Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von zickzack111 »

Servus ins Forum,

ich habe ein kleines Problem mit einer VPN Verbindung von einem 1781VA zum Lancom Advance VPN Client.

Ich habe mit dem Wizard eine IKE2 Verbindung erstellt, die Einwahl mit dem VPN Client klappt auch einwandfrei, aber ich kann keine IP Adressen im Netzwerk hinter dem Lancom erreichen, den Router selbst kann ich anpingen und auch problemlos drauf Zugreifen.

Dann habe ich testweise auf dem selben Router eine IKE1 Verbindung konfiguriert, und hier klappt der Zugriff völlig ohne Probleme.

Gibt es hier etwas besonderes bei IKE 2 zu beachten? Ich habe mehrere Netze mit verschiedenen Vlans, könnte das Probleme machen?

Mein Wunsch wäre das die verschiedenen VPN Clients nur ins jeweilige Vlan dürfen, bei IKE1 hatte ich damit nie Probleme, da hatte ich einfach in der Routing Tabelle für jeden Client eine IP Adresse aus dem jeweiligen Vlan angelegt und die Vlans waren mit Routing Tags getrennt. Das scheint aber bei IKE2 nicht mehr so zu gehen, oder?

Grüße
zickzack111
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von GrandDixence »

Bitte die IKEv2/IPSec-Anleitungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
beachten.
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Re: Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von zickzack111 »

Hallo GrandDixence,

die habe ich mir schon angesehen, aber irgendwie bin ich nicht fündig geworden.

Grüße
zickzack111
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von MariusP »

Hi,
IPSEC(ESP) interessiert sich nicht für Vlans.
Was ich mir eher vorstellen könnte ist, das im IKEv2 Fall andere Netze ausgehandelt werden, als im IKEv1 Fall.
Überprüfe das bitte mit show vpn sadb.

Mit dem VPN-Packet Trace kannst du nachvollziehen ob die Packet durch die SA Regeln im IPSEC verworfen werden.

Wenn die Packete nicht verworfen werden, ist es wahrscheinlich das deine Vlans dort für Probleme sorgen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
zickzack111
Beiträge: 21
Registriert: 09 Apr 2017, 15:49

Re: Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von zickzack111 »

Hallo,

ich habe jetzt am Wochenende noch mal alles probiert und viel gelesen.

Ich bin jetzt soweit gekommen das der Client eine Verbindung aufbaut und ich für die einzelnen Clients jeweils einen Adresspool bei den IKE2 Eigenschaften eingerichtet habe, diesen habe ich für jedes Netz angelegt. Der Client bekommt jetzt auch eine Adresse aus dem jeweiligen Netz.

Jetzt kann ich auf das jeweilige Lan zugreifen. Allerdings kann ich vom Client aus keine Adressen anpingen diese aber erreichen (RDP, http). Liegt das am DNS Server den man einstellen muss (hier habe ich den Router angegeben)?

Und dann bin ich mir noch etwas unsicher ob ich in der Firewall noch Regeln für die einzelnen Clients definieren muss?. Ich habe die einzelnen Netze über Routing Tags getrennt. Muss ich für die Kommunikation noch was erlauben oder verbieten? Bei IKE1 wurde ja immer eine automatische Regel für die Kommunikation erstellt.

Was mir auch noch aufgefallen ist, ist das der Shrew VPN Client mit IKE1 scheinbar keine Verbindung mehr aufbaut, liegt das an der neuen Firmware?

Grüße und Danke
zickzack111
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Kein Netzwerkzugriff bei IKE2 VPN Verbindung

Beitrag von MariusP »

Hi,
zickzack111 hat geschrieben: 20 Jan 2019, 21:23 Jetzt kann ich auf das jeweilige Lan zugreifen. Allerdings kann ich vom Client aus keine Adressen anpingen diese aber erreichen (RDP, http). Liegt das am DNS Server den man einstellen muss (hier habe ich den Router angegeben)?
Mach auf beiden Seiten einen VPN-Packet trace und schau nach warum die Pakete nicht ankommen.
zickzack111 hat geschrieben: 20 Jan 2019, 21:23 Was mir auch noch aufgefallen ist, ist das der Shrew VPN Client mit IKE1 scheinbar keine Verbindung mehr aufbaut, liegt das an der neuen Firmware?
Schwer zu sagen ohne weitere Informationen.

Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Antworten