**gelöst** VPN-Verbindung steht, aber es gibt keinen Traffic

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • **gelöst** VPN-Verbindung steht, aber es gibt keinen Traffic

    Moin zusammen!

    SOLL-Zustand: eine VPN-Verbindung von einem Standort mit einem OpenVPN-Client (win32)v1.0.3 (hinter einem Lancom Router) auf eine EFW 2.2RC1 herstellen.

    IST-Zustand: Der Verbindungsaufbau klappt soweit. Alles grün und ich bekomme eine passende IP aufgedrückt. Wenn ich nun auf Irgendwelche Dienste im Netzwerk hinter der EFW zugreifen will, geht dies nicht. Ich habe das auch schon von dem Platz aus mit einer anderen EFW verucht: gleiches Ergebnis. Wenn ich von zu Hause (hinter einer Fritzbox) aus oder von dem Netzwerk in unserer Firma aus über VPN auf das Netzwerkwerk zugreife funktioniert alles.

    Das Protkoll des Clients:

    Quellcode

    1. Fri Oct 23 09:37:27 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
    2. Fri Oct 23 09:37:31 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
    3. Fri Oct 23 09:37:31 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    4. Fri Oct 23 09:37:31 2009 LZO compression initialized
    5. Fri Oct 23 09:37:31 2009 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
    6. Fri Oct 23 09:37:31 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
    7. Fri Oct 23 09:37:31 2009 Local Options hash (VER=V4): 'd79ca330'
    8. Fri Oct 23 09:37:31 2009 Expected Remote Options hash (VER=V4): 'f7df56b8'
    9. Fri Oct 23 09:37:31 2009 UDPv4 link local (bound): [undef]:1194
    10. Fri Oct 23 09:37:31 2009 UDPv4 link remote: ###.###.###.###:1194
    11. Fri Oct 23 09:37:31 2009 TLS: Initial packet from ###.###.###.###:1194, sid=dd115a3b 1aa2bb95
    12. Fri Oct 23 09:37:32 2009 VERIFY OK: depth=1, /C=IT/O=efw/CN=efw_CA
    13. Fri Oct 23 09:37:32 2009 VERIFY OK: depth=0, /C=IT/O=efw/CN=127.0.0.1
    14. Fri Oct 23 09:37:33 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    15. Fri Oct 23 09:37:33 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    16. Fri Oct 23 09:37:33 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    17. Fri Oct 23 09:37:33 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    18. Fri Oct 23 09:37:33 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    19. Fri Oct 23 09:37:33 2009 [127.0.0.1] Peer Connection Initiated with ###.###.###.###:1194
    20. Fri Oct 23 09:37:34 2009 SENT CONTROL [127.0.0.1]: 'PUSH_REQUEST' (status=1)
    21. Fri Oct 23 09:37:35 2009 PUSH: Received control message: 'PUSH_REPLY,ifconfig 192.168.100.218 255.255.255.0,dhcp-option DOMAIN XXXX.local,dhcp-option DNS 192.168.100.5,dhcp-option DNS 192.168.100.5,ping-restart 30,ping 8,route-gateway 192.168.100.5,route-gateway 192.168.100.5'
    22. Fri Oct 23 09:37:35 2009 OPTIONS IMPORT: timers and/or timeouts modified
    23. Fri Oct 23 09:37:35 2009 OPTIONS IMPORT: --ifconfig/up options modified
    24. Fri Oct 23 09:37:35 2009 OPTIONS IMPORT: route options modified
    25. Fri Oct 23 09:37:35 2009 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    26. Fri Oct 23 09:37:35 2009 TAP-WIN32 device [TAP Adapter] opened: \\.\Global\{C12618FA-3AF6-46E1-A292-935E17C81A6B}.tap
    27. Fri Oct 23 09:37:35 2009 TAP-Win32 Driver Version 8.4
    28. Fri Oct 23 09:37:35 2009 TAP-Win32 MTU=1500
    29. Fri Oct 23 09:37:35 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.100.218/255.255.255.0 on interface {C12618FA-3AF6-46E1-A292-935E17C81A6B} [DHCP-serv: 192.168.100.0, lease-time: 31536000]
    30. Fri Oct 23 09:37:35 2009 Successful ARP Flush on interface [3] {C12618FA-3AF6-46E1-A292-935E17C81A6B}
    31. Fri Oct 23 09:37:35 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
    32. Fri Oct 23 09:37:35 2009 Route: Waiting for TUN/TAP interface to come up...
    33. Fri Oct 23 09:37:37 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
    34. Fri Oct 23 09:37:37 2009 Route: Waiting for TUN/TAP interface to come up...
    35. Fri Oct 23 09:37:37 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
    36. Fri Oct 23 09:37:37 2009 Route: Waiting for TUN/TAP interface to come up...
    37. Fri Oct 23 09:37:39 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down
    38. Fri Oct 23 09:37:39 2009 Route: Waiting for TUN/TAP interface to come up...
    39. Fri Oct 23 09:37:39 2009 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
    40. Fri Oct 23 09:37:39 2009 Initialization Sequence Completed
    Alles anzeigen


    Ein Ausschnitt der Routing-Tabelle bei augebauter Verbindung:

    Quellcode

    1. Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
    2. 0.0.0.0 0.0.0.0 192.168.191.11 192.168.191.108 10
    3. 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    4. 192.168.100.0 255.255.255.0 192.168.100.218 192.168.100.218 30
    5. 192.168.100.218 255.255.255.255 127.0.0.1 127.0.0.1 30
    6. 192.168.100.255 255.255.255.255 192.168.100.218 192.168.100.218 30
    7. Standardgateway: 192.168.191.11


    Wenn ich einen Ping auf einen der Server absetze, bekomme ich laut WireShark die korrekte MAC zurückgeliefert. Alles andere: TimeOut.

    Hat jemand schon eine Idee was das sein könnte?

    Herzlichen Dank im Voraus.

    MfG
    ST1976

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von ST1976 ()

  • Re: VPN-Verbindung steht, aber es gibt keinen Datenverkehr

    Hallo,
    hast du bei der Userverwaltung bei dem entsprechenden Benutzer das Netzwerk angegeben?
    Siehe angehängtes Bild, so sehen alle meine VPN Verbindungen aus, außer ich hab eine GW2GW dann trage ich dahinter das entsprechende Netzwerk ein.

    Andere Frage warum wird noch 2.2rc1 verwendet?

    gruß Frank

    freaky-media
    Kein Support per PN dafür ist das Forum da.
    Preisanfragen via PN möglich oder über freaky-media
  • Re: VPN-Verbindung steht, aber es gibt keinen Datenverkehr

    Moin Frank,

    danke erstmal für die fixe Antwort. In der Eile hast Du aber das Bild vergessen....oder ich habe Tomaten auf den Augen. ;)

    Also, ich habe bei dem OVPN-Konto nur den Benutzernamen und das Kennwort drin. Normalerweise funktioniert das auch so. Unter Erweitert wird auch nur der DNS und name der lokalen Domäne gepusht.

    Zu meiner Schande muss ich gestehen, dass ich die Firewall von einem ehemailgen Azubi "geerbt" habe und bisher noch keine Zeit gefunden habe so ein Ding mal frisch und unbelastet aufzusetzen. :( Aber ich arbeite dran. :)

    Ich hatte in den letzten Tagen schon mit dem Gedanken gespielt, da die aktuelle 2.3final draufzusetzen. Habe mir auch schon das ganz frische Image heruntergeladen. Muss nun aber erstmal testen, ob sich die Conf so übernehmen läßt.

    Gruß
    Stefan
  • Re: VPN-Verbindung steht, aber es gibt keinen Datenverkehr

    Hallo,

    ja die EFW 2.3 ist ganz frisch dieses mal auch keine RC sondern FINAL seit heute :) ( siehe news )

    Und nein, keine Tomaten auf den Augen, habs nur verpennt wieder einzufügen ... hohle ich gleich nach.
    Du kannst mir einem UpdateScript das es gibt, das ist auch hier im Forum beschrieben aus der Version 2.2rc_x eine 2.2 Final machen.

    Diese Updates klappten bisher bei den meisten Usern Problemlos.
    Wie das ist zwischen 2.2 ein Backup zu tätigen und dieses in die 2.3 zu packen kann ich dir noch nicht sagen, werde die 2.3 Final die Tage ordentlich testen und auch die Appliance.

    Bisherige Erfolge beim Sichern und Rücksichern von 2.2 auf 2.3 giengen meist "schief" da wäre villeicht eine saubere Installation effektiver.
    Die Settings für die Benutzer kann man später "händisch" kopieren sowie das Zertifikat.

    gruß
    Bilder
    • userconf_vpn.jpg

      40,21 kB, 544×618, 505 mal angesehen

    freaky-media
    Kein Support per PN dafür ist das Forum da.
    Preisanfragen via PN möglich oder über freaky-media
  • Re: VPN-Verbindung steht, aber es gibt keinen Datenverkehr

    Moin Frank,

    bitte entschuldige die späte Antwort: anders als auf Deinem Screenshot ist das bei der Fw auch nicht eingerichtet. Merkwürdig ist ja, dass ich sowohl von der Firma, als auch von zu Hause aus Problemlos auf das Netzwerk hinter der EFW zugreifen kann. Von daher würde ich den Lancom Router auf der anderen Seite als Spaßbremse vermuten. Da jedoch der Tunnel ja korrekt und vollständig aufgebaut wird, kann das ja eigentlich auch nicht sein, da der Lancom ja im Prinzip mit dem korrekten Verbindungsaufbau raus ist.

    Wenn noch irgendjemand eine Idee hätte, wäre ich ein dankbarer Abnehmer! :)

    Gruß
    Stefan
  • Re: VPN-Verbindung steht, aber es gibt keinen Datenverkehr

    Moin zusammen!

    Ich konnte das Problem - Kommissar Zufall sei Dank - wegen der Suche nach einem anderen Problem lösen.

    Auf dem Rechner war noch vor meiner Zeit mal "AVM Netways" installiert. Da dies offenbar nicht korrekt entfernt wurde, hatten sich noch Dienste und Registrierungseinträge gefunden. Nachdem ich diese entfernt hatte liefs dann einwandfrei.