Domäne über VPN-Tunnel (5)

Frage von platinum-rx zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Humor (lol)

Wo ist der Fehler auf dem Bild?

(11)

Information von the-buccaneer zum Thema Humor (lol) ...

Windows Update

Offenbar erneutes MS-Update mit Fehlerschleife (2012 R2)

Information von VGem-e zum Thema Windows Update ...

Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Heiß diskutierte Inhalte
Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Windows Server
PDF Editor für den Einsatz auf Terminal Servern (16)

Frage von kwame501 zum Thema Windows Server ...

Windows Installation
Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen (14)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Virtualisierung
Unterschied zwischen VDI und Terminal Server Lösungen (13)

Frage von tukawi06 zum Thema Virtualisierung ...