VPN Problem Zugriff Weboberfläche

    Hallo,


    folgendes Szenario:


    Standort A:
    - Router: Vigor 5300
    - Router-IP: 192.168.0.254/24
    - Netz: 192.168.0.0/24
    - DHCP: 192.168.0.50-100


    Standort B:
    - Router: Vigor 2820
    - Router-IP: 192.168.1.254/24
    - Netz: 192.168.1.0/24
    - DHCP: 192.168.1.50-100


    VPN-Verbindung ist über Lan-to-Lan realisiert und steht auch! Von Standort B kann ich sauber auf den Standort A zugreifen, d.h. ich kann von Standort B eine Weboberfläche aufrufen, die im Netz des Standort A vorhanden ist.


    Jetzt kommt der Knackpunkt: Von Standort A kann ich nicht sauber auf Standort B zugreifen. Die Weboberfläche vom Router des Standort B kann ich erreichen, aber alles, was dahinter hängt nicht wirklich. Ich möchte von Standort A auf eine Weboberfläche zugreifen, die im Standort B realisiert ist und hinter dem Router agiert. Einen Ping kann ich sauber absetzen, d.h. das System ist verfügbar. Sobald ich aber über den Browser auf die Weboberfläche drauf möchte, dann läd er bis ins unendliche und nichts passiert, nachdem ich das Zertifikat der Weboberfläche akzeptiert habe (https-Verbindung).


    Beim tracert ist mir folgendes aufgefallen:


    tracert vom Standort A zum Standort B:

    Code
    1. tracert 192.168.1.102 1 <1 ms <1 ms <1 ms 192.168.0.254 2 20 ms 17 ms 29 ms 192.168.0.50 3 17 ms 21 ms 19 ms 192.168.1.102


    Jetzt wunderte ich mich, warum hier die IP 192.168.0.50 auftaucht. Also bin ich per Web-Oberfläche auf die IP-Adresse gegangen und siehe da: Ich lande auf dem Router vom Standort B. Eigentlich sollte der tracrt folgendermaßen aussehen:


    Code
    1. tracert 192.168.1.102 1 <1 ms <1 ms <1 ms 192.168.0.254 2 20 ms 17 ms 29 ms 192.168.1.254 3 17 ms 21 ms 19 ms 192.168.1.102


    Liegt das Problem wirklich an der Vergabe der IP-Adresse per DHCP? Wenn ja, wie löse ich das Problem? Oder habe ich grundsätzlich ein anderes Problem?


    Zur Info: Hier noch ein tracert vom Standort B zum Standort A, wo ich sauber auf die Weboberfläche zugreifen kann:


    Code
    1. tracert 192.168.0.102
    2. 1 <1 ms <1 ms <1 ms 192.168.1.254
    3. 2 20 ms 17 ms 29 ms 192.168.0.254
    4. 3 17 ms 21 ms 19 ms 192.168.0.102


    Ich danke euch schonmal im Voraus für eure Hilfe.


    Grüße, Miree

    Hi...
    puh... theoretisch ist das immer so ne Sache. Da fummel ich lieber selbst dran rum, aber ich probiere mal einige Dinge zusammenzufassen.


    B zu A = OK
    A zu B = nur Zugriff auf Router


    Nun hast du DHCP von .50-.100 vergeben. Hast du für den VPN Bereich spezielle DHCP Bereiche angelegt ?
    Du schriebst, dass du von A zu B auf den Router zugreifen kannst der aber .1.50 haben sollte und .0.50 was du aber geschrieben hast. Warst du dann auf dem gleichen Router und kannst ggf. gar nicht auf den anderen Zugreifen aus der anderen Richtung ?
    Wenn du in das andere Netz pingen kannst, dann wäre auch interessant, ob du Filetransfer durchführen kannst. Also erstmal ohne Zertifikat und Webserver ansprechen.
    Hast du noch irgendwelche Ports geöffnet oder QoS Einstellungen auf dem Vigor ? Welche Konfigs laufen dort drauf und wie wählst du dich ein ?


    Hast du probiert einfach mal die IP-Adressen zu ändern, damit man das ein wenig besser auseinander halten kann, denn nur die 0 und die 1 ist nach einer gewissen Zeit nicht mehr zu sehen und dadurch können auch Fehler produziert werden.


    Generell ist es schwer zu sagen woran dies nun genau liegt, wenn man das System nicht selbst vor Augen hat und alle Konfigs mal durchschauen und testen kann.


    Vielleicht hat jemand den brandheißen Tipp den du brauchst, aber ich brauche erstmal ein paar Infos.


    Die VPN Verbindung wird bei dir per Software vom Client aufgebaut oder machen dies komplett deine Vigors so das du keine für dein Client brauchst ?


    Gruß
    Hap

    Hallo,


    erstmal vielen Dank für die schnelle Antwort :)


    Auf beiden Vigor-Routern läuft ein DHCP. Dort habe ich einfach nur DHCP eingeschaltet und den angegeben Adress-Pool eingetragen. Sonst sind keine weiteren Konfigurationen vorgenommen worden bezüglich DHCP.


    Ich versuche es nochmal sauber zu erklären:


    Router A hat folgende IP-Adresse: 192.168.0.254
    - Konfiguriert als Dial-In (Server)
    Router B hat folgende IP-Adresse: 192.168.1.254
    - Konfiguriert als Dial-Out (Client)


    - Beide Router sind mit einer LAN-to-LAN VPN Strecke verbunden
    - Egal ob Standort A oder Standort B: Beide Router sind von beiden Seiten über die oben gennante IP-Adresse erreichbar.


    Befinde ich mich im Standort B:
    - Pings gehen sauber raus
    - Weboberfläche der beiden Router ist erreichbar
    - Weboberfläche hinter dem Router ist erreichbar (https://192.168.0.102)


    Befinde ich mich im Standort A:
    - Pings gehen sauber raus
    - Weboberfläche der beiden Router ist erreichbar
    - Weboberfläche hinter dem Router ist nicht erreichbar (https://192.168.1.102)


    Tracert von Standort A auf https://192.168.1.102 im Standort B:

    Code
    1. tracert 192.168.1.102
    2. 1 <1 ms <1 ms <1 ms 192.168.0.254
    3. 2 20 ms 17 ms 29 ms 192.168.0.50
    4. 3 17 ms 21 ms 19 ms 192.168.1.102


    - Die Weboberfläche vom Router im Standort B ist somit über 192.168.1.254 UND 192.168.0.50 erreichbar
    - Die Weboberfläche (https://192.168.1.102) hinter dem Router vom Standort B ist zwar erreichbar, ich kriege aber keinen Inhalt angezeigt bzw. keine Antwort.


    Weitere Infos:
    - Kein QoS
    - Keine Ports geöffnet
    - IPSec/L2TP Verbindung (LAN-to-LAN)
    - Aufbau der VPN-Verbindung direkt über die Vigor-Router


    Ich vermute, dass es eben etwas mit der IP 192.168.0.50 zu tun hat. Warum vergibt/nimmt der Router vom Standort A diese IP-Adresse für den Weg zum Standort B? Der Router vom Standort B macht das doch auch nicht und nimmt direkt die IP vom Standort A (192.168.0.254).

    Also wenn B der Client ist und A der Server, dann bekommt der Client vom Server ebenfalls eine DHCP Adresse. Da dies die erste ist, sollte das also direkt anzusprechen sein. Ich hoffe ich kann mir klar ausdrücken - ist schon etwas später.
    Er wird wahrscheinlich die IP vom Server (A) bekommen, da der Vigor B ein Client ist.
    Nun überlege ich gerade ob es nicht sinnvoll ist und ob das mit den Vigors geht, dass man den Gateway eingibt, den er bekommen soll. Ich kann mir vorstellen, dass der Client (B) aufgrund der "falschen" Adresse immer auf den anderen Bereich routet.
    Ansonsten überlege ich nochmal. Ich geh nun erstma ins Bett :)


    Vielleicht kommst du ja auf die Lösung.
    Gruß
    Hap

    Ich habe mir jetzt Support von Draytek direkt geholt: Die haben auf die Router geschaut und sind auch fraglos, warum diese Problematik vorhanden ist. Ich habe die neueste Firmware auf beiden Geräten aufgespielt, alles deaktiviert und nur stumpf die VPN-Strecke aufgebaut. Immernoch das selbe Problem. Die von Draytek sind auch konfus und meinen, dass sie solch ein Phänomen noch nie hatten.


    Ich werde den Support mal bitten mein Szenario nachzubauen. Bei Erfolg sollen sie mir die Config-Files zusenden. Falls sich was ergibt, dann melde ich mich hier nochmal.

    "Miree" schrieb:

    Ich habe mir jetzt Support von Draytek direkt geholt: Die haben auf die Router geschaut und sind auch fraglos, warum diese Problematik vorhanden ist. Ich habe die neueste Firmware auf beiden Geräten aufgespielt, alles deaktiviert und nur stumpf die VPN-Strecke aufgebaut. Immernoch das selbe Problem. Die von Draytek sind auch konfus und meinen, dass sie solch ein Phänomen noch nie hatten.


    Ich werde den Support mal bitten mein Szenario nachzubauen. Bei Erfolg sollen sie mir die Config-Files zusenden. Falls sich was ergibt, dann melde ich mich hier nochmal.


    Danke für die Rückinfo... ich war auch schon die ganze Zeit am grübeln, aber eine Lösung fiel mir so nicht ein. Wenn die von Dray das machen wäre das echt 1A. Aber das Phänomen ist schon lustig. Bin mal gespannt was da rauskommt. Wahrscheinlich wollen die dann, dass du einen anderen Router einsetzt :)


    Gruß
    Hap

    Nur zur Info: Es läuft jetzt.


    Nachdem ich bei Draytek eine Rekonstruktion des Szenarios verlangt habe, sendete mir ein Techniker seine funktionierende Config-File für beide Router. Also habe ich diese eingespielt und dementsprechend nur Änderungen der Netzwerk-IP-Adressen und dem Internet-Access durchgeführt. Siehe da: Es klappt :)


    Nachdem ich die Einstellungen mal durchgegangen bin fiel mir aber nichts bedeutsames auf, was anders war zu meiner Config. Die einzige Einstellung, die anders zu meiner war, ist der Punkt "VPN and Remote Access" --> "IPSec General Setup" --> "IPSec Security Method". Hierbei war bei beiden Routern der Haken für "Medium (AH)" gesetzt. Ob das jetzt ausschlaggebend für meine Problematik war weiß ich nicht. Meiner Meinung nach scheinen die Router nicht sauber miteinander gearbeitet zu haben.


    Fazit: Ich bin froh, dass es nun läuft, warum und wieso auch immer ;) Trotzdem ein Danke an Alle für die Hilfestellung