Keine Datenübertragung im VLAN bei VPN-Einwahl

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von rrr »

Die VPN-Verbindung zwischen einem iPhone und einem Lancom-Router baut sich problemlos auf.
Jedoch findet keine Datenübertragung zwschen den beiden Geräten statt.

Das 192.168.10.0/24 Netz mit welchem sich das iPhone verbindet, befindet sich im VLAN 10.
Sowohl unter "IPv4 | Allgemein | IP-Netzwerke", unter "Kommunikation | Gegenstellen | WLAN-Tag-Tabelle" als auch unter "VPN | IKEv2/IPSec | Verbindungsliste" ist das VLAN 10 als Tag korrekt eingetragen.
Trotzdem wird laut SA-Report das Routing-tag 0 verwendet.

Code: Alles auswählen

> show vpn sadb

SA-REPORT

SA: Peer IPHONE, IKE_SA ikev2 responder
Flags 0x0013010101010018   Server   Authenticated   Ready
   Routing-tag 0, Com-channel 29 (transport: 29)
   Dead Peer Detection 30s
   local authentication method  : RSA:SHA1 (1)
   remote authentication method : RSA:SHA1 (1)
   Encryption AES-CBC-256   Integrity AUTH-HMAC-SHA-512   IKE-DH-Group 14   PRF-HMAC-SHA-512
   initiator spi: 0x97f29b95876a74d9
   responder spi: 0x02058c4894a8c784
   life secs 10800 rekeying_in 9705 secs life_cnt_sec 10785 secs kb 0 byte_cnt 0
   initiator id: IPHONE.clients.example.org, responder id: CN=gw.example.org,O=Company,C=DE,OU=VPN,
   src: xxx.xxx.xxx.xxx dst: 80.187.101.20
   Config Server:
     Assigned IPv4 Address: 192.168.10.219
     Assigned IPv4 DNS Servers: 192.168.10.15, 0.0.0.0

SA: Peer IPHONE, Rule IPSEC-0-IPHONE-PR0-L0-R0 CHILD_SA ikev2 responder
Flags 0x0000010100000008   Ready
   Routing-tag 0, Com-channel 29
   life secs 3600 rekeying_in 3225 secs life_cnt_sec 3585 secs kb 2000000 byte_cnt 296
   initiator id: IPHONE.clients.example.org, responder id: CN=gw.example.org,O=Company,C=DE,OU=VPN,
   src: xxx.xxx.xxx.xxx dst: 80.187.101.20
   0.0.0.0/0 <-> 192.168.10.219/32
   proposal 1 protocol IPSEC_ESP Encryption AES-CBC-256   Integrity AUTH-HMAC-SHA-512   PFS-DH-Group None   ESN None
     spi[outgoing]   0x0127144d  
     spi[incoming]   0xc8b2e147

Was hab ich hier übersehen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von backslash »

Hi rrr

Das Routing-Tag gibt hier an, über welches Tag das I-Phone erreicht wird. Da es eine RAS-Einwahl ist, ist es das Tag der Internetverbindung. Damit ist 0 (vermutlich) korrekt.
BTW: das Tag in der IPEv2-Verbindungsliste ist nur von Bedeutung, wenn das LANCOM den Tunnel aktiv aufbaut.

Das Routung-Tag hat zudem nichts mit VLANs zu tun. Das Routing-Tag dient der Separierung von Routing-Tabellen. Wenn du der I-Phone-Verbindung das Routing-Tag 10 gibts, du aber kein LAN mit dem Routing-Tag 10 hast, dann können auch keine Daten übertagen werden

Gruß
Backslash
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von rrr »

Hi Backslash,

ich hatte vergessen zu erwähnen, dass in den IP-Netzwerken sämtliche VLANs auch gleichnamige Routing-Tags erhalten.

Das Tag in der VPN-Verbindungsliste hab ich nun entfernt. Was kann ich noch tun um eine Datenübertragung zu ermöglichen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von backslash »

hi rrr,
Was kann ich noch tun um eine Datenübertragung zu ermöglichen?
tracen... VPN-Packet-Trace, IP-Router-Trace, ARP-Trace, Ehtenet-Trace, etc... jenachdem, was nötig ist, um die Pakete zu verfolgen und eine Aussage treffen zu können
Da es normalerweise einfach so funktioniert, kann man dir nunmal keine auch allgemeingültige Lösung anbieten und du mußt individuell vorgehen und das Problem einkreisen

Ach ja, etwas Allgemeingültiges gäbe es dann doch: Laut der SAs liegen die zugewiesene Adresse und der DNS-Server im gleichen Netz:

Code: Alles auswählen

     Assigned IPv4 Address: 192.168.10.219
     Assigned IPv4 DNS Servers: 192.168.10.15, 0.0.0.0
hast du dann auch Proxy-ARP aktiviert (IP-Router -> Allgemein -> Entfernte Stationen mit Proxy-ARP einbinden)?

Gruß
Backslash
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von rrr »

Proxy-ARP war bereits aktiviert, jedoch läuft jedes Paket direkt in die DENY-ALL Regel.
Ich habe jedoch in jeder ALLOW-Regel auch als Quelle "Alle Stationen im lokalen Netzwerk 'INTRANET'" eingetragen.
Entferne ich diese Bedingung, oder füge die IP (welche dem VPN-Client zugewiesen wurde) als Bedingung hinzu, werden die Pakete auch übertragen.

Ich bin etwas verwirrt, sollte nicht Proxy-ARP dafür sorgen, dass u.a. VPN-Clients wie interne Clients behandelt werden. Oder warum werden VPN-Clients von der Firewall anders behandelt als interne Clients?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Keine Datenübertragung im VLAN bei VPN-Einwahl

Beitrag von backslash »

Hi rrr
Ich bin etwas verwirrt, sollte nicht Proxy-ARP dafür sorgen, dass u.a. VPN-Clients wie interne Clients behandelt werden.

nein, es sorgt nur dafür, daß ARP-Request für entfernte Hosts beantwortet werden. Es ist halt nichts Anderes als ein Proxy für ARP-Anfragen...
Oder warum werden VPN-Clients von der Firewall anders behandelt als interne Clients?
Weil sich RAS-User nunmal nicht im lokalen Netz befinden. RAS-Verbindungen sind immer WAN-Verbindungen.

Gruß
Backslash
Antworten