Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger
@backslash:
Also mit dem Trace bekomme ich diese Ausgabe hier:

Code: Alles auswählen

[IP-Router] 2019/04/11 11:03:37,529  Devicetime: 2019/04/11 11:03:40,132
IP-Router Rx (INTERNET, RtgTag: 2): 
DstIP: 192.168.10.233, SrcIP: 52.215.192.22, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 58591, SrcPort: 443, Flags: A
Seq: 2720845646, Ack: 140835520, Win: 213, Len: 0
Option: NOP
Option: NOP
Option: 08 = f5 a6 0a d2 7a 5f f1 5e
Route: LAN-1 Tx (INTRANET): 
Woher die 52er IP Adresse kommt, weiß ich aber nicht. Die 192.168.10.233 hat der Win10 Client mit dem dem Shrew VPN.
Das hat nichts mit dem Shrew-Client ztu tun. Da ist die Windowskiste auf irgend eine WEBseite gegangen (ec2-52-215-192-22.eu-west-1.compute.amazonaws.com) - wohl irgendwas in der Amazon-Cloud.

BTW: Wenn der Shrew-Client in deinem LAN steht, wirst du dich ja wohl kaum mit ihm auf das LANCOM connecten, um dann wieder auf das LAN zugreifen zu wollen... Das macht irgendwie keinen Sinn...

normalerweise ist der Aufbau so:

PC mit Shrew-Client -> Internet -> LANCOM -> dein LAN -> Ziel-Rechner, der angepingt wird.

Und dann pingst du vom PC mit Shrew-Client den Zielrechner an - der sonst absolut *NICHTS* macht - keine Cloud, keine Pornos schauen, rein GAR NICHTS!
Dabei läßt du den IP-Router-Trace eingeschränkt auf die IP des Zielrechners laufen. Dann sollte der Trace ungefähr so aussehen, wie ich ihn gepostet hab

Und dann schaust du weiter.

Wenn im IP-Routrer-Trace schon nichts vom Client kommt, dann mußt du schauen, ob der Client überhaupt etwas schickt...
Wenn im IP-Routrer-Trace die Pings des Clients zu sehen sind, aber keine Antworten vom Zielrechner, dann mußt du das Paket auf dem LAN bis zum Zielrechner verfolgen
Wen es am Zielrehcner ankommt, dieser aber nicht antwortet, danmn mußt du die die Konfiguration des Zielrechners genauer anschauen.

Ich kann nur sagen: mit dem shrewsoft-Client ist es normalerweise absolut kein Problem, einen VPN-Tunnel aufzubauen.

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Das mit dem LAN1 -> VPN -> LAN2 habe ich soweit raus. Ich habe das erfolgreich schon mit anderen Geräten umgesetzt.
LAN1 und LAN2 haben unterschiedliche IP-Netze und befinden sich physisch getrennt voneinander.
Der Lancom befindet sich im Netz "LAN2" und wird dort mithilfe einer Workstation (per Teamviewer) konfiguriert.
backslash hat geschrieben: 17 Apr 2019, 16:04 Dabei läßt du den IP-Router-Trace eingeschränkt auf die IP des Zielrechners laufen.
Was wähle ich konkret beim Trace aus, um es richtig zu machen und nicht den ganzen Müll zu sehen?
So wie im Screenshot (192.168.10.41 ist die Zielworkstation, von der aus ich ebenfalls die Konfig vom Lancom mache)?
trace.png
Wenn ja: damit kommt nichts an.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger

ip-router != IPv4-Config

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Sorry, zu einfach... :oops:

Die zwei Ping-Anfragen wurden per Suche gefunden. Hier der erste Ping:

Code: Alles auswählen

Seq: 3634594396, Ack: 2565158210, Win: 251, Len: 0
Route: LAN-1 Tx (INTRANET): 

[IP-Router] 2019/04/17 18:08:56,667  Devicetime: 2019/04/17 18:08:53,570
IP-Router Rx (VPN_SHREW, RtgTag: 2): 
DstIP: 192.168.10.41, SrcIP: 192.168.10.233, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0375
Route: WAN Tx (INTERNET)
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger

Die zwei Ping-Anfragen wurden per Suche gefunden. Hier der erste Ping:
genau das war der Grund, weshalb ich schrieb, daß der Zielrechner GAR NICHTS machen sollte... Man sieht sonst den Wald vor lauter Bäumen nicht...

Das Problem ist hier:

Code: Alles auswählen

Route: WAN Tx (INTERNET)
Das Paket wird nicht in dein LAN geleitet, sondern ins Internet - ich vermute es liegt daran, daß du die Client-Verbindung mit dem Routing-Tag 2 versehen hast, dein LAN aber ein anderes Tag hat. Vergib bei beiden das gleiche Tag (also dem Client das gleiche wie deinem LAN) und schon wird es funktionieren.

Aber eigentlich hätte das Paket in die Sperr-Route für die 192.168.x.x Netze laufen sollen - oder hast du die etwa deaktiviert? Falls ja: aktiviere sie wieder. Die Sperr-Routen sind aus gutem Grund da - auch wenn das nicht jeder einsehen will und sie mittlerweile in der Default-Konfiguration dekativiert sind :-(

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

backslash hat geschrieben: 18 Apr 2019, 11:18ich vermute es liegt daran, daß du die Client-Verbindung mit dem Routing-Tag 2 versehen hast, dein LAN aber ein anderes Tag hat. Vergib bei beiden das gleiche Tag (also dem Client das gleiche wie deinem LAN) und schon wird es funktionieren.
Mache ich das an einer anderen Stelle, als hier bereits von mir beschrieben?
Derzeit sieht es nämlich so aus:
Route.png
Die einzige Route mit Tag ID 2 ist die Route über LTE.

Soweit ich weiß, wird über LTE und DSL mit dem Lancom gefunkt. Kann es evtl. sein, dass die VPN Verbindung über LTE rein kommt und dann falsch geroutet wird?
Dann müsste das doch aber einfach zu lösen sein, indem ich der VPN Route auch den Tag 2 gebe. Aber wie bereits zuvor geschrieben, habe ich das schon gemacht gehabt, ohne Erfolg...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger,
Mache ich das an einer anderen Stelle, als hier bereits von mir beschrieben?
ja, denn in der Routing-Tabelle wird nur eine Route anhand des Tags ausgewählt.
Einer Gegenstelle kannst du unter Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle ein Tag zuweisen. Ich vermute, daß dort der Gegenstelle VPN_SHREW das Tag 2 zugewiesen wird. Weise der Gegenstelle dort das Tag 0 zu,

Bis zur 10.12 gab es noch die Möglichkeit einer "automatischen" Tag-Zuweisung - die ist ab der 10.20 entfallen. Solltest du noch eine ältere Firmware nutzen, dann solltest du Kommunikation -> Gegenstellen -> WAN-Tag-Erzeugung auf "manuell" umstellen.

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Hi Backslash!
Danke für deine Geduld!

Die WAN-Tag Tabelle ist leer, also kein Routing Tag hinterlegt.
WAN-Tag Erzeugung steht auf manuell.
Installiert ist Firmware 10.12.0381RU8.

Soll ich was verstellen / anlegen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger
Die WAN-Tag Tabelle ist leer, also kein Routing Tag hinterlegt.
dann sollte der Gegenstelle VPN_SHREW eigentlich auch kein Tag zugewiesen werden.

Oder hast du eine Firewallregel, die das Tag 2 setzt (ggf. die Regel "BACKUP")? Falls ja, wie lautet sie gernau (insbesondere für welche Adressen gilt sie)? Ggf. brauchst du eine Regel, die Traffic, der von Gegenstelle VPN_SHREW kommt, vom Tagging ausnimmt (vermutlich mußt du aber nur die taggende Firewallregel richtig konfigurieren)

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Ich glaube, wir kommen der Laus näher!
In der Regel sind die Adressen 192.168.10.1 bis 192.168.10.199 und 192.168.10.201 bis 192.168.10.254 definiert und die bekommen das Routing Tag 2.

Was macht diese Regel konkret für diese Adressen?
Kann ich da eine Ausnahme hinzufügen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger,

dann nimm die Adresse des Clients (192.168.10.233) aus der Liste raus...

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Danke. Habe ich gemacht, indem ich die bestehende nur bis *.232 habe gehen lassen und eine neue ab *.234 angelegt habe.
Leider kann ich immer noch keinen Ping ausführen.

Trace sagt, dass das mit dem Routing Tag geklappt hat:

Code: Alles auswählen

[IP-Router] 2019/04/23 16:51:18,829  Devicetime: 2019/04/23 16:51:16,731
IP-Router Rx (VPN_SHREW, RtgTag: 0): 
DstIP: 192.168.10.41, SrcIP: 192.168.10.233, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x0029
Route: LAN-1 Tx (INTRANET): 
Was könnte denn jetzt noch stören?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger,

laut IP-Router-Trace wird das Paket nun richtig gesendet.

Als nächstes wäre jetzt ein ARP-Trace dran (zusätzlich zum Router-Trace). Der würde zeigen, daß das LANCOM einen ARP-Request für die 192.168.10.41 sendet - falls es die Auflösung noch nicht kennt. Dann würde die 192.168.10.41 mit einem ARP-Reply antworten, das vom LANCOM gespeichert wird. Als nächstes müßte dann vom PC ein ARP-Request für die 192.168.10.233 kommen, das vom LANCOM beantwortet wird - zumindest wenn du Proxy-ARP aktiv hast (Häkchen unter IP-Router -> Allgemein -> Entfernte Stationen mit Proxy-ARP einbinden gesetzt).

Du könntest auch einen Ethernet-Trace aktivieren, der aber auf die IP des PC sowie ICMP und ARP gefiltert sein sollte:

Code: Alles auswählen

trace # ethernet @ icmp arp +192.168.10.41
Achte darauf, daß das + nur vor der Adresse steht

Gruß
Backslash
roger
Beiträge: 20
Registriert: 04 Apr 2019, 17:10

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von roger »

Das mache ich gern. Ich weiß leider mit den Begriffen nichts anzufangen. Wo mache ich das, damit ich die entsprechende Ausgabe hier posten kann?
(Ich finde z.B. im LANconfig nur "Trace-Ausgabe".)

Wenn ich deinen Befehl im Telnet vom Lancom ausführe, erhalte ich wilden HEX-Code (mit Headertext). Meintest du vielleicht das schon?
Lässt sich das irgendwie in ein Logfile schreiben, was durchsuchbar ist? Die Telnet-Konsole zu scrollen bringt keine Punkte, weil die immer weiter scrollt, bis ich abbreche und sich dann schließt. Oder geht sowas wie "grep"?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

Beitrag von backslash »

Hi roger,
Wo mache ich das, damit ich die entsprechende Ausgabe hier posten kann?
(Ich finde z.B. im LANconfig nur "Trace-Ausgabe".)
genau das meine ich... Da kannst du dann "Ethernet" anhaken und als Filter "icmp arp +192.168.10.41" setzen
Wenn ich deinen Befehl im Telnet vom Lancom ausführe, erhalte ich wilden HEX-Code (mit Headertext). Meintest du vielleicht das schon?
ja, das ist der Ethernet-Trace... Da sollte aber erstmal nichts kommen, solange bis du das ping vom Shrew-Client sendest - nicht ohne Grund habe ich in einem früheren Posting geschrieben, daß der "Ziel-PC" rein gar nichts machen soll! Das war wirklich wirklich ernst gemeit!

Der LAN-Tracer macht i.Ü. auch nichts anderes, als per Telnet(SSL) auf das Gerät zu gehen und das Komando abzugeben.


Gruß
Backslash
Antworten