xDSL.at

[shin]

Hallo Leute,

muss nun doch einen neuen Thread eröffnen, da das Problem recht dringend ist.

Habe folgende Problemstellung:

Also folgender Aufbau:
Standort 1: RV042 - PRGAV4202N - Internet - TG585 - RV082 :Standort 2

Nun soll ich eine VPN Verbindung zwischen den Standorten realisieren. In diversen Tests konnten sich die zwei Linksys VPN Router auch hinter solchen Routern ohne zusätzliche Einstellungen verbinden, nun zwischen genau den zwei Standorten nicht mehr!

Meine Überlegung wäre gewesen, den PRGAV4202N sowie den TG585 einfach nur noch als Modem zu benutzen und somit den RV042 und RV082 Routern die öffentliche WAN IP zuzuweisen. Wäre das vom Sinn her am einfachsten oder?

An die Router selbst kommt am Standort 1 zwei Kassensysteme mit LAN IPs, auf die vom Standort 2 so zugegriffen werden soll, als befänden sich diese im LAN.

Strange finde ich die Tatsache, dass sich die WAN IPs beider Standorte nicht pingen lassen, Internet selbst läuft jedoch ohne Probleme. Kann dies an einer Einstellung der Telekom Router liegen? Die Leitungen sind laut Auskunft des Providers in Ordnung! (Habe es getestet, auch andere PRGAV4202N lassen sich von außen nicht pingen, schätze mal das ist so gewollt)

Kann mir dazu bitte jemand weiterhelfen bezüglich Konfiguration der Telekom Router und der Linksys Geräte? Bin eigentlich kein Netzwerker

Danke schonmal!

Edit: http://xdsl.at/viewtopic.php?f=20&t=50623&start=15
In diesem Thread habe ich schon einige Infos gefunden, habe auch dort geposted.

[wicked_one]

>>Strange finde ich die Tatsache, dass sich die WAN IPs beider Standorte nicht pingen lassen, Internet selbst läuft jedoch >>ohne Probleme.
Was findest du daran Strange


>>Kann dies an einer Einstellung der Telekom Router liegen?
Jop, ist in so ziemlich jedem Device dass ich kenne eine Option... Nur weil es nicht mit dir redet, heisst es nicht, dass es nicht da ist

>>Bin eigentlich kein Netzwerker
Aber unbedingt VPN´s bauen wollen... lustig... ich frag mich wozu ich mich in der Branche gebildet habe, wenn das AMS jetzt ehemalige Fleischfachverkäufer in die Branche vermittelt

Meine empfehlung, bieg die beiden Router (TG585 und Pirelli) auf Modem oder besser bekannt als Single-User und 2 hast 2 Sorgen weniger, die deinen Tunnel gefährden... Anleitungen gibts für beide Typen zur genüge...

[drdownload]

Lass mich raten EDV2000?

[shin]

>>Bin eigentlich kein Netzwerker
Aber unbedingt VPN´s bauen wollen... lustig... ich frag mich wozu ich mich in der Branche gebildet habe, wenn das AMS jetzt ehemalige Fleischfachverkäufer in die Branche vermittelt

Lol hey... bin 1. noch in Ausbildung und mache das für einen EDV Kunden für die Firma in der mir nebenher etwas dazuverdiene!

Wie fies ihr seit

Lass mich raten EDV2000?

Was soll das den sein? War noch vor meiner Zeit, ihr oldies

EDIT: Ja wenn du das mit dem Ping ja kennst, kannst mir ja sagen wo ich das in den Geräten umstellen kann...

[wicked_one]

Ja man muss ein bisschen die Diva raushängen lassen...

Beim Pirelli: als root, -> Erweitert -> Fernverwaltung
[ ] eingehende ICMP Echo anforderungen bla bla

Beim TG585: Firmwareabhängig, aber idR indem man den PING_RESPONDER Service aufs Intf wan bindet.

Aber ich denke nicht, dass ignorierte ICMP anfragen dein Problem sind...doppeltes NAT ist unkewl... beim Pirelli könntest du dahingehend den Router dahinter als DMZ Host eintragen.

ich würds mit den Single-User Modes machen. Wenn man was macht, dann gleich richtig.

Logfiles vom fehlschlagenden Tunnel wären auch mal hilfreich...

[shin]

Logfiles vom fehlschlagenden Tunnel wären auch mal hilfreich...

Kann ich gerne schicken, allerdings hab ich sie mir schon angesehen und der baut einfach rein gar nichts auf, findet also schätzungsweise gar nicht raus ins WAN...

Also wenn ich den Linksys als DMZ eintrage, könnte es theorethisch funktionieren...?!

Werde ich mal versuchen, und sonst die neue 2540 SU Firmware draufspielen.

Aber danke schonmal...

[rwhome]

Geht der VPN Tunnel überhaupt in einer lokalen Konfiguration ?
RV042 <-> RV082
Würde erst mal da anfangen sonst hat man zu viele Fehlerquellen.

[shin]

Geht der VPN Tunnel überhaupt in einer lokalen Konfiguration ?
RV042 <-> RV082
Würde erst mal da anfangen sonst hat man zu viele Fehlerquellen.

Ja natürlich, das wurde vorher in 2 Testumgebungen mit verschiedensten Routern bzw. Modems getestet, unter anderem genau die Konstellation die wir jetzt haben, aber irgendwie möchten die Linksys Geräte nicht... ist aber auch ein anderer Provider, allerdings auch Telekom Geräte!

[zid]

hallo shin,

tut mir leid, daß ich jetzt erst auf deine pn von letzter wo. antworte. hab sie gelesen, nur leider die zeit...

zur sache, du hast mehrere möglichkeiten:

1. der ansatz von w1
vorteil: die öffentliche ip sitzt direkt auf den rv's, es ist kein nat im spiel.
nachteil: du hast auf der strecke rv <-> modem einen doppeltunnel, der ansatz ist also grundsätzlich komplexer, und du verliert ein paar bytes bei der payload. mtu muß heruntergesetzt werden, sonst gibts zoff.

2. du läßt das pire und tg einwählen
nachteil ist klar, die rv's haben jeweils einen NAT vor der nase, was bei protokollen, die osi brechen, grundsätzlich nicht vorteilhaft ist. in deinem konkreten fall spielts aber keine rolle, weil sowohl das pire als auch das tg sehr gut mit ipsec passthrough umgehen können. du mußt nur auf beiden seiten den udp/500 (ike) weiterleiten und das wars. falls du nat-t verwendest (auf den rv's unter den erweiterten ipsec-einstellungen aktivierbar), kommt halt der udp/4500 noch dazu, ist aber nicht notwendig.

3. du ziehst dir die swisscom fw. aufs pire
und terminierst auf der einen seite den tunnel direkt am pire. das ist der einfachste ansatz, du mußt nur ein wenig bei den id's aufpassen, weil das pire da ein wenig "special" ist. kann man aber mit dem rv durchziehen, das ding ist hinreichend flexibel. details dazu in dem post, den du eh schon in deiner pn angeführt hast.

welche provider hast du?

>"...aber irgendwie möchten die Linksys Geräte nicht..."
was sagen die vpn-logs der rv's? die logs der rv's sind nicht sehr aussagekräftig, heißt aber nicht, daß man gar nix sieht.

grundsätzlich sollten ipsec-tunnels von *einem* mann eingerichtet werden. wenn ich einen tunnel von user a zu user b ziehe, dann verbinde ich mich mit https/ssh zu den beiden usern und richte den tunnel parallel (es sind 2 fenster nebeneinander offen) auf beiden seiten ein. es hat sich gezeigt, daß bei dieser vorgehenweise die fehlerquote noch am geringsten ist.

lg
zid

[shin]

Hey Zid,

danke schonmal für die Tipps...

habe nun folgendes zu stande gebracht:

Beide RVs (RV042 & RV082) wählen sich per Telekom Modem mittels PPTP direkt ein, haben also beide die öffentliche IP

VPN Tunnel steht, gesamtes Netzwerk is pingbar... genau so wie ich es möchte, richtig perfekt aber:

Nach ein paar Minuten, wirklich ein paar Minuten (zwischen 2 und 10) kann ich das Netzwerk nicht mehr pingen...

Der VPN Tunnel wird im WebGui des RVs aber als Connected angezeigt, PING kommt allerdings nicht mehr durch!

Nach einem kurzen Klick auf Disconnect beim VPN Tunnel, geht das Spiel von vorne los, nach ein paar Minuten ist der Tunnel wieder weg.

Also so weit kann ich ja gar nicht weg sein


Tracert ergab, dass es nach einem Tunnelaufbau wunderbar funktioniert... jedoch nach den besagten Minuten plötzlich eine Routingschleife auftritt?!

Aufbau ist nämlich so:

Standort 1 -> Router 1 -> RV082 -> TG585 -> WAN -> AV4202 -> RV042

Auf Router 1 wurde für das 192.168.2.X Netz eine statische Route auf den RV082 eingerichtet.

RV082 = 192.168.1.200
Router 1 = 192.168.1.1

Code: Alles auswählen

C:\Users\admin>tracert 192.168.2.1

Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2    <1 ms    <1 ms    <1 ms  192.168.1.200
  3     2 ms     1 ms     1 ms  192.168.1.1
  4     1 ms     1 ms     1 ms  192.168.1.200
  5     2 ms     2 ms     1 ms  192.168.1.1
  6     2 ms     2 ms     1 ms  192.168.1.200
  7     2 ms     3 ms     2 ms  192.168.1.1
  8     2 ms     2 ms     2 ms  192.168.1.200
  9     3 ms     3 ms     3 ms  192.168.1.1
10     3 ms     3 ms     3 ms  192.168.1.200
11     4 ms     4 ms     3 ms  192.168.1.1
12     3 ms     6 ms     3 ms  192.168.1.200
13     5 ms     5 ms    21 ms  192.168.1.1
14     5 ms     5 ms     4 ms  192.168.1.200
15     5 ms     5 ms     4 ms  192.168.1.1
usw....

Das passiert nach ein paar Minuten, zuerst funktioniert das ganze aber

Hängt das vielleicht mit der MTU zusammen? auf was sollte ich die fixieren?

Bin für jeden Tipp dankbar!

Lg

[zid]

hallo shin,

bei den vpn einstellungen gibts unter "Advanced" noch die optionen "Keep-Alive" und "Dead Peer Detection (DPD)". sind die aktiv? wenn nein, dann aktivieren.
ich werds mir noch anschauen, leider erst (frühestens) heut nacht.

lg
zid

[shin]

Habe ich bereits mit allen möglichen Einstellungsmöglichkeiten versucht, Dead Peer Detection sowie Keep alive an bzw. aus...

Hat leider keine spürbare Besserung gebracht

Danke für dein Bemühen

[shin]

Ok, keine Ahnung was jetzt los ist, aber anscheinend funktioniert es jetzt... habe beide RV Geräte neugestartet (hatte ich vorher aber schon öfters)

Bislang geht der Ping 2 Stunden durch... sieht schonmal positiv aus, werd morgen früh berichten obs noch läuft!

Lg

[shin]

Ok hat sich erledigt, Tunnel läuft durchgehend und ziemlich stabil...

Danke für die Hilfestellung!