[Problem] Routing Probleme mit VPN Verbindung.

[faxe2110]

Hallo,

nachdem ich erfolgreich eine VPN Verbindung zu meinem VPN Server herstellen konnte habe ich ein Problem.
Wenn ich via Telnet auf die Fritzbox gehe und meine entfernten VPN Netzwerke anpinge (192.168.0.0 & 192.168.1.0) bekomme ich auch eine Antwort.
Soweit so gut. Wie stelle ich es jetzt an das ich dieses auch von jeden anderen Gerät (PC, Smartphones) nutzen kann.

Ich bin kein Netzwerk Spezialist, aber ich würde darauf tippen das meine Routen bzw. der Standard Gateway falsch ist.

Versuche ich ein Ping via CMD von einem Win7 PCs zu senden bekomme ich ein timeout
Connecte ich mich aber über eine VPN Verbindung von dem Win PC habe ich die Möglichkeit beide Netzwerke zu pingen, und bekomme auch eine Antwort.

Ich wūrde mich freuen wenn mir jemand dabei helfen könnte.

MfG
faxe2110

 

[doc456]

Hallo,

ja klar, du hast nur die Route ins x.x.0.0er Netz mit Gateway x.x.0.1, die Route für das x.x.1.0er fehlt.

 

[faxe2110]

Erstmal danke für deine Antwort. Wie schon geschrieben, bin kein Netzwerk Experte. Wie meinst du das? Die Routen zu 192.168.0.0 und 192.168.1.0 sollten ja drinne sein. Nur wie bekomme ich sie auf mein 192.168.5.0 Netzwerk?

 

[RalfFriedl]

Die notwendigen Routen auf der Box sind bereits vorhanden, sonst könnte die Box die Geräte hinter dem VPN nicht erreichen. Die Route am PC ist auch bereits vorhanden.
Was fehlt ist entweder eine Route auf dem Server zum Netz der Box, oder eine NAT Funktion auf der Box.

Anders ausgedrückt, der Hinweg funktioniert.
PC: hat Route zur Box
Box: hat Route zur VPN Gegenstelle.
Aber jetzt muss die Gegenstelle antworten, und wohin soll sie die Antwort senden?

PS:
Statt hier Bilder einzubinden wäre es besser, das als Text herein zu kopieren.

 

[faxe2110]

Hallo RalfFriedl,
die Antwort von der VPN Gegenstelle kommt ja wieder zurück zur Fritzbox (Freetz). Nur von da bekomme ich sie nicht an mein Heimisches Netz angeschlossen.

root@fritz:/var/mod/root# ping 192.168.0.120
PING 192.168.0.120 (192.168.0.120): 56 data bytes
64 bytes from 192.168.0.120: seq=0 ttl=63 time=561.880 ms
64 bytes from 192.168.0.120: seq=1 ttl=63 time=41.119 ms
64 bytes from 192.168.0.120: seq=2 ttl=63 time=50.382 ms
64 bytes from 192.168.0.120: seq=3 ttl=63 time=49.705 ms
64 bytes from 192.168.0.120: seq=4 ttl=63 time=48.142 ms
64 bytes from 192.168.0.120: seq=5 ttl=63 time=47.491 ms
^C
--- 192.168.0.120 ping statistics ---
6 packets transmitted, 6 packets received, 0% packet loss
round-trip min/avg/max = 41.119/133.119/561.880 ms
root@fritz:/var/mod/root# ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10): 56 data bytes
64 bytes from 192.168.1.10: seq=0 ttl=62 time=71.730 ms
64 bytes from 192.168.1.10: seq=1 ttl=62 time=80.877 ms
64 bytes from 192.168.1.10: seq=2 ttl=62 time=80.108 ms
64 bytes from 192.168.1.10: seq=3 ttl=62 time=79.545 ms
64 bytes from 192.168.1.10: seq=4 ttl=62 time=79.055 ms
64 bytes from 192.168.1.10: seq=5 ttl=62 time=78.564 ms
^C
--- 192.168.1.10 ping statistics ---
6 packets transmitted, 6 packets received, 0% packet loss
round-trip min/avg/max = 71.730/78.313/80.877 ms
root@fritz:/var/mod/root#

Wie ist es mir möglich meiner Fritzbox jetzt beizubringen das sie doch bitte diesen beiden Netze zur verfügung stellen soll wenn eine VPN Verbindung besteht.
Oder denke ich gerade in eine Verkerte Richtung??

Würde es reichen wenn ich die PPTP Ports an das Gateway freigebe?? 1723,1792 und GRE 47??

 

[RalfFriedl]

die Antwort von der VPN Gegenstelle kommt ja wieder zurück zur Fritzbox (Freetz).

Die Antwort auf ein Ping der Box kommt wieder bei der Box an, das hast Du schon von Anfang an geschrieben.

Nur von da bekomme ich sie nicht an mein Heimisches Netz angeschlossen.

Da ist schon der Denkfehler, ein Ping vom PC ist nicht das gleiche wie ein Ping von der Box.
Wie schon geschrieben, gibt es für die Problematik zwei Lösungen, NAT auf der Box oder eine Route auf dem VPN Server.

Beschreibe mal Schritt für Schritt, wir ein Ping vom PC zur Gegenstelle und zurück ablaufen soll, dann sollte das Problem klar werden.

Würde es reichen wenn ich die PPTP Ports an das Gateway freigebe?? 1723,1792 und GRE 47??

Das hat mit dem Problem nichts zu tun, das VPN besteht ja bereits.

 

[faxe2110]

Auf die Gefahr hin das ich mich jetzt bloß stelle.

Beschreibe mal Schritt für Schritt, wir ein Ping vom PC zur Gegenstelle und zurück ablaufen soll, dann sollte das Problem klar werden.

PC->Gateway->VPN Gateway->PC PC->VPN Gateway->Gateway->PC

Sehe ich das richtig das im Moment nur die Box (192.168.5.1) pinnt und nicht das x.x.5.0 Netzwerk?

Da ist schon der Denkfehler, ein Ping vom PC ist nicht das gleiche wie ein Ping von der Box.
Wie schon geschrieben, gibt es für die Problematik zwei Lösungen, NAT auf der Box oder eine Route auf dem VPN Server.

Wurde das heißen das ich eine Route von meinem 192.168.5.0/24 setzen muss?
Wenn ja wie sieht diese aus.

route add -net 192.168.5.0/24 ppp0

 

[RalfFriedl]

PC->Gateway->VPN Gateway->PC PC->VPN Gateway->Gateway->PC

Genau. Und jetzt nimm mal die konkreten IP Adressen und schau bei jedem dieser Schritte, wie die Pakete anhand der Routing Tabelle des jeweiligen Geräts weitergeleitet werden.

Sehe ich das richtig das im Moment nur die Box (192.168.5.1) pinnt und nicht das x.x.5.0 Netzwerk?

Nein, die 192.168.5.1 funktioniert auch nicht.

 

[faxe2110]

Ich bin völlig blank.

route add -net 192.168.0.0/24 192.168.5.1

Das ist Anscheint doch etwas zu hoch für mich.

 

[RalfFriedl]

Die Frage ist, wo Du was ausführen willst. Wie Du richtig geschrieben hast, gibt es 4 Geräte, die hier beteiligt sind:
- PC lokal
- Box lokal
- VPN Server remote:
- PC remote am VPN Server
Jeder von diesen hat eine Routing Tabelle, und jeder von diesen muss die Pakete korrekt weiterleiten. Wenn es nur an einer Stelle nicht funktioniert, kommt nichts an.

Ich gehe mal davon aus, dass diese Geräte folgende Adressen haben:
- PC lokal: 192.168.5.20 (beliebige Adresse aus 192.168.5.0/24 außer 192.168.5.1)
- Box lokal: 192.168.5.1 und 192.168.0.202
- VPN Server remote: 192.168.0.1 und 192.168.1.1
- PC remote: 192.168.1.20

Fangen wir zunächst mal mir dem Fall an, dass die Box ein Ping an 192.168.1.20 sendet. Sie wählt dafür als Absender die 192.168.0.202 und nicht die 192.168.5.1 aus, und deswegen funktioniert es.

Jetzt aber zum Fall, dass der PC ein Ping sendet. Absender ist 192.168.5.20, Ziel ist 192.168.1.20.
Die jeweiligen Routing Tabellen auf den Geräten enthalten hierzu folgende Einträge:
- PC lokal: Default Route auf die Box lokal.
- Box lokal: 192.168.1.0/24 dev ppp0, als über die VPN Verbindung an den VPN Server.
- VPN Server: 192.168.1.0/24 über lokales Netzwerk.
- PC remote: ist selber das Ziel.
Das Ping ist also angekommen, und es musste überhaupt nichts dafür verändert werden.
Als Reaktion auf das Ping wird der PC jetzt eine Antwort generieren. Diese hat als Absender den PC, also 192.168.1.20, und als Ziel die Quelle des Ping, 192.168.5.20. Dieses Paket muss jetzt zurück, also verfolgen wir den Rückweg.
- PC remote: Default Route auf den Server.
- VPN Server: Hier liegt das Problem. Wohin soll der Server ein Paket schicken, dass nach 192.168.5.20 soll? Vermutlich hat er keinen speziellen Eintrag dafür, deswegen geht das Paket an die Default Route und wird letztlich irgendwo verworfen. Was benötigt wird, ist eine Route auf 192.168.5.0/24 via 192.168.0.202 auf dem VPN Server. Wenn diese vorhanden ist, geht das Paket als nächstes über die VPN Verbindung.
- Box lokal: 192.168.5.0/24 über lokales Netzwerk.
- PC lokal: ist selber das Ziel.

Im Prinzip das gleiche Problem gäbe es, wenn man beim Ping von der Box die Absender-Adresse 192.168.5.1 vorgeben würde, der VPN Server wüsste nicht, wie er die 192.168.5.1 erreichen kann.

 

[faxe2110]

Vielen herzlichen Dank für deine Ausdauer. Jeder andere hätte mich wahrscheinlich schon längst aufgegeben.
Im Moment sind es wirklich alles noch Böhmische Wälder. Aber durch deine Erklärung kommt Licht ins dunkle und es klingt logisch.
Deine Art und weise jemandem zu helfen finde ich gut. Denn einfach nur die Lösung zu geben kann ja jeder. Jetzt musste ich mich wirklich damit beschäftigen und nebenbei auch mal nachlesen.

In deiner Lösung des Problems gibst du dieses vor.

Was benötigt wird, ist eine Route auf 192.168.5.0/24 via 192.168.0.202 auf dem VPN Server.

Wenn ich mich jetzt nicht zu dumm anstelle würde ich folgendes als route eintragen.

route add -net 192.168.5.0/24 192.168.0.202

Jetzt stellt sich mir die Frage. Kommt dahinter jetzt noch ppp0 ?
Ich habe es noch nicht getestet, aber ich würde sagen ja! Denn 192.168.0.202 ist im VPN Netzwerk, und ja nur über ppp0 zu erreichen oder sehe ich das falsch?

 

[RalfFriedl]

Deine Art und weise jemandem zu helfen finde ich gut.

Danke. Es gibt auch genug Leute, die das anders sehen.

Wenn ich mich jetzt nicht zu dumm anstelle würde ich folgendes als route eintragen.

route add -net 192.168.5.0/24 192.168.0.202

Jetzt stellt sich mir die Frage. Kommt dahinter jetzt noch ppp0 ?
Ich habe es noch nicht getestet, aber ich würde sagen ja! Denn 192.168.0.202 ist im VPN Netzwerk, und ja nur über ppp0 zu erreichen oder sehe ich das falsch?

Es kommt darauf an, was auf dem Server läuft und was für ein VPN es ist. Wenn Du von ppp0 sprichst, gehe ich davon aus, dass auf dem Server Linux läuft und dass es PPTP ist (mit anderen Worten, ich müüste nicht raten, wenn Du das auch geschrieben hättest). Ist die 192.168.0.202 fest vorgegeben, oder wurde die nur im Beispiel oben zugeteilt? Generell ist es so, dass sowohl ppp0 als auch 192.168.0.202 erst bekannt sind, nachdem die VPN Verbindung aufgebaut wurde.

In der Man-page von route steht nichts davon, dass die Schreibweise /24 unterstützt wird, und vor das Gateway gehört gw, es müsste also vermutlich heißen
route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.202 dev ppp0

Ich bevorzuge die neuere Kommandos mit ip:
ip route add 192.168.5.0/24 dev ppp0 via 192.168.0.202

Ich gehe davon aus, dass es in beiden Fällen reicht, entweder das Gerät (dev ppp0) oder die Zieladresse (gw/via 192.168.0.202) anzugeben. Wenn die Pakete auf ppp0 gesendet werden, können sie nur auf der anderen Seite ankommen. Wenn man die Adresse 192.168.0.202 angibt, findet das System selbst heraus, dass es eine Route für dieses Ziel über ppp0 hat. Das Ergebnis ist immer, dass die Pakete über ppp0 gesendet werden. Wichtig ist nur, dass das Kommando ausgeführt wird, nachdem die VPN Verbindung aufgebaut wurde, weil es vorher kein ppp0 und keine Route auf 192.168.0.202 gibt.

 

[faxe2110]

Da ist er wieder. Leider gibt es probleme mit der route.
Wenn ich diese anwende, bricht die Fritzbox zusammen. Ich kann nichts mehr im Netzwerk machen. Nach einem Neustart habe ich dann wieder Zugriff auf die Box.

route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.0.202 dev ppp0

Benutze ich die neueren Kommandos

ip route add 192.168.5.0/24 dev ppp0 via 192.168.0.202

Bekomme ich diese Ausgabe.

The fun has just begun ...


BusyBox v1.21.0 (2014-04-28 21:47:09 CEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

root@fritz:/var/mod/root# ip route add 192.168.5.0/24 dev ppp0 via 192.168.0.202
ip: RTNETLINK answers: File exists
root@fritz:/var/mod/root#

Wenn ich es richtig deute, soll es bedeuten das ich schon eine default route auf das Interface habe. Laut Google.
Ist es richtig das die default route auf das Interface durch folgendes in dem ip-up Script gesetzt wird????

#!/bin/sh
if [ "$6" = "pptp" ]; then
echo "ip-up Client"
echo "ip-up Client"
route add -net 192.168.0.0 netmask 255.255.255.0 gw "$5" dev "$1" #
else
echo "ip-up Server"
echo "#kein Routing konfiguriert oder aktiviert"
fi

Der Server ist ein PPTP Server auf einem Router mit DD-WRT.

 

[RalfFriedl]

Die Default Route ist die, die bei "ip route" als "default" angezeigt wird, laut dem Bild oben "default via 192.168.5.1 dev dsl".
Ebenfalls laut dem Bild gibt es bereits eine Route "192.168.5.0/24 dev lan src 192.168.5.1", daher kann keine neue Route auf dieses Ziel gesetzt werden. Möglicherweise ersetzt das route Kommando die vorhandene Route trotzdem, was dazu führt, dass die Box das lokale Netz nicht mehr ansprechen kann.
Die Route soll auch nicht auf der Box gesetzt werden, da ist die Route richtig so, wie sie ist. Die Route wird auf dem VPN Server gebraucht, damit die Pakete zur Box kommen.

 

[faxe2110]

Auf dem Server sieht es so aus. Siehe Bild.

Aber wenn die Route auf dem Server nicht stimmt, warum bekomme ich dann von jedem anderen Gerät (iPad oder PC) wenn ich von dort eine eigene VPN Verbindung zum Server aufbaue, und danach einen ping sende eine Antwort?
Wenn die route nicht stimmt sollte das doch auch nicht klappen.
Die jeweilige VPN Verbindung wird via W-LAN mit der Fritzbox aufgebaut.

 

[RalfFriedl]

Dann trage dort mal als Gateway nicht 192.168.0.1 ein, sondern 192.168.0.202. Und was kommt, wenn man den Knopf "Show Routing Table" anzeigt, vorzugsweise vor und nach der Änderung.

 

[faxe2110]

Sorry die späte Rückmeldung. Es hat geklappt. Nachdem der Gateway geändert wurde klappte es.
Danke für die Unterstützung und Hilfe. Ich habe einiges gelernt.

Mfg
faxe2110