[Frage] VPN-Verbindung zu einem Subnet 16

[deltafox1002]

Hallo zusammen

Mir stellt sich folgendes Problem:

Ich habe mein Heimnetz mit einem Class B Netz ausgestattet. Also 172.19.42.0/255.255.0.0.
Um eine bessere Übersicht über meine Client zu erhalten, sind diese in verschiedene Bereiche unterteilt.

LAN: 172.19.42.xxx
WLAN: 172.19.142.xxx
DHCP: 172.19.242.xxx (durch einen DNSMasq-Server)
VM's: 172.19.254.xxx

Das funktioniert auch alles ohne jegliche Probleme. Jedoch habe ich jetzt mit VPN das Problem, das ich nur auf den LAN-Bereich via VPN-Verbindung zugreifen kann. Ändere ich die VPN-Konfig der Subnetzmaske auf 255.255.0.0 ab, ist überhaupt keine Verbindung mehr möglich, bzw. die Verbindung wird zwar aufgebaut, aber es ist kein Zugriff möglich, auch nicht auf die FBox.

Als Client-SW kommt einmal Android 4.4.4 und einmal ShrewSoft zum Einsatz.

Wer kann mir erklären, wo mein Knoten im Hirn ist ? ;-)

 

[thtomate12]

Was hast du denn überall eingestellt? Eine zensierte Konfig wäre hilfreich

 

[deltafox1002]

Konfig

Hier die Konfig, die ich mir vorgstellt habe

vpncfg {
connections {
enabled = yes;
conn_type = conntype_user;
name = "HOMENET SUB 16";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 172.19.250.254;
remoteid {
user_fqdn = "[email protected]";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 172.19.42.0;
mask = 255.255.0.0;
}
}
phase2remoteid {
ipaddr = 172.19.250.254;
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist =
"permit ip 172.19.42.0 255.255.0.0 172.19.250.254 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Wenn ich die 172.19.250.254 durch 192.168.178.10 als Bespiel ersetzte, hat das ebenfalls kein Erfolg

 

[thtomate12]

Ersetz' mal bitte 172.19.42.0 durch 172.19.0.0, wie es für deine Subnetz stimmt

 

[deltafox1002]

OK, werde ich später nochmal versuchen. Danke erst mal.

 

[deltafox1002]

Neue Konfig

So, hier nochmal die aktuelle Konfig.

Folgendes geht bzw. geht nicht.

LAN-LAN Verbindung
Verbindung: 172.19.x42.xxx --> 192.168.170.xxx OK
Verbindung: 192.168.170.xxx --> 172.19.42.xxx OK
Verbindung: 192.168.170.xxx --> 172.19.142.xxx NICHT OK

Mobiler Zugang:
Mobil --> 172.19.42.xxx OK
Mobil --> 172.19.142.xxx NICHT OK

vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "LAN-LAN";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "remote.dyndns.org";
localid {
fqdn = "local.dyndns.org";
}
remoteid {
fqdn = "remote.dyndns.org";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 172.19.0.0;
mask = 255.255.0.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.170.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.170.0 255.255.255.0";
} {
enabled = yes;
conn_type = conntype_user;
name = "Mobile-Zugang";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 172.19.42.253;
remoteid {
key_id = "[email protected]";
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "xxx";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = yes;
xauth {
valid = yes;
username = "[email protected]";
passwd = "MeinPasswort";
}
use_cfgmode = yes;
phase2localid {
ipnet {
ipaddr = 0.0.0.0;
mask = 0.0.0.0;
}
}
phase2remoteid {
ipaddr = 172.19.42.253;
}
phase2ss = "esp-all-all/ah-none/comp-all/no-pfs";
accesslist =
"permit ip 172.19.0.0 255.255.0.0 172.19.42.253 255.255.255.255";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

Für die LAN-LAN Kopplung sind folgende FB im Einsatz:

Local: FB7390 (zweite) 06.30
Remote: FB7360 06.30
Mobile: Android 4.4.4 (Xiaomi Mi3)

Ich weiß nicht ob es relevant ist, aber meine FB7390 ist nicht direkt mit dem I-Net verbunden.

Aufbau: FB7390-1(DSL direkt, 192.168.178.1) -----> (Exposed Host, 192.168.178.22, LAN1 an FB7390-2, 172.19.42.2)

 

[thtomate12]

Welcher Verbindung ist denn jetzt, die von vorher?
Wo ist der andere Teil der LAN-LAN-Verbindung?

 

[deltafox1002]

Also die zuletzt gepostete ist die aktuelle Konfig. Der andere Teil der LAN-LAN ist 200km weit weg.

 

[deltafox1002]

So, wie immer liegt der Fehler im Detail. :blonk:
Es liegt nicht an der Konfig vom VPN, sondern am Client, den ich jedes Mal versuchte, zu erreichen. Also VPN ist jetzt alles gut.

Aber ich kann diesen einen Client nicht über VPN erreichen.

Es handelt sich dabei um einen HP LaserJet P1102w. Er hat die IP 172.19.142.140 vom DHCP erhalten. Im lokalem Netz ist dieser ohne Probleme erreichbar. Über die vorhandene VPN Verbindung ist nur dieser Drucker nicht erreichbar. Jemand eine Idee ?

 

[thtomate12]

Hat er das richtige Gateway, Subnetz etc.?

 

[deltafox1002]

Ja, habe ich kontrolliert. Wird auch vom DHCP vergeben, sowie auch bei den anderen Clients.