Shrew VPN Client, kein Ping auf Geräte hinter LANCOM möglich

[dthielheim]

Hallo zusammen,

teste gerade den Shrew Client als kostenlose Variante zum AVC. Die Verbindung nach den Anleitungen unter

http://www.shrew.net/support/wiki/HowtoLancom

habe ich auch problemlos hinbekommen. Nur erreiche ich per Ping nach dem Verbindungsaufbau keine Geräte hinter dem LANCOM / innerhalb des Netzes. Firewallregeln sind platziert. Proxy-ARP aktivert. Wenn ich einen Trace nach VPN Status und ICMP mache, sehe ich, dass der Router - hier .168.1 - beim Reply zum VPN Client - hier 168.228 - ein ICMP bzw. Destination unreachable zurückliefert.

Schaue ich auf dem Client nach steht beim virtuellen VPN Adapter kein Default Gateway drin.

Wo fehlt der Haken / die Einstellung?

Gruss und Danke für Eure Hilfe!
David

[dthielheim]

Hat hier wirklich niemand eine Idee zu? Schade

Gruß
David

[roger]

Hi!
Ich habe gerade genau dasselbe Problem. Der Tunnel steht und ich bekomme auf beiden Seiten keine Fehlermeldung.
"ipconfig / all" zeigt mir keinen GW im Client an.
Ich kann den Lancom anpingen, aber die dahinter liegenden Clients nicht.

Konntest du dein Problem lösen? Wenn ja, an was lag es?

Vielleicht hat auch jemand anderes noch eine Idee? Wonach muss ich schauen?

[GrandDixence]

Zum Thema "Shrew VPN Client" siehe:
viewtopic.php?f=14&t=16080&p=90913&hili ... nce#p90420

[roger]

Danke! Auch für deine Mühe, die Monsteranleitung bereit zu stellen. Eine Windows-Lösung wäre mir am liebsten. Die Anleitung hatte ich mir bereits vor meinem Post durchgelesen und bin zu der Erleuchtung gekommen, dass ich zu blöd dafür bin. Ich würde schon daran scheitern, ein Zertifikat zu erstellen. Nicht weil ich die Doku nicht finde, sondern eher, weil ich nicht weiß was da einzutragen ist. Ein falsches Zeichen bei der Konfig und nix geht mehr im Lancom. Ich gebe zu, ich bin vorbelastet. Ich kann die Konfiguriererei von Lancom Routern nicht leiden. Für eine Option muss man (ohne Assistenten) an mindestens 5 Stellen etwas einstellen, egal wie simpel die Aufgabe. Dazu kommt, dass die Doku mindestens immer eine LCOS Version hinterher hinkt, bzw. die Tutorials alle von älteren Versionen. Wenn ich hier etwas falsch mache, ist es für mich unmöglich die gemachten Einstellungen wieder zu löschen, weil ich sie nicht finde. Da ist die Premiumbox von der Telekom einfacher zu verstehen und die ist schon ziemlich vermurkst.
Ja, ich bin kein Lancom-Pro und versuche den Kontakt zu den Dingern zu vermeiden. Es gibt viele andere Hersteller, die auch stabile Router produzieren, die viel können. Wenn so eine Gurke aber mal beim Kunden steht, muss ich mich damit auseinander setzen.
VPN kann man super sicher machen. Das ist mir bewusst. Man muss aber immer den Aufwand im Verhältnis zum Nutzen sehen! Wenn es hier nur um eine Einwahl geht, um ein paar Einstellungen zu ändern, oder Dateien zu lesen, von einer 3-Mann-Firma, die nicht unbedingt was mit dem Pentagon zu tun hat (Landwirtschaft in meinem Fall), genügt mir eine einfache PSK-gesicherte Verbindung ohne Zertifikat. Mit der 99EUR Lizenz-Software von Lancom selbst, scheint es ja auch zu haken und lässt sich schnell konfigurieren.

Entschuldigung für's Auskotzen. Bitte geht nicht auf den obigen Text ein, es gibt einfach zu viele Meinungen und Sichtweisen zu dem Thema, dessen bin ich mir bewusst. Und ja, man sollte immer die bestmögliche Sicherheit gewährleisten. Aus meiner Sicht aber immer da, wo es Sinn macht.

Gibt es keine simplere Lösung, welche mir eine einfache VPN-Verbindung auf einen Lancom Router erlaubt, ohne vorher ein Studium abzuschließen? Gern mit freier oder proprietärer Software.

[ajmind]

@roger

Du sprichst mir aus der Seele! LCOS zu "verstehen" ist mmmh... schwierig, ich bin auch noch nicht wirklich dahinter gestiegen.

Früher, ja früher habe ich viele Jahre über Bintec geflucht aber es irgendwann mal geschnallt. Jetzt ist wohl bei mir die gleiche Lernkurve dran...

Zurück zum Thema:

Wir setzen seit Jahren den Shrewsoft Client zwecks externer Administration, bzw. als kleine Homeoffice Lösung ein, unsere Konfig ist statisch und auch nur dynamisch IKEv1 mit PSKEY, funktioniert tadellos sowohl unter Windows als auch Arch Linux. Ubuntu und alle abgeleiteten Derivate bauen zwar den Tunnel auf, aber kein Traffic passiert den Tunnel.

Wenn ich zuhause bin schaue ich mir das mal an, ich habe jedoch keine "auto pull" Parameter gesetzt sondern alles schön "händisch" eingestellt. Wäre das für dich ein gangbarer Weg?

[roger]

Danke für deine Antwort!
Ich bin über jede Hilfe dankbar! Ich bin schon fast soweit, über PPTP glücklich zu sein... *duck*
Wie gesagt, wird ja der Tunnel aufgebaut und ich erreiche den Lancom schon einmal. Das kann ja eigentlich nur irgendwelcher NAT- oder FW-Kram sein...

[backslash]

Hi roger,

da geht man eigentlich systematisch vor und schaut, wo die Pakete verbleiben... Dazu gibt es jede Menge Tracemöglichkeiten im LANCOM. Für deinen Zweck wäre das als erstes der ip-router Trace. Damit kannst du prüfen, ob die pings vom Shrew-Soft-Client überhaupt ankommen und ob sie korrekt ins LAN weitergeleitet werden. Wenn das der Fall ist, dann müssen aus dem LAN auch Antworten kommen, die an Shrew-Soft-Client weitergeleitet werden.

Kommt keine Antwort aus dem LAN, dann ist das LANCOM entweder nicht das Default-Gateway in deinem Netz - oder aber eine Firewall auf dem angepingten Rechner verbietet, daß Anfragen von außerhalb des lokalen Netzes beantwortet werden - das ist z.B. bei einem Windowsrechner standardmässig so konfigfuriert.

Beide Probleme kannst du umschiffen, wenn du dem Client eine freie Adresse aus dem lokalen Netz zuweist und Proxy-ARP einschaltest

den ip-router Trace kannst (und sollest) du auch filtern, z.B. auf die Adresse, die dem Client zugewiesen wurde oder die, die angepingt wird, z.B.

trace # ip-router @ 192.168.168.150

Die Ausgabe sollte dann ungefähr so aussehen:

Code: Alles auswählen

[IP-Router] 2019/04/05 18:58:41,513
IP-Router Rx (CLIENT_0001, RtgTag: 0):
DstIP: 192.168.0.1, SrcIP: 192.168.168.150, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x2de4, seq: 0x0001
Route: LAN-1 Tx (INTRANET):

[IP-Router] 2019/04/05 18:58:41,588
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.168.150, SrcIP: 192.168.0.1, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo reply, id: 0x2de4, seq: 0x0001
Route: WAN Tx (CLIENT_0001)

Gruß
Backslash

[GrandDixence]

Wer im Kopf nicht dazu bereit ist,

- sich mit den kryptischen Meldungen der VPN-Traces auseinanderzusetzen
ODER
- nicht bereit ist, sich beim Lesen von Artikeln wie: https://www.golem.de/news/verschluessel ... 01457.html ein wenig mit Kryptologie zu befassen

sollte besser die Finger von der Konfiguration eines VPN-Tunnel lassen.

[ajmind]

"ipconfig / all" zeigt mir keinen GW im Client an.
Ich kann den Lancom anpingen, aber die dahinter liegenden Clients nicht.

Du brauchst kein Standard-GW beim Client bei dem Shrewsoft Netzwerk Eintrag. Der ist auch bei mir leer. Wenn du den Lancom Router mit der LAN IP anpingen kannst, musst du wohl nur noch unter IP Router / Routing / Ipv4-Routing Tabelle schauen, ob eine IP Adresse mit entsprechender Netzmaske für den Router (Deine Client-VPN Bezeichnung) vorhanden ist, statische Vergabe der IP-Adressen vorausgesetzt.

Gruß
AJmind

[roger]

Danke für den Hinweis!
Dort steht leider nichts drin, was auf meine VPN Verbindung hindeutet.
Hätte nicht der Assistent diese anlegen müssen?
Könntest du einen Screenshot deiner Router hier posten?

[ajmind]

Danke für den Hinweis!
Dort steht leider nichts drin, was auf meine VPN Verbindung hindeutet.
Hätte nicht der Assistent diese anlegen müssen?
Könntest du einen Screenshot deiner Router hier posten?

Mein Konfiguration des Shrewsoft Clients weicht an einigen Punkten von der verlinkten Anleitung ab:

Code: Alles auswählen

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:0
n:client-dns-used:1
n:client-dns-auto:0
n:client-dns-suffix-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:0
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
n:client-splitdns-used:0
n:client-splitdns-auto:1
n:client-wins-used:1
n:client-wins-auto:0
s:network-host:123.456.789.001
s:client-auto-mode:disabled
s:client-iface:virtual
s:client-ip-addr:192.168.8.225
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:192.168.8.1
s:client-dns-suffix:intranet.test-test.eu
s:client-wins-addr:192.168.8.1
s:auth-method:mutual-psk
s:ident-client-type:ufqdn
s:ident-server-type:ufqdn
s:ident-client-data:test@test1.de
s:ident-server-data:test@test1.de
b:auth-mutual-psk:hierstehteinverschlüsseltespasswort
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:md5
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
n:phase2-pfsgroup:2
s:policy-level:auto
s:policy-list-include:192.168.8.0 / 255.255.255.0
s:client-saved-username:

Die vorgenannte Konfiguration kannst Du ja speichern und im Shrewsoft Client importieren. Den Lancom Assistenten aufrufen und jeden der Parameter vergleichen bzw. so eingeben.

Alternativ:
Da Du ja bereits einen Tunnel hast würde ich erst einmal schrittweise vorgehen. Als erstes mal die Autoconfiguration auf dem Reiter "General" deaktivieren und auf dem letzten Reiter "Policy" das Zielnetz fest einstellen.

Im Lancom Router im Bereich Routing müsste dein Client aufgeführt sein: Hier mit TEST1 bezeichnet.

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment 
===========================================-----------------------------------------------------------------------------------------------------------------
192.168.8.225     255.255.255.255  0       TEST1             0         No          Yes              
192.168.0.0      255.255.0.0      0        0.0.0.0           0         No          Yes      block private networks: 192.168.x.y
172.16.0.0       255.240.0.0      0        0.0.0.0           0         No          Yes      block private networks: 172.16-31.x.y
10.0.0.0         255.0.0.0        0        0.0.0.0           0         No          Yes      block private network: 10.x.y.z
224.0.0.0        224.0.0.0        0        0.0.0.0           0         No          Yes      block multicasts: 224-255.x.y.z
255.255.255.255  0.0.0.0          0        INTERNET          0         on          Yes      Diese Route wurde durch den Internet-Assistenten erzeugt

[roger]

@backslash:
Also mit dem Trace bekomme ich diese Ausgabe hier:

Code: Alles auswählen

[IP-Router] 2019/04/11 11:03:37,529  Devicetime: 2019/04/11 11:03:40,132
IP-Router Rx (INTERNET, RtgTag: 2): 
DstIP: 192.168.10.233, SrcIP: 52.215.192.22, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 58591, SrcPort: 443, Flags: A
Seq: 2720845646, Ack: 140835520, Win: 213, Len: 0
Option: NOP
Option: NOP
Option: 08 = f5 a6 0a d2 7a 5f f1 5e
Route: LAN-1 Tx (INTRANET): 

Woher die 52er IP Adresse kommt, weiß ich aber nicht. Die 192.168.10.233 hat der Win10 Client mit dem dem Shrew VPN.

@ajmind:
Wie schon geschrieben, ist keine Route eingetragen.
Wie muss ich die anlegen, wenn der VPN-Client die IP per DHCP zugewiesen bekommt?

IPv4-Routing.png

[roger]

Selbst wenn ich die gerade vergebene DHCP Adresse fest eingebe, ändert das leider nichts an meinem Problem.

[ajmind]

@ajmind:
Wie schon geschrieben, ist keine Route eingetragen.
Wie muss ich die anlegen, wenn der VPN-Client die IP per DHCP zugewiesen bekommt?
IPv4-Routing.png

Ist dein Zielnetz 192.168.10.0 ?

Dann musst Du die IP des Client eintragen:

192.168.10.233
255.255.255.255