Ich komme hier einfach nicht weiter ...

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

... und hoffe, dass sich dieses schrullige Verhalten doch endlich lösen lässt.

Ausgangslage: Ich verbinde mich via LTE mit meinem iPhone per IKEv2 und Always-On-Mode des iOS mit einem LANCOM 1781EF+ (LCOS 10.20) hier in der Firma. Der VPN-Trace zeigt zurzeit keine Fehlermeldungen an. Allerdings: Ich kann weder ins Internet noch auf lokale Ressourcen zugreifen, es geht da einfach nicht weiter - obwohl der VPN-Tunnel auf dem Smartphone die ganze Zeit über sauber und stabil aufgebaut bleibt. Das Firewall-Trace spuckt kein geblocktes Paket etc. aus.

Um die zusätzliche Komplexität mit einem weiteren WLC-Router (bintec elmeg), der via WLAN die Anfragen hier intern verarbeitet und dann weiterleitet, verzichte ich jetzt erst mal darauf und vesuche das Ganze zuerst über den "direkten" Weg Smartphone LTE VPN > bintec elmeg Internet-MPLS-Router > LANCOM-VPN-Router hinzubekommen.

Via im IKEv2 konfigurierten IKE-Config erhält das Smartphone auch seine korrekte IP-Adresse aus dem eingerichteten Adressen-Pool.
Vom DomainController (der als erster DNS eingetragen ist) kann ich die VPN-Adresse des iPhone (172.21.120.xxx) anpingen. Das ist doch sehr seltsam, dass es auf diesem Weg geht, andererseits spricht das ja auch für ein korrektes Routing hier intern etc.

Vom Smartphone aus ist möglich: Ping auf interne IP-Adressen des Subnets, in dem sich der DC befindet - IP-Adresse 172.21.129.120 (Untermenge des IP-Netztes 172.21.128.0/255.255.240.0 - siehe Daten unten) ... Nicht möglich sind: Ping auf andere IP-Adressen hier in anderen lokale Subnetze, Ping auf externe IP-Adressen z.B. 8.8.8.8, Ping auf sämtliche FQDN im internen Netz (außerhalb 172.21.128.0/255.255.240.0) und externe Domains, Zugriffe im Browser etc. Die DNS-Auflösung fürs gesamte Netz 172.21.128.0/255.255.240.0 ist möglich.


> show vpn

VPN SPD and IKE configuration:

# of rules = 1

Rule #1 ikev2 172.21.128.0/255.255.240.0:0 <-> 172.21.120.56/255.255.255.255:0 any

Name: IPHONE
Unique Id: ipsec-0-IPHONE-pr0-l0-r0
Flags: IKE_SA_INIT
Local Network: IPV4_ADDR_SUBNET(any:0, 172.21.128.0/255.255.240.0)
Local Gateway: IPV4_ADDR(any:0, xxx.xxx.xxx.xxx)
Remote Gateway: IPV4_ADDR(any:0, 80.187.108.210)
Remote Network: IPV4_ADDR(any:0, 172.21.120.56/255.255.255.255)






> show vpn sadb

SA-REPORT

SA: Peer IPHONE, IKE_SA ikev2 responder
Flags 0x0011010101000018 Server Authenticated Ready
Routing-tag 0, Com-channel 12
Dead Peer Detection 30s
local authentication method : PRESHARED_KEY (2)
remote authentication method : PRESHARED_KEY (2)
Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 IKE-DH-Group 14 PRF-HMAC-SHA-256
initiator spi: 0x7dc6182373422435
responder spi: 0xf43d6738af980a64
life secs 108000 rekeying_in 97152 secs life_cnt_sec 107952 secs kb 0 byte_cnt 0
initiator id: iphone, responder id: lancom,
src: xxx.xxx.xxx.xxx dst: 80.187.108.210
Config Server:
Assigned IPv4 Address: 172.21.120.56
Assigned IPv4 DNS Servers: 172.21.129.120, 172.21.129.121

SA: Peer IPHONE, Rule IPSEC-0-IPHONE-PR0-L0-R0 CHILD_SA ikev2 responder
Flags 0x0000010100000008 Ready
Routing-tag 0, Com-channel 12
life secs 28800 rekeying_in 25872 secs life_cnt_sec 28752 secs kb 2000000 byte_cnt 8656
initiator id: iphone, responder id: lancom,
src: xxx.xxx.xxx.xxx dst: 80.187.108.210
172.21.128.0/20 <-> 172.21.120.56/32
proposal 1 protocol IPSEC_ESP Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 PFS-DH-Group None ESN None
spi[outgoing] 0x008667a4
spi[incoming] 0xbff53bc9



Also scheint es da offensichtlich irgendwo (wo nur?) nun ein Problem mit den verschiedenen hier vorhandenen Subnetzen zu geben, die nicht alle korrekt im VPN-Tunnel drin stehen. Der Ping auf dem Smartphone z.B auf 172.21.5.1 (bei uns intern) oder auch 8.8.8.8 sagt auch ganz klar: Network unreachable Insgesamt haben wir hier ein gesamtes B-Netz 172.21.0.0/16 - welches "leider" in diverse Subnetze unterteilt ist.

Vermutlich muss da etwas manuel hinzugefügt werden, aber wo konkret? Und auch eine Default-Route muss dort doch dann auch noch irgendwie mitgegeben werden. Fragen über Fragen ...

Was mich wundert: Im VPN-Trace steht dann unter anderem so etwas drin:

[VPN-Status] 2018/10/02 11:42:50,926
internal DNS resolution for IPHONE
IpStr=>0.0.0.0<, IpAddr(old)=0.0.0.0, IpTtl(old)=0s
IpStr=>0.0.0.0<, IpAddr(new)=0.0.0.0, IpTtl(new)=0s


Das sieht ja nicht wirklich gut aus mit den ganzen Nullen, finde ich ...

Gruß Daniel
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Ich komme hier einfach nicht weiter ...

Beitrag von GrandDixence »

Wenn der LANCOM-Router die SA für ausgehende IP-Pakete:

172.21.128.0/255.255.240.0:0 <-> 172.21.120.56/255.255.255.255:0

hat (lasse nur IP-Pakete mit dem Quelladressbereich 172.21.128.0/255.255.240.0, Port x-beliebig an den Zieladressbereich 172.21.120.56/255.255.255.255 x-beliebiger Port durch den VPN-Tunnel), wird das IPhone für den VPN-Tunnel zum LANCOM-Router die SA für ausgehende IP-Pakete haben:

172.21.120.56/255.255.255.255:0 <-> 172.21.128.0/255.255.240.0:0

:arrow: Liebes IPhone, lasse nur IP-Pakete mit dem Quelladressbereich 172.21.120.56/255.255.255.255, Port x-beliebig an den Zieladressbereich 172.21.128.0/255.255.240.0 x-beliebiger Port durch den VPN-Tunnel. Somit kann vom IPhone aus nur Geräte mit IPv4-Adressen aus dem Bereich 172.21.128.0/255.255.240.0 erreicht werden!

Da offenbar kein "Split Tunneling" beim Einrichten des VPN-Profil mit dem Apple Configurator 2 für das IPhone konfiguriert wurde:

https://de.wikipedia.org/wiki/Split_Tunneling

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p91961

alles-zum-lancom-advanced-vpn-client-f3 ... ml#p102639

der LANCOM-Router aber für "Split Tunneling" eingerichtet wurde, funktioniert beim Aufbau des VPN-Tunnels der Internetzugriff mit dem IPhone nicht mehr.

Abhilfe: Konfiguration der manuellen IPv4-Regel RAS-WITH-CONFIG-PAYLOAD, wie es gestern abend gelernt wurde:
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789

damit, das IPhone für den VPN-Tunnel zum LANCOM-Router die SA:

172.21.120.56/255.255.255.255:0 <-> 0.0.0.0/0.0.0.0:0

erhält und alle IP-Pakete mit x-beliebiger Zieladresse (Default-Route) durch den VPN-Tunnel schleust.

Die Prüfung wurde offenbar nicht bestanden :roll:
Zuletzt geändert von GrandDixence am 13 Apr 2020, 09:56, insgesamt 1-mal geändert.
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

So, nach einem Telefonat heute Vormittag mit dem Support von LANCOM ist nun der aktuelle Stand wie folgt:

Ping und Namensauflösung intern funktionieren, alle Ziele bei uns in sämtlichen Subnetzen sind erreichbar, das Smartphone selbst ist unter seiner VPN-IP-Adresse ebenfalls per Ping erreichbar, das passt soweit erst mal. Aber: Der Weg nach draußen vom Smartphone us ist noch nicht möglich. Kein Ping, kein Web, nix.

Wie und wo kann ich die IP-Adressen, die im VPN vergeben werden, maskieren?

Das scheint aktuell das Problem zu sein, denn auf unserem Internet-Router, der zwischen dem LANCOM und dem MPLS-Internet-Transfer-Netz unseres Providers steht, kommen die Pakete Richtung Internet alle mit der privaten (!) VPN-IP-Adresse des iPhone an:

00:25:42 INFO/INET: refuse from if 1000 prot 6 172.21.120.56:63867->193.99.144.88:80 (backward verify)

Bei den VPN-Verbindungen über den noch aktiv verwendeten bintec-VPN-Router steht beim gleichen Weg ins Internet dort die externe IP-Adresse des bintec-VPN-Routers in der Verbindung. So hätte ich das eben auch gerne im LANCOM eingerichtet. Allerdings habe ich dazu nirgenwo eine Option gefunden.

Hat jemand einen Tipp für mich?

Gruß Daniel
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Ich komme hier einfach nicht weiter ...

Beitrag von backslash »

Hi daniel337PVS,

wenn die Internet-Verbindung des LANCOMs tatsächlich unmaskiert ist, dann hast du eigentlich zwei Möglichkeiten:

1. Du weist dem VPN-Client statisch eine IP aus deinem öffentlichen Netz zu
2. du richtest in der Firewall ein policy-based NAT für den VPN-Client ein und weist dhm dann eine der IPs des öffentlichen Netzes zu (https://www2.lancom.de/kb.nsf/1275/D128 ... enDocument)

oder aber du maskierst deine Internetverbindung einfach...

Gruß
Backslash
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

Hm, dann verstehe ich das unterschiedliche Verhalten hier aber nicht!

Eigentlich soll ja nach dem ersten Screenshot alles Interne nach draußen maskiert werden. Aber in der effektiven Einstellung dann eben doch nicht.

Wie kommt das bzw. woran liegt das und wie lässt sich dieses Verhalten ändern???

Gruß Daniel


-----------
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Ich komme hier einfach nicht weiter ...

Beitrag von backslash »

Hi daniel337PVS

Maskierung funktioniert *NUR* auf WAN-Verbindungen. Da du dein MPLS-Gateway ja offenbar in die DMZ gestellt hast - was ein LAN-Interface ist - kannst du da auch nicht maskieren... Du mußt eine IPoE-WAN-Verbindung einrichten und an die dein MPLS-Gateway hängen... Deine DMZ kannst du trotzdem noch im LAN aufspannen, was den Vorteil hat, daß auch Traffic für die DMZ ducrh die Firewall geht - in deinem jetzigen Aufbau geht der nämlich am LANCOM vorbei...

Gruß
Backslsash
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

Hm, ja, das dürfte offenbar in die Richtung gehen! Ehrlich gesagt, mich hat schon die ganze Zeit über die Bezeichnung "DMZ" etwas gestört. Ich habe das dann aber nicht weiter hinterfragt und dachte mir, dass es dann eben so sei.

Die spannende Frage nun: Ist es möglich, dieses DMZ-Interface nachträglich zu einem "echten" WAN-interface umzuändern? Oder muss ich den Router komplett neu konfigurieren und einrichten?

Daniel
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

Okay, so langsam komme ich der Sache dank mancher Hinweise wohl auf die Spur.

Ich hatte das Gerät manuell konfiguriert, allerdings gehe ich jetzt den Weg über den Setup-Assistenten, der bei der Auswahl des Internet-Zugangs nun doch ein paar "sinnvollere" Optionen anbietet.

Dazu eine Frage: Was ist dort der (technische) Unterschied zwischen Internet-Zugang über Plain Ethernet (IPoE) und Internet-Zugang mit statischer IP bei der Auswahl? Der Folge-Dialog sieht bei beiden nämlich identisch aus.

Daniel
daniel337PVS
Beiträge: 88
Registriert: 02 Dez 2016, 13:39

Re: Ich komme hier einfach nicht weiter ...

Beitrag von daniel337PVS »

So, nun läuft der Traffic wie gewünscht (erwartet) - da war ich mir der Konfiguration via DMZ etc. auf einem ganz falschen Pfad.

@backslash: Vielen Dank für den entscheidenden Hinweis darauf!

Daniel
Antworten