Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN-Tunnel zwischen 2 Netzen mit Zyxel Routern

Frage Netzwerke Router & Routing

Mitglied: SmiLee82

SmiLee82 (Level 1) - Jetzt verbinden

20.02.2009, aktualisiert 13:28 Uhr, 6601 Aufrufe, 11 Kommentare

Weder PING noch Netzwerkzugriffe funktionieren!

Hallo Zusammen!

Ich möchte einen VPN-Tunnel zwischen 2 Netzen aufbauen.
Sie befinden sich an 2 Standorten, bei unterschiedlichen Providern und haben jeweils eine statische WAN-IP.

Netz1: Zyxel 660-HW 192.168.1.0 255.255.255.0 ARCOR
Netz2: Zyxel P662-HW 192.168.2.0 255.255.255.0 Alice-DSL

VPN Konfiguration (auf beiden Routern gleich):
IPSec: IKE
Abstimmung: Allgemein
Encapsulation: Tunnel
Sicherheit: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1

Phase1:
Abstimmung: Allgemein
Schlüssel: s.o.
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Schlüsselgruppe: DH1

Phase2:
Protokoll: ESP
Verschlüsselungsalgorithmus: 3DES
Authentifizierungsalgorithmus: SHA1
Zyklus: 28800
Encapsulation: Tunnel
PFS: OHNE

Lokal und Gegenstelle werden jeweils als Subnet übergeben.
IDs werden als IP überprüft.

Der Tunnel wird hiermit auch erfolgreich aufgebaut und im VPN-Monitor der Router angezeigt.

Protokoll:
1 02/20/2009 10:58:32 Send<:[HASH][DEL]>
2 02/20/2009 10:58:32 Adjust TCP MSS to 1452
3 02/20/2009 10:58:32 Send<:[HASH][DEL]>
4 02/20/2009 10:58:36 Send<:[SA][VID][VID]>
5 02/20/2009 10:58:36 Send Mode request to <*.*.*.*>
6 02/20/2009 10:58:36 Rule [1] Sending IKE request
7 02/20/2009 10:58:37 Recv<:[KE][NONCE]>
8 02/20/2009 10:58:37 Send<:[KE][NONCE]>
9 02/20/2009 10:58:37 Recv<:[SA][VID]>
10 02/20/2009 10:58:38 Rule [1] Tunnel built successfully
11 02/20/2009 10:58:38 Send<:[HASH]>
12 02/20/2009 10:58:38 Adjust TCP MSS to 1390
13 02/20/2009 10:58:38 Recv<:[HASH][SA][NONCE][ID][ID]>
14 02/20/2009 10:58:38 Send<:[HASH][SA][NONCE][ID][ID]>
15 02/20/2009 10:58:38 Start Phase 2: Quick Mode
16 02/20/2009 10:58:38 Phase 1 IKE SA process done
17 02/20/2009 10:58:38 Recv<:[ID][HASH][NOTFY:INIT_CONTACT]>
18 02/20/2009 10:58:38 Send<:[ID][HASH][NOTFY:INIT_CONTACT]>

Allerdings funktionieren nun weder PING noch Netzwerkzugriffe!

Kann es mit den Router-Firewall Einstellungen zusammenhängen?
(Habe in beiden Regeln fürs IPSec und IKE festgelegt und per NAT UDP 500 für IKE übergeben.)

Wie ist sieht es mit der RIP-Konfiguartion aus? Kann da ein Problem entstehen?
(Habe RIP-2M in beide Richtungen mit IGMP-2 zugelassen)


Vielen Dank schonmal für Eure Hilfe!
Cheers, SmiLee
Mitglied: 45877
20.02.2009 um 11:29 Uhr
die beiden netze dürfen nicht di egleiche ip range haben. in einem netz musst du die ips ändern, wie soll sonst das routing klappen?
Bitte warten ..
Mitglied: SmiLee82
20.02.2009 um 13:29 Uhr
sorry. war natürlich nur falsch eingetippt.
habs jetzt berichtigt.
Bitte warten ..
Mitglied: aqui
20.02.2009 um 16:17 Uhr
Ursache ist vermutlich die lokalen Firewalls auf den remoten Rechnern !

Dir ist sicher selber klar das die alles was aus Fremdnetzen...was die VPN Netze ja sind gnadenlos abblocken !
Du musst also eine Ausnahme für die jeweils remoten Netze in der Firewall nachtragen oder die Firewall zum Testen mal temporär deaktivieren !!

Damit sollte das problemlos laufen !!

Was sagt denn ein Traceroute (tracert) oder pathping ??
Bitte warten ..
Mitglied: SmiLee82
20.02.2009 um 16:49 Uhr
firewalls habe ich auch schon deaktiviert.
tracert macht schon nach der 2. station feierabend.
scheint gar nicht erst den router zu verlassen.

ist aber wirklich komisch, da die verbindung ja erst durch nen ping aufgebaut wird.
das funktioniert auch nur, wenn wirklich 2 clients laufen.
aber der ping geht dann doch nicht durch - bin echt langsam am verzweifeln!
Bitte warten ..
Mitglied: aqui
20.02.2009 um 17:59 Uhr
Das ist Unsinn das die Verbindung durch einen Ping aufgebaut wird.
Wenn beides VPN Router sind bauen die Router die Verbindung auf sowie sie gebootet sind und halten diesen VPN Tunnel.
Man kann ihn also quasi als Standleitung zwischen den beiden remoten Netzen sehen !!

Endgeräte oder Pings oder sowas haben damit gar nichts zu tun...das ist ein Irrglaube ! Vermutlich ist dir die Funktion von VPNs nicht ganz klar ??!!

Kannst du dann wenigstens die LAN IP des Routers auf der remoten Seite pingen ???

Das muss in jedem Falle klappen, denn dort gibt es keinerlei FW und die Ping Pakete bleiben im Router !
Das muss klappen und verifiziert dann das der VPN Tunnel auch wirklich aufgebaut ist und sauber funktioniert !!!
Bitte warten ..
Mitglied: SmiLee82
20.02.2009 um 21:00 Uhr
jedenfalls wird der tunnel erst nach einem ping auf das remote netz aufgebaut und nicht schon beim starten der router. (habe aber "keep alive" eingestellt)

mit einem draytek-router und dynamischer ip auf der arcor seite hatte ich auch mit den gleichen einstellungen einen voll funktionsfähigen tunnel.

erst mit dem wechsel zur statischen arcor-ip und dem "neuen" zyxel-p662-hw klappt es jetzt nicht mehr richtig.

ping zu den remote wan-ips geht - über vpn auf remote router lan-ip nicht.
(ist auch aus beiden richtungen das gleiche...)

hab ich denn irgend etwas übersehen?

haben denn generell die RIP oder multicast Einstellungen irgendeinen Einfluß aufs VPN?
Bitte warten ..
Mitglied: aqui
20.02.2009 um 23:01 Uhr
Draytek ist nun aber auch ein ganz andere Qualität als Billigheimer Zyxel. Daran das es mit Draytek ging kannst du sehen das im Verfahren per se kein Fehler ist.

Ein Ping kann niemals einen VPN Tunnel triggern... VPN Router bauen den selbstständig auf wenn dieser definiert ist, das ist mal nun so bei VPN Routern.

In der beziehung hat dein Zyxel da eine Macke !!!
Das neueste Firmware Image hast du aufgespielt ???

Dadurch das du die remote LAN IP des Routers nicht pingen kannst kannst du ersehen das der VPn Tunnel nicht funktioniert !!

Fazit: Zyxel entsorgen...Draytek einsetzen !! Ist sowieso fraglich warum du vom Mercedes in den Trabbi umsteigst... ???
Bitte warten ..
Mitglied: SmiLee82
21.02.2009 um 08:54 Uhr
Den neuen Zyxel brauchten wir wegen Umstellung auf ADSL2+.
Hatte nicht damit gerechnet, daß der solche Zicken macht, wenn sein deutlich älterer Bruder das VPN ohne Macken hinbekommt...
Firmware sind auch jeweils die aktuellsten drauf.

Ist es denn möglich den Draytek Router hinter den Zyxel zu hängen, ihn als LAN-Client einzubinden und dann nur als VPN-Router zu betreiben?
Bitte warten ..
Mitglied: aqui
22.02.2009 um 17:29 Uhr
Der Draytek Vogor 2700 kann auch ADSL2+ !! Warum du dennoch auf Zyxel gegangen bist ist unverständlich ???
Zumal dein alter Draytek bis 6 Mbit supportet. OK wenn du natürlich eine höhere Bandbreite hast nütztdir das nichts.
Da wäre der 2700 dann das Gerät der Wahl gewesen...
Bitte warten ..
Mitglied: SmiLee82
23.02.2009 um 13:50 Uhr
Mir war nicht klar, daß der Zyxel angeblich soooo schlecht ist.
(Außerdem hatte ich gar keinen Vigor 2700 zur Auswahl...)

Wie sieht es denn aus, mit meiner obigen Frage - könnte das klappen?
Bitte warten ..
Mitglied: 45877
23.02.2009 um 17:10 Uhr
ich wüde zuerst mal dem zyxel support auf die nervern gehen.

support für endkunden aus Deutschland: 02405- 690969


http://www.zyxel.de/web/support_category.php?ProgramNo=PRG2006055
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...