Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Tunnel steht - Trotzdem keine Verbindung

Frage Netzwerke Router & Routing

Mitglied: kumbajah

kumbajah (Level 1) - Jetzt verbinden

16.11.2006, aktualisiert 18:07 Uhr, 9511 Aufrufe, 1 Kommentar

VPN Tunnel zwischen Zentrale und Filiale über ZyWall35. Tunnel steht, trotzdem kein Ping etc.

Hallo zusammen!

Folgendes passiert:

Tunnelaufbau mit zwei identischen ZyWall 35 wie beschrieben mit den IKE Parametern: Main, AES, SHA1, SA 28800, DH2.
Funktioniert tadellos.

Filiale: Gateway intern 10.0.0.1/16, Server 10.0.0.20/16

Zentrale: Gateway intern 10.10.10.1/16, Server 10.10.10.100/16

IPSec:

Filiale:
Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0
Proposal: Tunnel, ESP, 3DES, SHA1,28800, NONE, Enable Replay Detection, Enable Multi Proposals.

In der Zentrale das ganze gegenverkehrt.

IPCONFIG des Servers in der Filiale:
Ethernet-Adapter EXTERN:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.0.0.20
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.0.0.10
DNS-Server . . . . . . . . . . . : 10.0.0.10
192.168.0.100
195.58.160.194


IPCONFIG des Servers in der Zentrale:
IP-Adresse. . . . . . . . . . . . : 10.10.10.100
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.10.1
DNS-Server . . . . . . . . . . . : 10.10.10.1
195.58.160.2

Der Traffic müsste bei einem Ping von der Zentrale an 10.0.0.20 jetzt doch durch den Tunnel in die Filiale gehen oder? Tut er aber nicht. Bekomme nur "Zeitüberschreitung der Anforderung". Und im Logfile des Filialrouters habe ich Einträge
"ip Spoofing - WAN ICMP(Echo) Source 10.10.10.0 - Dest 10.0.0.20 - ATTACK"

Bin schon verzweifelt, probiere jetzt seit einer Woche sinnlos herum. An den Subnets kanns doch nicht liegen, die sind gleich, oder doch? Kenne mich nicht mehr aus.

Kann mir jemand einen Hinweis geben bitte??
Mitglied: aqui
16.11.2006 um 18:07 Uhr
Deine Subnets sind schon richtig allerdings gibst du auf beiden Seiten eine falsche Host Range an.
Du benutzt auf beiden Seiten eine 16 Bit Subnetzmaske auf der Class A Adresse bei den Servern also:

10.0.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.0.255.255 analog auf der anderen Seite:
10.10.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.10.255.255

Die Aussage:
"Filiale: Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0"

stimmt dann irgendwie nicht und es kann sein das hier irgendwo ein Adress Maskenfehler vorliegt !
Denn nach dieser Aussage müsste auf den verwendeten 10er Subnetzen eine 24 Bit Maske sein also:
10.0.0.0 mit 255.255.255.0 Hostrange 10.0.0.1 bis .10.0.0.254 analog auf der anderen Seite 10.10.10.0 mit 255.255.255.0 Hostrange 10.10.10.1 bis .10.10.10.254

Wie gesagt und du gibst eine 16 Bit Maske für die Server an, da ist irgendwo ein Widerspruch der ggf. zum Fehler führt.
Das solltest du unbedingt prüfen WELCHE Maske denn nun gültig ist und das die konsistent in den jeweiligen IP Segmenten in Zentrale und Filiale richtig verwendet wird und zwar auf allen maschinen Clients, Router etc..

Nach der Fehlermeldung zu urteilen kann es ebenfalls sein das der Router ICMP Packete (echo) blockt, denn scheinbar kommen die Packete ja bei ihm an er vermutet nur eine Attacke. Ggf. solltest du die Firewall Einstellung auf den Routern diesbezüglich mal checken.

Statt mit Ping kannst du auch mit traceroute arbeiten (tracert bei Windows) dort kannst du dann die einzelen Hops sehen wie weit dein Link kommt. traceroute ist aber auch ICMP basierend, du brauchst dafür dann ebenfalls eine Firewall die dies zulässt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar (10)

Frage von Xaero1982 zum Thema Router & Routing ...

Netzwerke
VPN tunnel anabled und doch keine Verbindung (9)

Frage von Matze08 zum Thema Netzwerke ...

Administrator.de Feedback
Verbindung deaktiviert - Trotzdem Benachrichtigungen (2)

Frage von Raboom zum Thema Administrator.de Feedback ...

Netzwerkgrundlagen
gelöst Zugriff aus dem LAN auf VPN Tunnel (4)

Frage von sschultewolter zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Windows Server

Netzwerkfehler bei HyperV - Host

(1)

Anleitung von Scrises zum Thema Windows Server ...

Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Internet
gelöst Jeden morgen Internet-Probleme (56)

Frage von pjrtvly zum Thema Internet ...

Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

LAN, WAN, Wireless
gelöst IP Adressen - Modem - Switch - Accesspoint (22)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows 7
Bluesreens unternehmensweit (21)

Frage von SYS64738 zum Thema Windows 7 ...