VPN-Problem: Aufbau von A nach B geht, umgekehrt nicht...

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ianeo
Beiträge: 44
Registriert: 07 Feb 2006, 16:58

VPN-Problem: Aufbau von A nach B geht, umgekehrt nicht...

Beitrag von ianeo »

Hallo,

ich habe folgendes Problem bei dem ihr mir vielleicht helfen könnt:

Ich habe zwei Lancom 1711 mit FW 6.24, "FellerVPN1" und "FellerVPN2".

FellerVPN1:
lokale IP: 192.168.100.230/255.255.255.0
feste IP: yyy.yy.128.230/255.255.255.248

FellerVPN2:
lokale IP: 192.168.40.3/255.255.255.0
feste IP: xxx.xx.29.42/255.255.255.240


yyy.yy.128.224/255.255.255.248 --- FellerVPN1 ---- Internet ---- FellerVPN2 ------ 192.168.40.2 (Router/Firewall) zu xxx.xx.29.48/255.255.255.240 und zzz.zzz.60.0/255.255.252.0

FellerVPN1 hat in seiner Routing-Tabelle folgende relevante Einträge:
192.168.40.3 255.255.255.0 Aktiv:JA Router: FellerVPN2 Mask. AUS

FellerVPN2 hat in seiner Routing-Tabelle folgende Einträge:
192.168.100.0 255.255.255.0 Aktiv:JA Router: FellerVPN1 Mask. AUS
xxx.xx.29.48 255.255.255.240 Aktiv:JA Router: 192.168.40.2 Mask. AUS
zzz.zzz.60.0 255.255.255.252 Aktiv:JA Router: 192.168.40.2 Mask. AUS

Entsprechende Firewall-Regeln sind ebenfalls angelegt (nach FAQ), damit weitergeroutete Netze auch erreicht werden.



Ich habe, wie schon bei anderen Kunden, ein VPN zwischen den beiden Routern über den Assistenten eingerichtet.

Dieses VPN lässt sich aufbauen, wenn ich es von FellerVPN2 aufbauen lasse (indem ich z.B aus dessem lokalen Netz 192.168.40.3 einen Ping auf 192.168.100.230 mache).

Umgekehrt baut sich das VPN aber nicht auf (also wenn ich aus dem Netz 192.168.100.230 von FellerVPN1 einen Ping auf 192.168.40.3 mache), sondern schlägt mit verschiedenen Meldungen im Lanmonitor fehl wie z.B.:

auf Seite FellerVPN1:
- kein übereinstimmendes Proposal (Initiator, IPSec) [0x3102]

auf Seite FellerVPN2:
- keine Regel für IDs gefunden, unbekannte Verbindung oder fehlerhafte ID (Responder, IPSec) [0x3102]

Diese Meldungen kommen nach einiger Zeit auch bei einer bestehenden VPN-Verbindung immer mal wieder wenn ich versuche von FellerVPN1 (192.168.100.x) auf 192.168.40.3 zuzugreifen (was nicht funktioniert, was wohl bedeutet, dass auch das scheinbar funktionierende VPN Probleme macht). Umgekehrt funktioniert der Zugriff von 192.168.40.x auf z.b. 192.168.100.230.

Ich habe mir dann mal einen Trace auf VPN-Status angeschaut beim funktionierenden Verbindungsaufbau und mit einem fehlerhaften Verbindungsaufbau verglichen.

Beim fehlerhaften funktioniert die Phase 1 scheinbar problemlos, bei Phase 2 schlägt es dann aber fehl. Angefügt mal die Traces beim fehlschlagenden Verbindungsaufbau aus Sicht der beiden Router:

========================================


#
| LANCOM 1711 VPN
| Ver. 6.24.0012 / 06.10.2006
| SN. 060640600199
| Copyright (c) LANCOM Systems

FellerVPN1, Connection No.: 002 (LAN)

Password:

root@FellerVPN1:/
> trace + vpn-status
VPN-Status ON

root@FellerVPN1:/
>


[VPN-Status] 2007/01/18 15:06:14,580
VPN: connecting to FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:14,580
VPN: start dynamic VPN negotiation for FELLERVPN2 (xxx.xx.29.42) via ICMP/UDP

[VPN-Status] 2007/01/18 15:06:14,580
VPN: create dynamic VPN V2 authentication packet for FELLERVPN2 (xxx.xx.29.42)
DNS: 192.168.100.230, yyy.yy.128.230
NBNS: 192.168.100.230, 0.0.0.0
polling address: 192.168.100.230

[VPN-Status] 2007/01/18 15:06:14,580
VPN: installing ruleset for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:14,610
VPN: ruleset installed for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:14,610
VPN: start IKE negotiation for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:14,620
VPN: rulesets installed

[VPN-Status] 2007/01/18 15:06:14,630
IKE info: Phase-1 negotiation started for peer FELLERVPN2 rule isakmp-peer-FELLE
RVPN2 using MAIN mode


[VPN-Status] 2007/01/18 15:06:14,780
VPN: received dynamic VPN V2 authentication packet from FELLERVPN2 (xxx.xx.29.42
)
DNS: 192.168.40.3, xxx.xx.29.42
NBNS: 192.168.40.3, 0.0.0.0
polling address: 192.168.40.3

[VPN-Status] 2007/01/18 15:06:14,810
IKE info: The remote server xxx.xx.29.42:500 peer FELLERVPN2 id <no_id> supports
NAT-T in mode draft
IKE info: The remote server xxx.xx.29.42:500 peer FELLERVPN2 id <no_id> supports
NAT-T in mode draft
IKE info: The remote server xxx.xx.29.42:500 peer FELLERVPN2 id <no_id> supports
NAT-T in mode rfc
IKE info: The remote server xxx.xx.29.42:500 peer FELLERVPN2 id <no_id> is Enigm
atec IPSEC version 1.5.1
IKE info: The remote server xxx.xx.29.42:500 peer FELLERVPN2 id <no_id> negotiat
ed rfc-3706-dead-peer-detection


[VPN-Status] 2007/01/18 15:06:14,810
IKE info: Phase-1 remote proposal 1 for peer FELLERVPN2 matched with local propo
sal 1


[VPN-Status] 2007/01/18 15:06:15,350
IKE info: Phase-1 [inititiator] for peer FELLERVPN2 between initiator id 212.88
.128.230, responder id xxx.xx.29.42 done
IKE info: SA ISAKMP for peer FELLERVPN2 encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)


[VPN-Status] 2007/01/18 15:06:15,590
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer FELLERVPN2


[VPN-Status] 2007/01/18 15:06:15,590
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:22,820
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer FELLERVPN2


[VPN-Status] 2007/01/18 15:06:22,820
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:23,870
VPN: poll timeout for IANEO-VPN (217.146.134.195)
remote site answered during intervall
send poll frame to 192.168.60.250

[VPN-Status] 2007/01/18 15:06:23,880
VPN: Poll reply from IANEO-VPN (217.146.134.195)

[VPN-Status] 2007/01/18 15:06:29,810
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer FELLERVPN
2 Seq-Nr 0x5e9c915e, expected 0x5e9c915e


[VPN-Status] 2007/01/18 15:06:29,820
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer FELLERVPN2
, sequence nr 0x5e9c915e


[VPN-Status] 2007/01/18 15:06:31,990
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer FELLERVPN2


[VPN-Status] 2007/01/18 15:06:31,990
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:43,280
IKE info: NOTIFY received of type NO_PROPOSAL_CHOSEN for peer FELLERVPN2


[VPN-Status] 2007/01/18 15:06:43,280
VPN: Error: IPSEC-I-No-proposal-matched (0x3102) for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:44,620
VPN: connection for FELLERVPN2 (xxx.xx.29.42) timed out: no response

[VPN-Status] 2007/01/18 15:06:44,620
VPN: Error: IFC-I-Connection-timeout-IKE-IPSEC (0x1106) for FELLERVPN2 (xxx.xx.2
9.42)

[VPN-Status] 2007/01/18 15:06:44,620
VPN: disconnecting FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:44,630
IKE info: Delete Notificaton sent for Phase-1 SA to peer FELLERVPN2


[VPN-Status] 2007/01/18 15:06:44,630
IKE info: Phase-1 SA removed: peer FELLERVPN2 rule FELLERVPN2 removed


[VPN-Status] 2007/01/18 15:06:44,660
VPN: selecting next remote gateway using strategy eFirst for FELLERVPN2
=> no remote gateway selected

[VPN-Status] 2007/01/18 15:06:44,660
VPN: selecting first remote gateway using strategy eFirst for FELLERVPN2
=> CurrIdx=0, IpStr=>xxx.xx.29.42<, IpAddr=xxx.xx.29.42, IpTtl=0s

[VPN-Status] 2007/01/18 15:06:44,660
VPN: installing ruleset for FELLERVPN2 (xxx.xx.29.42)

[VPN-Status] 2007/01/18 15:06:44,660
VPN: FELLERVPN2 (xxx.xx.29.42) disconnected

[VPN-Status] 2007/01/18 15:06:44,670
VPN: rulesets installed

[VPN-Status] 2007/01/18 15:06:44,800
IKE log: 150644 Default message_recv: invalid cookie(s) 413e87f3de3aadad 5dfd0ba
29df1a646


[VPN-Status] 2007/01/18 15:06:44,800
IKE log: 150644 Default dropped message from xxx.xx.29.42 port 500 due to notifi
cation type INVALID_COOKIE


[VPN-Status] 2007/01/18 15:06:44,800
IKE info: dropped message from peer unknown xxx.xx.29.42 port 500 due to notific
ation type INVALID_COOKIE


[VPN-Status] 2007/01/18 15:06:45,660
VPN: Error: IFC-I-No-poll-table-entry-matched (0x1108) for FELLERVPN2 (xxx.xx.29
.42)
========================================

========================================


#
| LANCOM 1711 VPN
| Ver. 6.24.0012 / 06.10.2006
| SN. 060640600198
| Copyright (c) LANCOM Systems

FellerVPN2, Connection No.: 002 (WAN)

Password:

root@FellerVPN2:/
>trace + vpn-stat
VPN-Status ON

root@FellerVPN2:/
>
[VPN-Status] 2007/01/18 14:55:44,450
VPN: received dynamic VPN V2 authentication packet from FELLERVPN1 (yyy.yy.128.2
30)
DNS: 192.168.100.230, yyy.yy.128.230
NBNS: 192.168.100.230, 0.0.0.0
polling address: 192.168.100.230

[VPN-Status] 2007/01/18 14:55:44,450
VPN: installing ruleset for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:55:44,460
VPN: ruleset installed for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:55:44,460
VPN: start dynamic VPN negotiation for FELLERVPN1 (yyy.yy.128.230) via ICMP/UDP

[VPN-Status] 2007/01/18 14:55:44,460
VPN: create dynamic VPN V2 authentication packet for FELLERVPN1 (yyy.yy.128.230)
DNS: 192.168.40.3, xxx.xx.29.42
NBNS: 192.168.40.3, 0.0.0.0
polling address: 192.168.40.3

[VPN-Status] 2007/01/18 14:55:44,460
VPN: wait for IKE negotiation from FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:55:44,470
VPN: rulesets installed

[VPN-Status] 2007/01/18 14:55:44,490
IKE info: The remote server yyy.yy.128.230:500 peer FELLERVPN1 id <no_id> is Eni
gmatec IPSEC version 1.5.1
IKE info: The remote server yyy.yy.128.230:500 peer FELLERVPN1 id <no_id> suppor
ts NAT-T in mode draft
IKE info: The remote server yyy.yy.128.230:500 peer FELLERVPN1 id <no_id> suppor
ts NAT-T in mode draft
IKE info: The remote server yyy.yy.128.230:500 peer FELLERVPN1 id <no_id> suppor
ts NAT-T in mode rfc
IKE info: The remote server yyy.yy.128.230:500 peer FELLERVPN1 id <no_id> negoti
ated rfc-3706-dead-peer-detection


[VPN-Status] 2007/01/18 14:55:44,490
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = MD5 <-> local No
1 hash algorithm = SHA
IKE info: Phase-1 remote proposal 1 for peer FELLERVPN1 matched with local propo
sal 2


[VPN-Status] 2007/01/18 14:55:44,690
IKE info: Phase-1 [responder] for peer FELLERVPN1 between initiator id yyy.yy.1
28.230, responder id xxx.xx.29.42 done
IKE info: SA ISAKMP for peer FELLERVPN1 encryption aes-cbc authentication md5
IKE info: life time ( 108000 sec/ 0 kb)


[VPN-Status] 2007/01/18 14:55:44,720
IKE info: Phase-2 failed for peer FELLERVPN1: no rule matches the phase-2 ids 0
.0.0.0/0.0.0.0 <-> 192.168.40.0/255.255.255.0
IKE log: 145544 Default message_negotiate_sa: no compatible proposal found
IKE log: 145544 Default dropped message from yyy.yy.128.230 port 500 due to noti
fication type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FELLERVPN1 yyy.yy.128.230 port 500 due to no
tification type NO_PROPOSAL_CHOSEN


[VPN-Status] 2007/01/18 14:55:44,720
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:55:51,750
IKE info: Phase-2 failed for peer FELLERVPN1: no rule matches the phase-2 ids 0
.0.0.0/0.0.0.0 <-> 192.168.40.0/255.255.255.0
IKE log: 145551 Default message_negotiate_sa: no compatible proposal found
IKE log: 145551 Default dropped message from yyy.yy.128.230 port 500 due to noti
fication type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FELLERVPN1 yyy.yy.128.230 port 500 due to no
tification type NO_PROPOSAL_CHOSEN


[VPN-Status] 2007/01/18 14:55:51,760
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:55:58,760
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer FELLERVPN1, se
quence nr 0x4e8f4a09


[VPN-Status] 2007/01/18 14:55:58,780
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer FELLE
RVPN1 Seq-Nr 0x4e8f4a09, expected 0x4e8f4a09


[VPN-Status] 2007/01/18 14:56:00,780
IKE info: Phase-2 failed for peer FELLERVPN1: no rule matches the phase-2 ids 0
.0.0.0/0.0.0.0 <-> 192.168.40.0/255.255.255.0
IKE log: 145600 Default message_negotiate_sa: no compatible proposal found
IKE log: 145600 Default dropped message from yyy.yy.128.230 port 500 due to noti
fication type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FELLERVPN1 yyy.yy.128.230 port 500 due to no
tification type NO_PROPOSAL_CHOSEN


[VPN-Status] 2007/01/18 14:56:00,790
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:56:10,810
IKE info: Phase-2 failed for peer FELLERVPN1: no rule matches the phase-2 ids 0
.0.0.0/0.0.0.0 <-> 192.168.40.0/255.255.255.0
IKE log: 145610 Default message_negotiate_sa: no compatible proposal found
IKE log: 145610 Default dropped message from yyy.yy.128.230 port 500 due to noti
fication type NO_PROPOSAL_CHOSEN
IKE info: dropped message from peer FELLERVPN1 yyy.yy.128.230 port 500 due to no
tification type NO_PROPOSAL_CHOSEN


[VPN-Status] 2007/01/18 14:56:10,810
VPN: Error: IPSEC-R-No-rule-matched-IDs (0x3201) for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:56:14,470
VPN: connection for FELLERVPN1 (yyy.yy.128.230) timed out: no response

[VPN-Status] 2007/01/18 14:56:14,470
VPN: Error: IFC-R-Connection-timeout-IKE-IPSEC (0x1206) for FELLERVPN1 (yyy.yy.1
28.230)

[VPN-Status] 2007/01/18 14:56:14,470
VPN: disconnecting FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:56:14,480
IKE info: Delete Notificaton sent for Phase-1 SA to peer FELLERVPN1


[VPN-Status] 2007/01/18 14:56:14,480
IKE info: Phase-1 SA removed: peer FELLERVPN1 rule FELLERVPN1 removed


[VPN-Status] 2007/01/18 14:56:14,480
IKE log: 145614 Default message_recv: invalid cookie(s) 312d0ddd057776bc 8295fec
7dd21e9cd


[VPN-Status] 2007/01/18 14:56:14,480
IKE log: 145614 Default dropped message from yyy.yy.128.230 port 500 due to noti
fication type INVALID_COOKIE


[VPN-Status] 2007/01/18 14:56:14,480
IKE info: dropped message from peer unknown yyy.yy.128.230 port 500 due to notif
ication type INVALID_COOKIE


[VPN-Status] 2007/01/18 14:56:14,510
VPN: selecting next remote gateway using strategy eFirst for FELLERVPN1
=> no remote gateway selected

[VPN-Status] 2007/01/18 14:56:14,510
VPN: selecting first remote gateway using strategy eFirst for FELLERVPN1
=> CurrIdx=0, IpStr=>yyy.yy.128.230<, IpAddr=yyy.yy.128.230, IpTtl=0s

[VPN-Status] 2007/01/18 14:56:14,510
VPN: installing ruleset for FELLERVPN1 (yyy.yy.128.230)

[VPN-Status] 2007/01/18 14:56:14,510
VPN: FELLERVPN1 (yyy.yy.128.230) disconnected

[VPN-Status] 2007/01/18 14:56:14,520
VPN: rulesets installed

[VPN-Status] 2007/01/18 14:56:15,510
VPN: Error: IFC-I-No-poll-table-entry-matched (0x1108) for FELLERVPN1 (yyy.yy.12
8.230)

[VPN-Status] 2007/01/18 14:56:34,700
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer SYSTECH S
eq-Nr 0x67d8ec78, expected 0x67d8ec78


[VPN-Status] 2007/01/18 14:56:34,700
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer SYSTECH, s
equence nr 0x67d8ec78

trace # vpn-status
VPN-Status OFF

root@FellerVPN2:/
>====================================


Vielleicht kann mir ja jemand von euch weiterhelfen, da ich momentan mal wieder nicht weiterkomme trotz intensivem Forum studieren...

Vielen Dank im Voraus,

Grüße

Dirk
Nach oben
backslash
Moderator
Moderator
Beiträge: 7148
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi ianeo

das Problem liegt hier:
IKE info: Phase-2 failed for peer FELLERVPN1: no rule matches the phase-2 ids 0.0.0.0/0.0.0.0 <-> 192.168.40.0/255.255.255.0
FellerVPN1 fordert, das FellerVPN2 die Defaultroute durch den Tunnel reicht. Das passiert, wenn du in der Firewall an einer Regel, die als Quelle "Alle Stationen" hat, das Häkchen bei "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" setzt

Durchsuche mal die Firewall auf FellerVPN1...

Gruß
Backslash
Nach oben
ianeo
Beiträge: 44
Registriert: 07 Feb 2006, 16:58

Beitrag von ianeo »

Hallo,

vielen Dank für die Hilfe, die Fehler im Lanmonitor sind nun weg.
Allerdings habe ich mein Gesamtziel leider nicht erreicht und vermute, dass ich mir dawas falsch ausgedacht habe.

Das Netz soll folgendermassen aufgebaut sein:

Es gibt 2 Standorte und 3 Server:

Standort A:
( ist ein Rechenzentrum mit mehreren Servern, welche hinter einem Lancom 1711 hängen und externe IP-Adressen haben)

Server A (xxx.xx.128.227/255.255.255.248 mit Gateway 212.88.128.230) <-> Lancom A (Extranet: xxx.xx.128.230/255.255.255.248 mit Gateway 212.88.128.225, Intranet 192.168.100.230/255.255.255.0) <-> Providerrouter (xxx.xx.128.225) <-> Internet


Standort B:
(beim Kunden)
Internet<-> Providerrouter (yyy.yy.29.33/255.255.255.240) <-> Lancom B (Extranet yyy.yy.29.42/255.255.255.240 mit Gateway yyy.yy.29.33, Intranet 192.168.40.3/255.255.255.0) <-> Kundenfirewall (192.168.40.2/255.255.255.0) <-> Kundenserver B (yyy.yy.29.54/255.255.255.240)

Die Kundenfirewall ist vom dortigen Admin so konfiguriert, dass sie Anfragen von xxx.xx.212.224/255.255.255.248) zum Kundenserver durchlässt.

Jetzt habe ich mit dem Assistenten eine funktionierende VPN-Verbindung zwischen den beiden LAncom-Routern hergestellt (xxx.xx.128.230 <-> yyy.yy.29.42) und kann die Router auch untereinander über ihre Intranet-Adresse anpingen.

Lancom A habe ich zusätzlich ein Routing eingerichtet wie folgt:
yyy.yy.29.48/255.255.255.240 -> Lancom B

Lancom B habe ich zusätzlich folgendes Routing eingerichtet:
yyy.yy.29.48/255.255.255.240 -> 192.168.40.2

Dazu habe ich auch die VPN_IN und VPN_Out Firewallregeln entsprechend dem Lancom-Howto eingerichtet.


Allerdings schaffe ich es nicht vom Server A auf den Kundenserver B zuzugreifen.

Das liegt vermutlich daran, dass der Server A ja nur eine Adresse aus dem Netz xxx.xx.88.224 hat und dieses nicht durch das VPN weitergegeben wird sondern das VPN ja nur die LANs koppelt (also die 192.168.er Adressen).

Der Kunden-Admin möchte in seiner Firewall kein 192.168.x.y-Netz weiterrouten (Sicherheitsrichtlinie), was ich evtl. noch als Ausweg gesehen hätte, sondern lässt nur die Adressen xxx.xx.88.224-230 durch.

Wie schaffe ich es nun, dass ich mit Server A auf Kundenserver B zugreifen kann ?
Nach oben
backslash
Moderator
Moderator
Beiträge: 7148
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi ianeo
Wie schaffe ich es nun, dass ich mit Server A auf Kundenserver B zugreifen kann ?
in dem du zum einen auf beiden Seiten die jeweiligen Netze auf den VPN-Tunnel routest und zum anderen in der Firewall passende VPN-Regeln manuell erstellst (d.h. in der VPN-Definition mußt du den Punkt Regelerzeugung von "automatisch" auf "manuell" umstellen). Damit ergeben sich folgende Routen und Firewall-Einträge:

Standort A:

Route yyy.yy.29.48/255.255.255.240 -> Lancom B

Firewall-Regel:

Code: Alles auswählen

Aktion: übertragen
Quelle: xxx.xx.128.227/255.255.255.248 
Ziel:   yyy.yy.29.48/255.255.255.240 

[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohgen

Standort B:

Route xxx.xx.128.227/255.255.255.20 -> Lancom A
Route yyy.yy.29.48/255.255.255.240 -> 192.168.40.2


Firewall-Regel:

Code: Alles auswählen

Aktion: übertragen
Quelle: yyy.yy.29.48/255.255.255.240 
Ziel:   xxx.xx.128.227/255.255.255.248 

[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezohgen
Gruß
Backslash
Nach oben
ianeo
Beiträge: 44
Registriert: 07 Feb 2006, 16:58

Beitrag von ianeo »

Hallo,

jetzt habe ich leider das Problem, dass das VPN damit gar nicht mehr zustande kommt zwischen Lancom A und B.
Ich vermute weil jetzt noch andere automatisch erstellte Regeln fehlen (da ich ja auf manuelle Regelerzeugung umgestellt habe wie oben beschrieben)...
Welche Regeln werden denn da normalerweise automatisch erzeugt ? Sind das Firewall-Regeln oder Routing-Regeln, und kann ich die beim funktionierenden VPN irgendwie auslesen / anzeigen lassen ?

Vielen Dank für Hilfe nochmal im Voraus,

Grüße

Dirk
Nach oben
backslash
Moderator
Moderator
Beiträge: 7148
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi ianeo
Welche Regeln werden denn da normalerweise automatisch erzeugt ?
INTRANET -> alle in der Routing-Tabelle mit der VPN-Gegenstelle verbundenen Netze
Sind das Firewall-Regeln
das hängt davon ab, ob du das Häkchen bei "Diese Regel ist für die Firewall aktiv" gesetzt hast oder nicht.
oder Routing-Regeln
das sind sie auf gar keinen Fall - das Routing wird über die Routing-Tabelle festgelegt. Die LANCOM prüft bei Regeln bei denen "Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen" gesetzt ist, ob es eine VPN-Route zum Zielnetz gibt und trägt die Regel dann als VPN-Regel ein.
und kann ich die beim funktionierenden VPN irgendwie auslesen / anzeigen lassen
ein "show vpn" seigt dir die exitierenden Regeln. Diese müssen auf beiden Seiten gleich sein (nur die Richtungen sind vertauscht)

Gruß
Backslash
Nach oben
Antworten

Zurück zu „Fragen zum Thema VPN“