LAN-to-LAN-Kopplung

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
renarenade
Beiträge: 27
Registriert: 10 Apr 2011, 19:09

LAN-to-LAN-Kopplung

Beitrag von renarenade »

Hallo zusammen,

für die o.g. Verbindung habe ich mittels zweier LANCOM-Router einne VPN-Verbindung hergestellt. Leider ist es nicht möglich das jeweilige hinter dem LANCOM-Router liegende LAN über das VPN zu erreichen. Ein Ping mittels Telnet vom jeweiligen Router in das dahinter liegende Netzwerk funktioniert. Die Ursache habe ich ansich schon ermittelt, mir fehlt lediglich ein Tip, wie ich die notwendigen (fehlenden) Routen umsetzen kann.
Mittels "show vpn" erhält man folgendes Ergebnis (F steht für Filiale, Z für Zentrale (Zentrale hat eine fixe public-IP, Filiale hat eine dynamische IP, der VPN-Verbindungsaufbau erfolgt immer von der Filiale):

(Das LAN der Zentrale lautet 192.168.2.0, LAN der Filiale 192.168.10.0)

root@Fxxxxxx:/
> show vpn

VPN SPD and IKE configuration:

# of rules = 1

Rule #1 ikev1 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: Zxxxxxx
Unique Id: ipsec-0-Z-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: IPV4_ADDR(any:0, 192.168.50.48)
Remote Gateway: IPV4_ADDR(any:0, 62.245.232.195)
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)


root@Zxxxxxx:/
> show vpn

VPN SPD and IKE configuration:

# of rules = 1

Rule #1 ikev1 0.0.0.0/0.0.0.0:0 <-> 0.0.0.0/0.0.0.0:0 any

Name: Fxxxxx
Unique Id: ipsec-0-F-pr0-l0-r0
Flags: main-mode
Local Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)
Local Gateway: IPV4_ADDR(any:0, 62.245.232.195)
Remote Gateway: IPV4_ADDR(any:0, 87.181.64.15)
Remote Network: IPV4_ADDR_SUBNET(any:0, 0.0.0.0/0.0.0.0)

Vielen Dank für eine Unterstützung

Bernd
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LAN-to-LAN-Kopplung

Beitrag von GrandDixence »

Fehlkonfiguration von Setup/VPN/Netzwerkregeln/IPv4-Regeln. Eventuell fehlende Einträge in der Routingtabelle.

VPN-Konfiguration mit der entsprechenden VPN-Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
abgleichen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LAN-to-LAN-Kopplung

Beitrag von backslash »

Hi renarenade,

da du ja ANY-2-ANY Netzwerkregel hast und sogar per Telnet auf die anderen Routere kommstm würde ich anders als GrandDixence eher von ganz klassichem Routing-Problemen ausgehen...

Sind die LANCOMs in ihren Netzen die Default-Gateways?

Gruß
Backslash
renarenade
Beiträge: 27
Registriert: 10 Apr 2011, 19:09

Re: LAN-to-LAN-Kopplung

Beitrag von renarenade »

Hallo,

ein Router (hinter dem das Netzwerk 192.168.2.0 hängt) ist Default-GW für dieses Netzwerk. Der andere Router (hängt am Netzwerk 192.168.10.0) ist zwar kein Default-GW für dieses Netzwerk aber auf dem betreffenden Rechner wurde eine zusätzliche Route eingetragen, die dafür sorgt, dass alle Anfragen für das Netzwerk 192.168.2.0 über diesen Router und nicht über das Default-GW des Netzwerkes 192.168.10.0 gehen.

C:\>tracert 192.168.2.1

Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte

1 1 ms <1 ms <1 ms 192.168.10.200 (ist die LAN-Adresse des Routers in der Filiale)
2 22 ms 21 ms 20 ms 192.168.2.1 (ist die LAN-Adresse des Routers in der Zentrale)

Ablaufverfolgung beendet.

Bis dahin ist ja alles gut, bloß ich komme halt nicht weiter im Filial-Netzwerk

C:\>tracert 192.168.2.100

Routenverfolgung zu 192.168.2.100 über maximal 30 Abschnitte

1 1 ms <1 ms <1 ms 192.168.10.200
2 21 ms 20 ms 20 ms 192.168.2.1
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.

Die FW auf dem Filial-Router habe ich testweise(!) mal abgeschaltet..... die ist es aber nicht.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LAN-to-LAN-Kopplung

Beitrag von backslash »

Hi renarenade,

hast du auf dem Rechner der Filiale ggf. eine Firewall laufen, die Zugriffe aus anderen Netze abblockt? Das ist z.B. bei NAS-Boxen üblich.

Ansonsten mußt du die Pakete mit den Traces des LANCOMs verfolgen - da wäre als erstes der IP-Router-Trace in der Filiale. Der muß sowohl das "anfragende" Paket aus der Zentrale als auch die Antwort anzeigen. Der Übersichtlichkeit wegen, solltest du den Trace auf die verwendeten IP-Adressen filtern, z.B.

trace + ip-router @ 192.168.2.100

wenn du da keine Antwort siehst und davon gehe ich aus), dann ist das LANCOM nicht das Problem

Gruß
Backslash
renarenade
Beiträge: 27
Registriert: 10 Apr 2011, 19:09

Re: LAN-to-LAN-Kopplung

Beitrag von renarenade »

Also vom Lancom in der Filiale kann ich über telnet den Zielrechner 192.168.2.100 anpingen, d.h. das Problem muss beim Lancom-Router liegen (fehlende Route etc. )
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LAN-to-LAN-Kopplung

Beitrag von backslash »

Hi renarenade,
Also vom Lancom in der Filiale kann ich über telnet den Zielrechner 192.168.2.100 anpingen, d.h. das Problem muss beim Lancom-Router liegen (fehlende Route etc. )
genau diese Schlußfolgerung ist falsch, da du das LANCOM der Filiale ja aus der Zentrale erreichen kannst. Das bedeutet nämlich, daß die die Routen in den LANCOMs höchstwahrscheinlich stimmen und das Problem daher "außerhalb" der LANCOMs liegen muß.

Aber egal, ob das Problem in den Routen das LANCOMs oder außerhalb liegt - ohne die Pakete zu verfolgen - und zwar nicht nur mit einem traceroute, sodnern tatsächlich mit Traces auf den beteiligten Routern - wirst du nicht weiter kommen.

Gruß
Backslash
renarenade
Beiträge: 27
Registriert: 10 Apr 2011, 19:09

Re: LAN-to-LAN-Kopplung

Beitrag von renarenade »

So, abgesehen von der Tatsache, dass ich bei der Formulierung "....vom Lancom der ZENTRALE kann ich über Telnet den Zielrechner 192.168.2.100 anpingen" einen Bock geschossen hatte, konnte ich das Problem nun doch selbst lösen. Manchmal sind es halt die kleinen Dinge ;-)

Der Zielrechner ist eine QNAP NAS mit zwei NICs. Ein NIC hängt im Netzwerk der Zentrale und der zweite NIC hängt hinter dem VPN-Router der Zentrale. Beide NICs sind in unterschiedlichen Netzen. NIC 1 ist im 192.168.1.0 und NIC 2 ist im 192.168.2.0 Ich war der Meinung man könnte den beiden NICs jeweils das dazugehöre DEFAULT-GW konfigurieren. Genau DAS war es aber. Obwohl in den Einstellungen der NICs alles richtig eingetragen war, "kapiert" die NAS das halt nicht. Man muss explizit der NAS zusätzlich sagen, welches GW als DEFAULT-GW definiert werden sollen (das von NIC1 oder von NIC2).

Wieder was dazugelernt ;-)

Vielen Dank noch einmal an alle, die sich hier beteiligt haben.

Bernd
Antworten