VPN Verbindung von ROUTER zu ROUTER

[Crockett 10]

@operator

 

danke, nett von dir das du morgen nochmal nachguckst. Ich habe jetzt noch nen bissel rumprobiert.

 

also wenn ich von meiner Arbeitsstation im 192.168.100.x Netz einen Ping absetze zu dem anderen VPN Endpoint (10.0.0.x) und dann unter VPN STATUS gucke dann steht dort eine Verbindung drin, aber unter Policy Name steht "NOT ATTACHED" und bei TYPE steht ESP, und bei VPN Endpoint steht die Inet IP vom dem 192.168.100.x Netz von dem ich den Ping losschicke. Als letztes steht dann Data Transfered 0.

 

Kannst du damit was anfangen ?

 

Gruß

 

Christian

[Crockett 10]

@operator

 

habe jetzt mal einen Auszug aus dem Log wenn er versucht eine Verbindung aufzubauen.

Vielleicht hilfts.

 

- - - - -

VPN Log

 

 

[00:08:33][==== IKE PHASE 1(to 84.xxx.xxx.84) START (initiator) ====]

[00:08:33]**** SENT OUT FIRST MESSAGE OF MAIN MODE ****

[00:08:33]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS

[00:08:33]**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****

[00:08:36][==== IKE PHASE 1(to 84.xxx.xxx.84) START (initiator) ====]

[00:08:36]**** SENT OUT FIRST MESSAGE OF MAIN MODE ****

[00:08:36]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS

[00:08:36]**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****

[00:08:41][==== IKE PHASE 1(to 84.xxx.xxx.xx) START (initiator) ====]

[00:08:41]**** SENT OUT FIRST MESSAGE OF MAIN MODE ****

[00:08:41]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS

[00:08:42]**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****

[00:08:47][==== IKE PHASE 1(to 84.xxx.xxx.84) START (initiator) ====]

[00:08:47]**** SENT OUT FIRST MESSAGE OF MAIN MODE ****

[00:08:47]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS

[00:08:47]**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****

[00:08:52][==== IKE PHASE 1(to 84.xxx.xxx.xx START (initiator) ====]

[00:08:52]**** SENT OUT FIRST MESSAGE OF MAIN MODE ****

[00:08:52]<POLICY: vpn> PAYLOADS: SA,PROP,TRANS

[00:08:53]**** RECEIVED IKE NOTIFY PAYLOAD(NO_PROPOSAL_CHOSEN) ****

- - - - - - - -

 

Gruß

 

Christian

[Operator 10]

Ich kenne die VPN Router leider nicht... Ist nicht so einfach, wenn man nicht dafür sitzt.

Aber bevor wir da weiter machen, nochmal die Frage: Setzt Du in beiden Standorten dasselbe Subnetz ein?

 

192.168.100.0 -> ISA Server -> 10.0.0.0 -> VPN Router -> Internet -> VPN Router -> 192.168.100.0

 

Wenn ja, musst Du nämlich eins der 192er Netz auf bspw. 192.168.101.0 ändern.

Sonst wirst Du nie mit den Netzen untereinander kommunizieren können.

 

Und wenn wir das geklärt haben, machen wir VPN weiter ;)

 

Gruß

Andre

[Crockett 10]

@operator

 

In den Standorten sind unterschiedliche Netze.

 

192.168.1.0 -> ISA Server -> 10.0.0.0 -> VPN Router -> Internet -> VPN Router -> 192.168.100.0

 

Gruß

 

Christian

[Operator 10]

Im ersten Punkt muss ich den Remote EndPoint angeben. Dort kann ich Dynamic IP, FIXED IP und Domain Name eingeben. Ich habe dort den DYNDNS Namen der anderen Gegenstelle eingegeben. Im anderen Router halt einen anderen DynDNS Namen.

Hört sich gut und richtig an.

 

Nun kommt die Sache wo ich mir nicht sicher bin. Dort steht dann als nächster Punkt Local IP Adress und Remote IP Address. Dort kann ich wieder auswählen zwischen Single IP, Rage Addresses und Subnet.

Da du ein komplettes Subnetz routen willst, solltest Du dort jeweils "Subnet" einstellen.

Beim linken VPN Router (in meiner Skizze) also Local: 10.0.0.0/24 und Remote 192.168.100.0/24, beim rechten Router genau umgekehrt.

 

Dann kommen nur noch die Punkte für die Verschlüsselung etc. ESP Encry., ESP Auth. und die IKE Settings. Bei den IKE Settings steht wieder Local Identity und Remote Identity. Bei Local habe ich WAN IP eingestellt und bei REMOTE habe ich FQNN eingestellt und wieder die jeweiigen DYNDNS Namen eingetragen. Ist das so richtig ?? Also Exchange Mode ist der "MainMode" bei beiden drin.

Hört sich richtig an.

 

Wenn ich dann alles abspeichere und ein bissel warte und unter VPN STATUS gucke steht da keine Verbindung drin.

Am besten vom "rechten" Standort aus einen Dauerping auf das interne Interface des linken VPN Routers absetzen. Dann hat der rechte Router nen Grund ne Verbindung aufzubauen... so teste ich sowas immer.

 

Das sind die groben Sachen, die mir so einfallen.

Teste erst mal so.. vielleicht läufts ja schon :)

 

Bei der Verschlüsselung an sich solltest Du nur drauf achten, daß die Parameter gleich sind.

 

Gruß

Andre

[Crockett 10]

@operator

 

So die Verbindung zwischen den beiden Routern steht. Ich kann vom 10er Netz in das 192.168.100.0 Netz pingen und umgekehrt. Lag an dem IKE KEY. Irgendwie mochte er den nicht.

 

Nur leider das forwarden vom 10er Netz durch den ISA in das 192.168.1.x Netz nicht.

 

Im Router (der vor dem ISA steht) habe ich eine Routing Regel eingegeben mit

 

Dst. 192.168.1.0

SUB 255.255.255.0

Gate 10.0.0.5 (2. NIC des ISA)

 

Fällt dir noch was ein woran es liegen kann ?

 

Gruß

 

Christian

[Operator 10]

Kannst Du vom 192.168.100er Netz den ISA pingen?

Hast Du die VPN Verbindung auf Subnet-to-Subnet umgestellt, wie von mir gepostet?

 

Update: Das Anpingen des ISA wird nicht klappen, weil ICMP geblockt wird.

Hängt mal kurz eine Testmaschine in deine DMZ (das 10er Netz) und versuch von dort ins 100er Netz zu pingen und umgekehrt.

Erst wenn das funktioniert, kann auch das Routing funktionieren.

 

Gruß

Andre

[Crockett 10]

@operator

 

Hallo,

 

die Verbindung ist auf Subnet-Subnet umgestellt. In der DMZ (10er Netz)befindet sich ein weiterer PC. von dem aus kann ich jeden PC im 192.168.100er Netz erreichen. Auch vom 192.168.100er Netz kann ich den PC in der DMZ anpingen. Das funktioniert wunderbar. Leider halt bloss nicht das Netz hinter dem ISA.

[Crockett 10]

@operator

 

so ich bin ein Stück weiter. Ich kann nun vom 192.168.1.x Netz über den ISA, weiter über den Router, dann über die VPN Verbindung in das 192.168.100.x pingen. Da kommt von jedem PC eine Antwort.

 

Nur umgekehrt geht es nicht. Was eignentlich doch keinen Sinn macht denn wenn ich wie oben beschrieben einen Ping losschicke muss das Antwort Paket doch die weg kennen sonst würde ich doch keine Antwort erhalten ?????? Oder habe ich da einen Denkfehler ?

 

Gruß

 

Christian

[Operator 10]

Hi,

 

du hast schon Recht. Aber der ISA ist eine Stateful-Inspection Firewall.

Ein Paket, daß seinen Ursprung von intern hat, darf als Antwortpaket die Firewall wieder passieren.

 

Allerdings durfen Pakete vom öffentlichen Interface (bei Dir das 10er Netz) nicht einfach so die Firewall passieren.

Ich weiß gerade nicht auswendig, was man da noch konfigurieren muss, aber ich schlag mal eben nach und melde mich später wieder.

 

Gruß

Andre

[Crockett 10]

@operator

 

Ja richtig... das war mir mal wieder entfallen. bin auch schon die ganze zeit am googlen aber noch nichts brauchbares gefunden.

 

Danke schonmal das du das raussuchst.

 

 

Gruß

 

Christian

[Crockett 10]

@operator

 

Habe eine Notlösung gefunden. Port des internen Terminal Servers geändert. Auf dem ISA eine Serververöffentlichungsregel erstellt.

 

Wenn die VPN Clients nun im 10er Netz sind kann man mit "Servername:Portnummer" den Terminal Server erreichen. Vom Internet ist dieser nicht erreichbar da der Port im Router nicht durchgereicht wird.

 

Hast du schon was anderes rausgefunden ?

 

 

Mfg

 

Christian