Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN - Tunnel steht - Trotzdem keine Verbindung

Frage Netzwerke Router & Routing

Mitglied: kumbajah

kumbajah (Level 1) - Jetzt verbinden

16.11.2006, aktualisiert 18:07 Uhr, 9491 Aufrufe, 1 Kommentar

VPN Tunnel zwischen Zentrale und Filiale über ZyWall35. Tunnel steht, trotzdem kein Ping etc.

Hallo zusammen!

Folgendes passiert:

Tunnelaufbau mit zwei identischen ZyWall 35 wie beschrieben mit den IKE Parametern: Main, AES, SHA1, SA 28800, DH2.
Funktioniert tadellos.

Filiale: Gateway intern 10.0.0.1/16, Server 10.0.0.20/16

Zentrale: Gateway intern 10.10.10.1/16, Server 10.10.10.100/16

IPSec:

Filiale:
Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0
Proposal: Tunnel, ESP, 3DES, SHA1,28800, NONE, Enable Replay Detection, Enable Multi Proposals.

In der Zentrale das ganze gegenverkehrt.

IPCONFIG des Servers in der Filiale:
Ethernet-Adapter EXTERN:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 10.0.0.20
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.0.0.10
DNS-Server . . . . . . . . . . . : 10.0.0.10
192.168.0.100
195.58.160.194


IPCONFIG des Servers in der Zentrale:
IP-Adresse. . . . . . . . . . . . : 10.10.10.100
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.10.1
DNS-Server . . . . . . . . . . . : 10.10.10.1
195.58.160.2

Der Traffic müsste bei einem Ping von der Zentrale an 10.0.0.20 jetzt doch durch den Tunnel in die Filiale gehen oder? Tut er aber nicht. Bekomme nur "Zeitüberschreitung der Anforderung". Und im Logfile des Filialrouters habe ich Einträge
"ip Spoofing - WAN ICMP(Echo) Source 10.10.10.0 - Dest 10.0.0.20 - ATTACK"

Bin schon verzweifelt, probiere jetzt seit einer Woche sinnlos herum. An den Subnets kanns doch nicht liegen, die sind gleich, oder doch? Kenne mich nicht mehr aus.

Kann mir jemand einen Hinweis geben bitte??
Mitglied: aqui
16.11.2006 um 18:07 Uhr
Deine Subnets sind schon richtig allerdings gibst du auf beiden Seiten eine falsche Host Range an.
Du benutzt auf beiden Seiten eine 16 Bit Subnetzmaske auf der Class A Adresse bei den Servern also:

10.0.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.0.255.255 analog auf der anderen Seite:
10.10.0.0 Maske 255.255.0.0 damit ist die Hostrange dann bis 10.10.255.255

Die Aussage:
"Filiale: Local Network Range: 10.0.0.0-10.0.0.255 Port 0-0
Remote Network Range: 10.10.10.0-10.10.10.255 Port 0-0"

stimmt dann irgendwie nicht und es kann sein das hier irgendwo ein Adress Maskenfehler vorliegt !
Denn nach dieser Aussage müsste auf den verwendeten 10er Subnetzen eine 24 Bit Maske sein also:
10.0.0.0 mit 255.255.255.0 Hostrange 10.0.0.1 bis .10.0.0.254 analog auf der anderen Seite 10.10.10.0 mit 255.255.255.0 Hostrange 10.10.10.1 bis .10.10.10.254

Wie gesagt und du gibst eine 16 Bit Maske für die Server an, da ist irgendwo ein Widerspruch der ggf. zum Fehler führt.
Das solltest du unbedingt prüfen WELCHE Maske denn nun gültig ist und das die konsistent in den jeweiligen IP Segmenten in Zentrale und Filiale richtig verwendet wird und zwar auf allen maschinen Clients, Router etc..

Nach der Fehlermeldung zu urteilen kann es ebenfalls sein das der Router ICMP Packete (echo) blockt, denn scheinbar kommen die Packete ja bei ihm an er vermutet nur eine Attacke. Ggf. solltest du die Firewall Einstellung auf den Routern diesbezüglich mal checken.

Statt mit Ping kannst du auch mit traceroute arbeiten (tracert bei Windows) dort kannst du dann die einzelen Hops sehen wie weit dein Link kommt. traceroute ist aber auch ICMP basierend, du brauchst dafür dann ebenfalls eine Firewall die dies zulässt !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
MikroTik RouterOS
gelöst VPN Tunnel steht - Internet und LAN tot (12)

Frage von 118080 zum Thema MikroTik RouterOS ...

Windows Netzwerk
Drucken über VPN Tunnel langsam (3)

Frage von oellad zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Viren und Trojaner
gelöst Wie werde ich den Mist "fanli90" wieder los? (17)

Frage von Taumel zum Thema Viren und Trojaner ...

Switche und Hubs
LAG zwischen Cisco SG300 und Dlink DGS1100 herstellen - wie? (15)

Frage von White-Rabbit2 zum Thema Switche und Hubs ...

Hardware
Lenovo Yoga 500 über angeschlossene USB Tastatur booten (13)

Frage von thomasreischer zum Thema Hardware ...

CPU, RAM, Mainboards
Hardware Fragen (12)

Frage von xaver-2 zum Thema CPU, RAM, Mainboards ...