Einwahl-Clients erreichen nur das eigene Netz

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
cpac
Beiträge: 14
Registriert: 21 Jun 2013, 12:56
Wohnort: Hamburg

Einwahl-Clients erreichen nur das eigene Netz

Beitrag von cpac »

Moin,
in einem Lancom-Router sind zwei IP-Netzwerke eingerichtet:
  • INTRANET (IP-Adresse 10.0.0.210, Netzmaske 255.255.255.0, VLAN-ID 0)
  • TKANLAGE (IP-Adresse 172.17.17.254, Netzmaske 255.255.255.0, VLAN-ID 0)
Die lokalen Clients verwenden IP-Adressen aus dem Bereich 10.0.0.0, die Einwahl-Clients ebenfalls. Während die lokalen Clients auch die Geräte aus dem Bereich 172.17.17.0 erreichen, gelingt das den Einwahl-Clients jedoch nicht. Ich vermute, da fehlt ein Routing-Eintrag oder ähnliches.

Habt Ihr einen Tipp, was ich einstellen muss, damit auch die Einwahl-Clients auf das Netz 172.17.17.0 zugreifen können?
Gruß, Carsten
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von hotzenplotz »

Moin!

Auf welches Netz dürfen Sie denn lt. FIrewall zugreifen?

Grüße!
cpac
Beiträge: 14
Registriert: 21 Jun 2013, 12:56
Wohnort: Hamburg

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von cpac »

Gute Frage... woran genau erkenne ich das? Ich habe die VPN-Verbindungen stets mit dem Wizard erstellt und bin Laie hinsichtlich der Firewall-Regeln.
Gruß, Carsten
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von hotzenplotz »

cpac hat geschrieben: 09 Dez 2021, 17:14 Ich habe die VPN-Verbindungen stets mit dem Wizard erstellt und bin Laie hinsichtlich der Firewall-Regeln.
Du findest die Regeln in der LanConfig unter "Firewall/QOS" -> "IPv4-Regeln". Dort wird es Regeln geben, die mit WIZ_VPN beginnen.

Wenn dort als Quelle nur das 10.0.0.0/24 steht, ist das der Grund. Dies dann entweder auf "beliebig" setzen, oder aber das zweite Netz hinzufügen.

Grüße!
cpac
Beiträge: 14
Registriert: 21 Jun 2013, 12:56
Wohnort: Hamburg

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von cpac »

Als Quelle ist WIZ_VPN-NETWORK-3 eingetragen. Voreingestellt waren dort die Stationen:
  • 10.0.0.0 / 255.0.0.0
  • 172.16.0.0 / 255.240.0.0
  • 192.168.0.0 / 255.255.0.0
Meiner Meinung nach müsste damit (wegen 172.16.0.0 / 255.240.0.0) die IP-Adresse 172.17.17.254 bereits erreichbar sein (was im LAN ja auch bereits klappt). Aber auch, wenn ich das Netz 172.17.17.0 hinzufüge, kann ich es weiterhin nur im LAN erreichen, nicht über einen Einwahl-Client.
Gruß, Carsten
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von backslash »

Hi cpac,

ist denn deine TK-Anlage/Telefone korrekt konfiguriert? Nicht daß diese Anfragen aus anderen Netzen blockieren...

Am einfachsten macht du mal einen IP-Router-Trace von einem Ping auf die IP der TK-Anlage: im CLI des LANCOMs trace # ip-ro @ 172.17.17.xx (xx passend ersetzen) eingeben und auf dem Client das Ping starten. Wenn du das Ping dann im IP-Router-Trace vom Client kommend an die TK-Anlage gehend sieht, ist schonmal die Hälfte geschafft. Jetzt muß nur nioch die Antwiort wieder von der TK-Anlage zum Client laufen. Wenn die Antwort nicht im Trace auftaucht liegt dser Fehler nicht im LANCOM...

Wenn das Ping schon nicht im Router-Trace zu sehen ist, dann mußt du tiefer einsteigen... Da gäbe es dann den VPN-Packet-Trace, der die sowohl die ver- aus auch die entschlüsselten Pakete anzeigt. Wenn das Ping schon nicht verschlüsselt zu sehen ist, dann liegt der Fehler auf der Seite des Clients. Hast du da das Split-Tunneling korrekt konfiguriert - sprich: weiss der Client, daß er das 127.17.17.x-Netz in den Tunnel routen soll?

Kannst du vom Client aus das LANCOM unter seiner IP im TK-Anlagen-Netz pingen - also die 172.17.17.254, wenn ich das richtig verstenden habe?

Gruß
Backslash
cpac
Beiträge: 14
Registriert: 21 Jun 2013, 12:56
Wohnort: Hamburg

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von cpac »

Moin Backslash,

offenbar habe ich die Fehlerursache gefunden (und in gewisser Weise selbst verursacht): Im Einwahlprofil des Clients habe ich bei "Split Tunneling" das Netz "10.0.0.0 / 255.255.255.0" eingetragen, das Netz 172.17.17.0 jedoch nicht. Das habe ich jetzt nachgeholt und schwupp! sind auch die Geräte mit den IP-Adressen 172.17.17.x erreichbar.

Vielen Dank allen für die Hilfe :D ! Nebenbei habe ich heute auch noch die trace-Funktion auf der Kommandozeile kennengelernt, allerdings ohne herauszufinden, wie man den Trace sauber beendet, ohne gleichzeitig das Terminalfenster zu schließen.
Gruß, Carsten
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von backslash »

Hi cpac
allerdings ohne herauszufinden, wie man den Trace sauber beendet, ohne gleichzeitig das Terminalfenster zu schließen.
das ist eigentlich sehr einfach: mit "trace + xxx" startest du den xxx-Trace und mit "tace - xxx" beendest du ihn wieder. Du kannst auch mit "trace # xxx" zwischen den Zuständen umschalten. Und ein "trace - all" stoppt alle Traces.

Gruß
Backslash
cpac
Beiträge: 14
Registriert: 21 Jun 2013, 12:56
Wohnort: Hamburg

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von cpac »

Als ich den Trace mit "trace # ip-ro @ 172.17.17.4" gestartet hatte, zogen nach wenigen Sekunden Meldungen durchs Terminalfenster, noch bevor ich vom Client aus den PING gestartet hatte. Will sagen, der Eingabeprompt blieb nicht stehen. Hätte ich einfach blind "trace -ip-ro" eingeben müssen, um den Trace zu stoppen?
Gruß, Carsten
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Einwahl-Clients erreichen nur das eigene Netz

Beitrag von backslash »

Hi cpac,
Hätte ich einfach blind "trace -ip-ro" eingeben müssen, um den Trace zu stoppen?
oder "trace - all"... Achte darauf, daß auch VOR und NACH dem Minus ein Leerzeichen stehen muß, sonst erkennt die CLI die Parameter nicht korrekt und sagt "syntax error"
Da du den Trace mit "#" angeschaltet hast hätte auch ein Cursor-Hoch + Enter funktioniert..

Aber das funktioniert am Ende auch nur, wenn das Gerät nicht aufgrund der Menge an Traces nicht auf 100% Load geht...
Um das zu vermeiden, sollte man die Traces noch besser filtern... in deinem Fall wäre vermutlich ein
trace # ip-ro @ +172.17.17.4 +ICMP
hilfreich gewesen... hier darf dann zwischen dem Plus und dem zu filternden String (ICMP) kein Leerzeichen stehen...

Gruß
Backslash
Antworten