4
VPN Verbindung in Netz möglich, kein Zugriff auf das Netz
Hallo zusammen,
zur Verfügung stehen:
Router Netgear SRX5308 (Profi Gerät)
mit Netz: 192.168.66.*
und eingerichtetem VPN-Tunnel mit Cisco IPSec. Die Verbindung auf den VPN-Tunnel funktioniert auch von außen.
z.B. von zu Hause (Netz 192.168.178.*). Ich bekomme auch eine IP-Adresse (192.168.66.165) beim Aufbau des VPN-Tunnels.
Nun zum Problem:
nachdem mein VPN-Tunnel aufgebaut ist sollte ich ja eigentlich alles im Ziel-Netzwerk erreichen können. Z.b. die Weboberfläche des Routers auf 192.168.66.1, oder die Server hinter dem Router, etc.
Ich erreiche aber leider gar nichts ... nicht Mal die Weboberfläche des Routers ...
Auszüge aus meiner Routing-Tabelle (netstat -r):
192.168.66.1 link#12 UHWIi 27 184 utun2
192.168.66.165 192.168.66.165 UH 0 11 utun2
192.168.66.255 link#12 UHW3I 0 24 utun2
das bedeutet doch eigentlich, dass ich Zugriff auf den Router zumindest Mal habe?
Aber sogar der Ping timed out ....
Kann mir jemand einen Tip geben, was hier eventuell falsch läuft?
Vielen Dank!
zur Verfügung stehen:
Router Netgear SRX5308 (Profi Gerät)
mit Netz: 192.168.66.*
und eingerichtetem VPN-Tunnel mit Cisco IPSec. Die Verbindung auf den VPN-Tunnel funktioniert auch von außen.
z.B. von zu Hause (Netz 192.168.178.*). Ich bekomme auch eine IP-Adresse (192.168.66.165) beim Aufbau des VPN-Tunnels.
Nun zum Problem:
nachdem mein VPN-Tunnel aufgebaut ist sollte ich ja eigentlich alles im Ziel-Netzwerk erreichen können. Z.b. die Weboberfläche des Routers auf 192.168.66.1, oder die Server hinter dem Router, etc.
Ich erreiche aber leider gar nichts ... nicht Mal die Weboberfläche des Routers ...
Auszüge aus meiner Routing-Tabelle (netstat -r):
192.168.66.1 link#12 UHWIi 27 184 utun2
192.168.66.165 192.168.66.165 UH 0 11 utun2
192.168.66.255 link#12 UHW3I 0 24 utun2
das bedeutet doch eigentlich, dass ich Zugriff auf den Router zumindest Mal habe?
Aber sogar der Ping timed out ....
Kann mir jemand einen Tip geben, was hier eventuell falsch läuft?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265534
Url: https://administrator.de/contentid/265534
Printed on: April 25, 2024 at 14:04 o'clock
4 Comments
Latest comment
Router Netgear SRX5308 (Profi Gerät)
So so... "Profi Gerät" 
NetGear und "Profi" widersprechen sich diametral. Das ist ein billiges Consumer Gerät. Profi Geräte die diesen Namen verdienen heissen Juniper, Cisco usw. Nur um mal deinen Horizont wieder etwas zurechtzurücken.mit Netz: 192.168.66.*
Das ist keine hilfreiche Netzwerk Angabe. Ist das ein 24 Bit Netz also 192.168.66.0 /24 ?Ich bekomme auch eine IP-Adresse (192.168.66.165) beim Aufbau des VPN-Tunnels.
Ist schonmal ein gutes Zeichen. Hilfreich wäre es noch wenn du uns mal mitteilen könntest WAS für ein VPN Protokoll du denn benutzt.Ist das IPsec ?
Du sprichst hier von "Cisco IPsec" ? Was bitte soll das sein ? Ein Cisco VPN Client kann keine Verbindung zu einer Netgear Gurke aufbauen sondern nur zu Ciscp VPN Endgeräten. Für dein NG "Profigerät" benötigst du einen nativen IPsec Client wie den allseits bekannten Shrew Client: https://www.shrew.net oder eben den NetGear VPN Client !
nachdem mein VPN-Tunnel aufgebaut ist sollte ich ja eigentlich alles im Ziel-Netzwerk erreichen können.
Jein !Nur wenn dein VPN Router auch gleichzeitig das default Gateway ist im Zielnetz. Wenn nicht musst du eine zusätzliche statische Route definieren.
Weitere Falle kann die lokale Firewall auf den Endgeräten sein. Da du ja nun mit einer fremden IP Absender Adresse dort ankommst blockt diese in der Regel alle diese Pakete. Sie lässt nur welche mit der lokalen IP Netzadresse als Absender passieren. Hier musst du also die lokale Firewall anpassen.
Auszüge aus meiner Routing-Tabelle (netstat -r):
Siehst du..hier ist irgendwas faul ! Es fehlt hier die Route auf das 192.168.178.0 /24 Netz. Damit ist dann eine Kommunikation ausgeschlossen !Irgendwo ist also noch ein Fehler in deiner Konfig oder du nutzt den falschen Client sollte dies ein Cisco VPN Client sein.
Aber sogar der Ping timed out ....
Auch das ist normal und erwartbar, da seit Windows 7 ICMP echo reply (Ping) komplett deaktiviert ist in der Windows Firewall.http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du also mit einem Winblows Rechner pingst ist das normal und du musst es erst wieder erlauben.
Viele Dinge die also bei dir vermutlich falsch laufen oder falsch konfiguriert sind ?
Einen Überblick über IPsec basierte VPNs mit Troubleshooting Tips gibt dir dieses Forumstutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
> Router Netgear SRX5308 (Profi Gerät)
So so... "Profi Gerät" NetGear und "Profi" widersprechen sich diametral. Das ist ein billiges
Consumer Gerät. Profi Geräte die diesen Namen verdienen heissen Juniper, Cisco usw. Nur um mal deinen Horizont wieder
etwas zurechtzurücken.
Okay, also mir "Profi Gerät" wollte ich mehr ausdrücken, dass es kein normaler Consumer Router ist, sonder ein Business-Gerät. Also so richtig mit Server-Schrank und so So so... "Profi Gerät"
NetGear und "Profi" widersprechen sich diametral. Das ist ein billigesConsumer Gerät. Profi Geräte die diesen Namen verdienen heissen Juniper, Cisco usw. Nur um mal deinen Horizont wieder
etwas zurechtzurücken.
> mit Netz: 192.168.66.*
Das ist keine hilfreiche Netzwerk Angabe. Ist das ein 24 Bit Netz also 192.168.66.0 /24 ?
Ja genau, 192.168.66.0/24Das ist keine hilfreiche Netzwerk Angabe. Ist das ein 24 Bit Netz also 192.168.66.0 /24 ?
> Ich bekomme auch eine IP-Adresse (192.168.66.165) beim Aufbau des VPN-Tunnels.
Ist schonmal ein gutes Zeichen. Hilfreich wäre es noch wenn du uns mal mitteilen könntest WAS für ein VPN
Protokoll du denn benutzt.
Ist das IPsec ?
Du sprichst hier von "Cisco IPsec" ? Was bitte soll das sein ? Ein Cisco VPN Client kann keine Verbindung zu einer
Netgear Gurke aufbauen sondern nur zu Ciscp VPN Endgeräten. Für dein NG "Profigerät" benötigst
du einen nativen IPsec Client wie den allseits bekannten Shrew Client: https://www.shrew.net oder eben den NetGear VPN Client !
Es ist ein IPSec VPN ja.Ist schonmal ein gutes Zeichen. Hilfreich wäre es noch wenn du uns mal mitteilen könntest WAS für ein VPN
Protokoll du denn benutzt.
Ist das IPsec ?
Du sprichst hier von "Cisco IPsec" ? Was bitte soll das sein ? Ein Cisco VPN Client kann keine Verbindung zu einer
Netgear Gurke aufbauen sondern nur zu Ciscp VPN Endgeräten. Für dein NG "Profigerät" benötigst
du einen nativen IPsec Client wie den allseits bekannten Shrew Client: https://www.shrew.net oder eben den NetGear VPN Client !
Als Client nutze ich den Mac eigenen Client. Der bietet halt 3 VPN-Typen an: L2TP über IPSec, PPTP oder eben Cisco IPSec.
Mit dem gleichen Client und VPN-Typ "Cisco IPSec" kann ich mich zum Beispiel von Unterwegs auf meine FritzBox zu Hause einwählen.
> nachdem mein VPN-Tunnel aufgebaut ist sollte ich ja eigentlich alles im Ziel-Netzwerk erreichen können.
Jein !
Nur wenn dein VPN Router auch gleichzeitig das default Gateway ist im Zielnetz. Wenn nicht musst du eine zusätzliche
statische Route definieren.
Der VPN Router ist der default Gateway im Netz.Jein !
Nur wenn dein VPN Router auch gleichzeitig das default Gateway ist im Zielnetz. Wenn nicht musst du eine zusätzliche
statische Route definieren.
Weitere Falle kann die lokale Firewall auf den Endgeräten sein. Da du ja nun mit einer fremden IP Absender Adresse dort
ankommst blockt diese in der Regel alle diese Pakete. Sie lässt nur welche mit der lokalen IP Netzadresse als Absender
passieren. Hier musst du also die lokale Firewall anpassen.
Die Firewall sollte ja erst Mal keine Rolle spielen, wenn ich mich per VPN am Router einlogge müsste ich ja zumindest Mal den Router pingen können und die Weboberfläche erreichen können?ankommst blockt diese in der Regel alle diese Pakete. Sie lässt nur welche mit der lokalen IP Netzadresse als Absender
passieren. Hier musst du also die lokale Firewall anpassen.
> Auszüge aus meiner Routing-Tabelle (netstat -r):
Siehst du..hier ist irgendwas faul ! Es fehlt hier die Route auf das 192.168.178.0 /24 Netz. Damit ist dann eine Kommunikation
ausgeschlossen !
Okay, hier noch Mal die komplette Routing-Tabelle:Siehst du..hier ist irgendwas faul ! Es fehlt hier die Route auf das 192.168.178.0 /24 Netz. Damit ist dann eine Kommunikation
ausgeschlossen !
Internet:
Destination Gateway Flags Refs Use Netif Expire
default link#12 UCS 6 0 utun2
default 192.168.178.1 UGScI 6 0 en0
17.72.148.53 link#12 UHWIi 1 1 utun2
17.158.10.42 link#12 UHWIi 1 38 utun2
17.173.254.222 link#12 UHW3I 0 64 utun2
17.173.254.223 link#12 UHWIi 1 32 utun2
46.252.131.157 192.168.178.1 UGHS 4 69 en0
127 localhost UCS 0 0 lo0
localhost localhost UH 5 110829 lo0
169.254 link#4 UCS 0 0 en0
192.168.66.1 link#12 UHWIi 18 40 utun2
192.168.66.165 192.168.66.165 UH 0 11 utun2
192.168.66.255 link#12 UHW3I 0 20 utun2
192.168.178 link#4 UCS 3 0 en0
192.168.178.1/32 link#4 UCS 1 0 en0
192.168.178.1 8:96:d7:82:81:ff UHLWIir 11 1964 en0 802
192.168.178.21/32 link#4 UCS 0 0 en0
192.168.178.33 link#4 UHLWI 0 62 en0
192.168.178.35 link#4 UHRLWI 0 14 en0
192.168.178.255 ff:ff:ff:ff:ff:ff UHLWbI 0 20 en0
Irgendwo ist also noch ein Fehler in deiner Konfig oder du nutzt den falschen Client sollte dies ein Cisco VPN Client sein.
Ist wie gesagt nur der VPN-Typ der hier Cisco IPSec heißt. Der Client ist von Mac.> Aber sogar der Ping timed out ....
Auch das ist normal und erwartbar, da seit Windows 7 ICMP echo reply (Ping) komplett deaktiviert ist in der Windows Firewall.
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du also mit einem Winblows Rechner pingst ist das normal und du musst es erst wieder erlauben.
Es geht hier nicht um Windows. Der Router ist wie gesagt ein Netgear und dahinter würde ich gerne einen Mac-Server erreichen.Auch das ist normal und erwartbar, da seit Windows 7 ICMP echo reply (Ping) komplett deaktiviert ist in der Windows Firewall.
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Wenn du also mit einem Winblows Rechner pingst ist das normal und du musst es erst wieder erlauben.
Viele Dinge die also bei dir vermutlich falsch laufen oder falsch konfiguriert sind ?
Einen Überblick über IPsec basierte VPNs mit Troubleshooting Tips gibt dir dieses Forumstutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Was mir jetzt auch noch aufgefallen ist: wenn ich in dem VPN eingeloggt bin geht auch das normale Internet nicht mehr! Als würde es mein komplettes Netzwerk hier an meinem MacBook zerschiessen ...Einen Überblick über IPsec basierte VPNs mit Troubleshooting Tips gibt dir dieses Forumstutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
dass es kein normaler Consumer Router ist, sonder ein Business-Gerät.
Nein, nicht wirklich. NetGear ist ein reiner Consumer Markt Hersteller, was du auch an der Qualität der Hadware und Formware siehst. Wenn du wirklich "Business" willst dann hält man sich an Marken wie Juniper, Checkpoint, Cisco, Fortinet u. Co. die auch solche kleinen Applinaces haben aber dann auch wirklich Business sind...aber egal ist ja nicht das Thema hier.OK, Mac VPN Client ist was anderes, der funktioniert in der Tat problemlos mit nativen IPsec Servern. Getestet mit Mikrotik Routern, pfSense Firewall und auch OpenSwan u.a.
wenn ich mich per VPN am Router einlogge müsste ich ja zumindest Mal den Router pingen können und die Weboberfläche erreichen können?
Ja, das ist richtig, wenn der VPN Tunnel wirklich aufgebaut ist sollte das fehlerlos klappen.Hast du für die Einrichtung diese KB Artikel gelesen ?
http://kb.netgear.com/app/answers/detail/a_id/24242/~/mac-os-x-vpn-clie ...
http://www.vpntracker.com/de/vendor/6/netgear-mac-vpn-client.html
wenn ich in dem VPN eingeloggt bin geht auch das normale Internet nicht mehr! Als würde es mein komplettes Netzwerk hier an meinem MacBook zerschiessen ...
Nein, das tut es natürlich nicht. Was hier passiert ist das der VPN Server dein Default Gateway auf den VPN Tunnel legt und damit sämtlichen Traffic in den Tunnel verlegt.Fehlt am Ziel dann ein Gateway ins Internet sieht es quasi so aus als ob der Link tot ist. Ob das gateway umgebogen wird oder nicht kann man am VPN Server einstellen (Konfig).
Nutze immer Traceroute im Terminal um dir die Routing Hops anzusehen. Dann weisst du immer welchen Weg deine Pakete gehen.
Hallo,
Bei der SRX5308 handelt es sich um eine Frirewall der Firma Netgear
und nicht bloß um einen Router und die ist auch aus der ProSafe Serie!
Also kein Consumergerät obwohl Netgear auch Consumergeräte herstellt
ist dieses eben keines! Aber die gute Nachricht ist das diese Firewall schon
so lange von Netgear Vertrieben wird, gerade weil mit ihr alles funktioniert!!!
Also damit sollte auch ein IPSec L2TP über IPSec, PPTP oder eben Cisco IPSec VPN hinzubekommen sein! Auf der Quad WAN Firewall SRX5308 sollte natürlich auch der WAN Port hinterlegt sein über den das VPN laufen
soll!!!
Ich schätze das Juniper natürlich Profigeräte Herstellt aber mit welcher
Firewall hat sich denn Cisco zuletzt einen Namen gemacht? War das
die RV220W, RV180, RV320 oder die RV325er Serie? Nun gut zurück
zum Thema, also ich denke man muss am Ziel (Netgear) entweder eine
Firewallregel hinterlegen oder aber auf welche Netzwerke hinter der
SRX5308 zugegriffen werden darf, das sollte dann das Problem lösen.
Zu guter Letzt noch der Zugriff von außen zum Administrieren einstellen,
zum Einen sollte dieser erlaubt sein und dann auch noch via welcher
Methode zugegriffen werden darf, also sprich VPN, SSH, usw......
Hier noch ein paar Anleitungen und Hilfestellungen dazu:
- Die letzte Firmware einspielen! 4.3.2-7
Und die Release Notes dazu lesen! bzw. ein Backup der Einstellungen
machen
- Netgear VPN Case Studys hat auch eine menge an Anleitungen
zu diesem Thema
Alternativen zum VPN Klienten:
- VPN Klient und Anleitung von Netgear
- Alternativer VPN Klient von VPNTracker
Ist kompatibel mit der SRX5308 und mit bebilderter VPN Anleitung
- Alternativer VPN Klient von ShrewSoft anschauen
Ist auch mit einer Anleitung versehen!
Also da wir Deine Firewallkonfiguration und vor allem die Regeln nicht
kennen wird das hier wohl eher ein Ratespiel bleiben, aber Anleitungen
und Alternativen sollten schnell zum Erfolg führen.
Gruß
Dobby
L2TP über IPSec, PPTP oder eben Cisco IPSec.
Es wird wohl eher L2TP über IPSec, PPTP oder eben IPSec sein!Mit dem gleichen Client und VPN-Typ "Cisco IPSec" kann ich mich
zum Beispiel von Unterwegs auf meine FritzBox zu Hause einwählen.
Die AVM FB kann ja auch IPSec das sollte also gar kein Problem sein!zum Beispiel von Unterwegs auf meine FritzBox zu Hause einwählen.
Bei der SRX5308 handelt es sich um eine Frirewall der Firma Netgear
und nicht bloß um einen Router und die ist auch aus der ProSafe Serie!
Also kein Consumergerät obwohl Netgear auch Consumergeräte herstellt
ist dieses eben keines! Aber die gute Nachricht ist das diese Firewall schon
so lange von Netgear Vertrieben wird, gerade weil mit ihr alles funktioniert!!!
Also damit sollte auch ein IPSec L2TP über IPSec, PPTP oder eben Cisco IPSec VPN hinzubekommen sein! Auf der Quad WAN Firewall SRX5308 sollte natürlich auch der WAN Port hinterlegt sein über den das VPN laufen
soll!!!
Ich schätze das Juniper natürlich Profigeräte Herstellt aber mit welcher
Firewall hat sich denn Cisco zuletzt einen Namen gemacht? War das
die RV220W, RV180, RV320 oder die RV325er Serie? Nun gut zurück
zum Thema, also ich denke man muss am Ziel (Netgear) entweder eine
Firewallregel hinterlegen oder aber auf welche Netzwerke hinter der
SRX5308 zugegriffen werden darf, das sollte dann das Problem lösen.
Zu guter Letzt noch der Zugriff von außen zum Administrieren einstellen,
zum Einen sollte dieser erlaubt sein und dann auch noch via welcher
Methode zugegriffen werden darf, also sprich VPN, SSH, usw......
Hier noch ein paar Anleitungen und Hilfestellungen dazu:
- Die letzte Firmware einspielen! 4.3.2-7
Und die Release Notes dazu lesen! bzw. ein Backup der Einstellungen
machen
- Netgear VPN Case Studys hat auch eine menge an Anleitungen
zu diesem Thema
Alternativen zum VPN Klienten:
- VPN Klient und Anleitung von Netgear
- Alternativer VPN Klient von VPNTracker
Ist kompatibel mit der SRX5308 und mit bebilderter VPN Anleitung
- Alternativer VPN Klient von ShrewSoft anschauen
Ist auch mit einer Anleitung versehen!
Also da wir Deine Firewallkonfiguration und vor allem die Regeln nicht
kennen wird das hier wohl eher ein Ratespiel bleiben, aber Anleitungen
und Alternativen sollten schnell zum Erfolg führen.
Gruß
Dobby
