Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP über IPSec - Routing Problem ?!

Tag zusammen,

ich habe mich per L2TP über IPSec remote aus einem fremden Netz in das hinter der hier vorhandenen FW (Astaro 7.104) verbunden (192.168.0.x). Das ganze hat soweit auch geplappt und ich kann Internetadressen auch anpingen. 
Jedoch kann ich im internen Netz keinen Rechner anpingen. Soweit klar, da ich eine Adresse aus dem Pool (192.168.2.x) bekommen habe und diese nicht im selben Subnetz liegen.

Jetzt habe ich mir allerdings zu Testzwecken, beim Verbinden über remote, keine IP aus dem Pool geben lassen, sondern eine statische aus dem selben Subnetz, wie das, was ich erreichen will (192.168.0.x). Jedoch ist es selbst jetzt nicht möglich Rechner aus dem internen Netz anzupingen. 

Eigentlich sollte es doch möglich sein, im selben Subnetz Rechner anzupingen?! Ping-Forwarding ist auch aktiviert.
Ist das ganze ein Routing Problem und ich steh grade ein wenig auf dem Schlauch?

Danke schonmal für die Antworten!
Bis denne .... Patrick


This thread was automatically locked due to age.
  • Ok, inzwischen weis ich, warum ich, selbst wenn ich mir eine Adresse aus meinem Subnetz geben will, keinen Rechner anpingen kann. Die Netzmaske wird auf 255.255.255.255 gelegt, wodruch ich natürlich keinen anderen Rechner erreichen kann.

    Weiterhin fraglich ist für mich allerdings, wie ich es bewerkstellige, dass ich die anderen Rechner erreiche. Wie genau kann ich das Problem lösen? Durch Routing? NATing? 

    Für einen kleinen Denkanstoss wäre ich sehr dankbar.

    Patrick
  • Hallo Patrick.

    Die IP-Adresse Deines Clients, egal ob dhcp oder statisch, darf nie das gleiche Netz sein in das du routen willst. Es wäre dann auch kein Routing mehr.

    ich habe mich per L2TP über IPSec remote aus einem fremden Netz in das hinter der hier vorhandenen FW (Astaro 7.104) verbunden (192.168.0.x). Das ganze hat soweit auch geplappt und ich kann Internetadressen auch anpingen.


    - Erkläre Dein Setup etwas genauer bitte? Client (XPP) mit UMTS oder hinter einer FritzBox ...

    - Hast Du in der L2TP-Verbindung die Defaultroute aktiviert? 
    Du siehst das entweder über Eigenschaften der Verbindung -> Eigenschaften TCP/IP -> Erweitert oder durch Ausführen von 'print route' auf der cmd.

    - Wenn die L2TP-Verbindung steht und du alle IPs außer die hinter der ASG erreichen kannst, kontrolliere bitte im Livelog des Paktefilters ob Dein pingen Einträge verursacht.

    - Kontrolliere bitte auch unter Network Security -> ICMP ->  Allow ICMP through firewall. Das sollte für die Zeit Deiner Tests aktiviert bleiben.

    Gruß

    Luis
  • Die IP-Adresse Deines Clients, egal ob dhcp oder statisch, darf nie das gleiche Netz sein in das du routen willst. Es wäre dann auch kein Routing mehr.


    Ok, war auch mehr oder weniger nur zu Testzwecken.
    Mir wird jetzt wieder eine 192.168.2.x zugewisen.

    Erkläre Dein Setup etwas genauer bitte? Client (XPP) mit UMTS oder hinter einer FritzBox ...


    Mein Setup ist denkbar einfach. Einwahl per DSL ins Internet, ohne Router oder Firewall. 
    Die VPN Verbindung soll dann in das Netz hinter der FW erichtet werden.

    Heimrechner ----- Internet ---- Firewall ---- privates Netz (192.168.0.1)

    Hast Du in der L2TP-Verbindung die Defaultroute aktiviert?
    Du siehst das entweder über Eigenschaften der Verbindung -> Eigenschaften TCP/IP -> Erweitert oder durch Ausführen von 'print route' auf der cmd.


    Über 'Route Print' erhalte ich die Info, dass keine Standardroute gesetzt ist. 
    Kann ich die festlegen, sodass jeder User, der sich per VPN einwählt, autmatisch die richtige Standardroute in das "richtige" Netz (192.168.0.x) erhält? Weil genau das ist doch das Problem oder?

    Wenn die L2TP-Verbindung steht und du alle IPs außer die hinter der ASG erreichen kannst, kontrolliere bitte im Livelog des Paktefilters ob Dein pingen Einträge verursacht.


    Kein Einträge beim Pingen oder sonstigen Aktionen.

    Kontrolliere bitte auch unter Network Security -> ICMP -> Allow ICMP through firewall. Das sollte für die Zeit Deiner Tests aktiviert bleiben.


    Ist aktiviert, trotzdem selbiges Ergebnis -> Zeitüberschreitung beim Pingen in das private Netz.


    Danke schonmal für die Infos!
    Liegt es an der nicht gesetzt Standardroute ?!

    Patrick
  • Problem gelöst!

    Ich hatte die Intrusion Protection aktiviert. Aus diesem Grund kam im normalen Packetfilter nichts an.

    Manchmal ist die Lösung näher als man glaubt -.-