AVM!VPN - Port 4 und 6 werden nicht geroutet

[HobbyStern]

Hallo Gemeinde,

ich habe eine erfolgreiche AVM!VPN erstellt, das ganze nunmehr auch schon einige Male.

Bei einer Kassensoftware im VPN Netz bekomme ich keine Kommunikation zum laufen, die Kasse möchte Port 4 und 6 auf TCP benutzen, die Anfragen scheinen nicht durch den Tunnel zu gehen, während alles andere (Dateifreigaben, EMail etc.) durch den Tunnel geht.

Kennt ihr etwas woran das liegen könnte?

Ggf. eine schwierige Portnummer o.ä.?

Remote-Netz : 10.0.22.0
Kasse : 10.0.22.90

Haupt-Netz : 10.0.0.0
Kassen-Server : 10.0.0.11

VPN erfolgreich aufgebaut und einsatzbereit.

LG Stefan

 

[littlem001]

Vpn port 6

Hallo,
anscheinend habe ich gerade das selbe Problem das der Port 6 nicht durch VPN box-box
Verbindung geht.
Software kann nicht mit der Kasse kommunizieren kommt immer ein Time out

Ping ist OK

Die Software lief wunderbar 2 Jahre mit VPN via Fernzugang (Rechner-Box)

gibt es da nen Lösungsansatz ?

BOX1 ist ne 7170 und die andere ne 7270 v3

LG Micha

 

[HobbyStern]

Hallo Micha,

es ist schon etwas her das dieses Thema das letzte Mal benötigt wurde ( Mai 2009 )

Ich habe in Erinnerung das wir damals Portfreigaben erstellt haben und die VPN Software durchsucht haben etc tätä - mit dem Erfolg das es schlichtweg mit einer Neukonfiguration beider Boxen und einer sauberen Nachinstallation aller nachstehenden Instrumente erledigt war.

Wenn Du zu dem Thema Hilfe benötigst wäre es sicher ganz gut genaueres zu wissen..

- Du sagst "Software kann nicht mit der Kasse kommunizieren kommt immer ein Time out"
- PING ist OK
- vorher mit PCSoftware 2 Box (Fernzugang)

Die BoxVersionen machen wenig unterschied (aktualität beachten!)

Sag mal etwas zu Deinem Enviroment

IP Netze
Subnetzmasken etc

LG Stefan

 

[littlem001]

never change a running system

ja, wie gesagt wir hatten den "Kassen Commander" mit dem AVM Fernzugang (PC2Box) am laufen ohne Probleme.

NETZ1 SERVER 192.168.170.190
NETZ2 KASSE 192.168.50.50
beide auf 255.255.255.0

Firewall auf SERVER macht sauber den port auf

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2011-11-07 16:54:14 OPEN UDP 192.168.170.190 192.168.50.50 6 6 - - - - - - - - -

hab die Software auch mal um nen Konfig Fehler vom Rechner auszuschließen auf einen anderen Installiert mit dem Selben Ergebnis.

btw.

wenn ich die BOX2BOX Verbindung trenne und wieder mit Fernzugang mich auf die 2.Box einwähle läuft die Kassensoftware auch wieder


hab ma die vpn config der box aus NETZ1 angehängt

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "NETZ2.dyndns.blabla";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "NETZ2.dyndns.blabla";
                localid {
                        fqdn = "NETZ1.dyndns.blabla";
                }
                remoteid {
                        fqdn = "NETZ2.dyndns.blabla";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "HAT-ER-AUCH";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.170.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.50.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.50.0 255.255.255.0";
        }

LG Micha

 

[HobbyStern]

Mal ganz locker und flockig vorab - hast Du dem Ding den Strom mal weggenommen (die veränderte Konfig muss ja erst im Netz bekanntgegeben werden..!?)

EDIT damit meine ich natürlich am besten auf beiden seiten - zumindest aber auf der seite auf der DU bist (in meinem fall wäre das das firmennetz und der zugehörige firmenrouter) Wenn ich es noch richtig im Kopf habe (ist etwas angerostet) dann müssen wir die ARP Leases aktualisieren, je nach Gerät passiert das eigentlich automatisch - aber....)

 

[littlem001]

JEZ ja, hat aber leider keine Änderung gebracht

Die IP ist auf dem Server fest vergeben kein DHCP die Kasse ebenso

kann das Vielleicht daran liegen das die box 1 keine virtual IP im 2. netz hat?

box2box

localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;

pc2box

localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 192.168.170.202;

 

[HobbyStern]

Wie gesagt das ganze läuft ja mittels ARP Requests - es muss sichergestellt sein :

- IP Zbsp. 192.168.50.x ist in 192.168.10.x bekanntgegeben - so dass jeder Request rüber geht (ist ja mittels erfolgreichem PING gesichert, wenn Du nicht mittels IPs dirigierst musst Du natürlich sicherstellen das die Namen aufgelöst werden (nslookup))

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "ip.ip.ip.ip";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = fremde.ip.nummer;
                remote_virtualip = 0.0.0.0;
                localid {
                        ipaddr = diese.ip.nummer.extern(internet);
                }
                remoteid {
                        ipaddr = fremde.ip.nummer.extern(internet);
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "geheim";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 10.0.0.0;
                                mask = 255.255.0.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 10.3.0.0;
                                mask = 255.255.0.0;
                        }
                }


[am ende des files - ich habe 16 eintragungen dieser art oben :-) ]
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";

Das ist meine Hauptkonfig - ich erinnere mich noch grob daran das ich das alles "händisch geprutscht" hatte, weil ich die Lösung einfach nicht fand - aber das am ende wirklich NICHTS zu tun war als schlichtweg das ganze nochmals ordentlich durchzugehen (ich denke heute das es der Cache der MACs/ARP war)

LG Stefan

 

[littlem001]

also deine config unterscheidet sich von meiner

remoteip = fremde.ip.nummer;
use_nat_t = yes;

bei mit auf 0.0.0.0
und no

ist die "fremde.ip.nummer" das Netz also z.b. 192.168.50.0 ?


LG Micha

 

[HobbyStern]

Moin,

der Arbeitsalltag schlägt aktuell hart zu :-/

fremde.ip.nummer bezeichnet die IP Range bei DIR (also richtig - zBsp. 192 ....)

Nehm Dir mal die Zeit und schau hier hinein - da sind sogar die Optionen eingesetzt wie zBsp. NetBios Passthrough etc.

Leider ist der (erst) dort (mit dem Beisatz !RTFM!) genannte Link tot...auch eine Suche half nix.

LG Stefan