[VPN] wel van A naar B, niet van B naar A

woensdag 25 juli 2007 11:49

Acties:

0 Henk 'm!

WYSIWYG

Topicstarter

Ik heb hier een VPN verbinding gelegd tussen ons hoofdkantoor en een ander kantoor.

Gegevens server Hoofdvestiging: ( A )

IP: 192.168.10.13
Subnetmask: 255.255.255.0
Gateway: 192.168.10.201 (Draytek 2300)

Nevenvestiging: ( B )
IP Range: 192.168.20.0
Subnetmask: 255.255.255.0
Gateway: 192.168.20.1 (Draytek 2900)

De verbinding wordt prima tot stand gebracht. Vanaf B kan ik alles bereiken wat bij A is. Echter vanaf A kan ik niets bereiken op B ?

Iemand een idee ?

Pay peanuts get monkeys !

woensdag 25 juli 2007 12:24

Acties:

0 Henk 'm!

Scary Gil

Misschien is het handig om wat meer vpn instellingen te plaatsen evenals netwerkinstellingen van de pc's /servers

woensdag 25 juli 2007 12:27

Acties:

0 Henk 'm!

jvanhambelgium

Mischien toch ergens een probleem.
IPSEC SA's zijn uni-directioneel, dus een bidirectionele vpn is niet altijd "vanzelfsprekend" en kan duiden op config issues tussen 2 punten.

Je zal toch config moeten posten en beginnen de logging op "debug" te zetten zodat je meer inzicht krijgt tijdens het opzetten van de vpn...

woensdag 25 juli 2007 12:28

Acties:

0 Henk 'm!

SpamLame

niks

Wat zegt de route tabel van beide draytek als de verbinding up is?
Ik denk dat je nl de network ip (subnet) verkeerd/niet hebt ingevult op de 2900 voor de verbinding naar het hoofd kantoor

Check http://www.draytek.nl/sup...n/lantolan.php?show=ipsec voo een voorbeeld config met ipsec

[ Voor 26% gewijzigd door SpamLame op 25-07-2007 12:31 ]

woensdag 25 juli 2007 12:28

Acties:

0 Henk 'm!

Predator

Suffers from split brain

Ben je zeker dat je de juiste firewall rules gezet hebt overal ?
Aangezien je wel van B naar A kan, is de routering wel correct in ieder geval.

Nevenvestiging: ( B )
IP Range: 192.168.20.0
Subnetmask: 255.255.255.0
Gateway: 192.168.2.1 (Draytek 2900)

Ik neem aan dat de gateway 192.168.20.1 is ?

[ Voor 37% gewijzigd door Predator op 25-07-2007 12:29 ]

Everybody lies | BFD rocks ! | PC-specs

woensdag 25 juli 2007 12:28

Acties:

0 Henk 'm!

jvanhambelgium

Kan uiteraard ook een ander issue zijn vb crypto-policy op router A zodat er geen verkeer "in de tunnel" gaat richting B bijvoorbeeld.

1000-en-1 mogelijke oorzaken...

woensdag 25 juli 2007 12:31

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

Locatie A heeft de volgende Dial-In verbinding naar B:

Lan-to-lan

PPTP
Remote Network IP: 192.168.20.0
Remote Network Mask: 255.255.255.0
For NAT operation, treat remote sub-net as: Private IP

Locatie B
PPTP
Remote Network IP: 192.168.10.0
Remote Network Mask: 255.255.255.0
For NAT operation, treat remote sub-net as: Public IP

Verder hebben wij 5 servers draaien. B kan alle servers benaderen van A
Bij A staan geen servers, maar 3 pc's en 1 printer.

Als ik handmatig een VPN verbinding maak naar vestiging B met de VPN client van windows dan kan ik wel alles van B benaderen.

Pay peanuts get monkeys !

woensdag 25 juli 2007 12:42

Acties:

0 Henk 'm!

SpamLame

niks

Dutch_guy schreef op woensdag 25 juli 2007 @ 12:31:
snipped

Als ik handmatig een VPN verbinding maak naar vestiging B met de VPN client van windows dan kan ik wel alles van B benaderen.

Dat zegt opzich niks, omdat je inbelt op de router en daarmee dus direct in dat netwerk komt.
Routering sla je dan over (afgezien je lokale pc).

leuk quote van mythbusters trouwens

[ Voor 6% gewijzigd door SpamLame op 25-07-2007 12:42 ]

woensdag 25 juli 2007 12:42

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

SpamLame schreef op woensdag 25 juli 2007 @ 12:28:
Wat zegt de route tabel van beide draytek als de verbinding up is?
Ik denk dat je nl de network ip (subnet) verkeerd/niet hebt ingevult op de 2900 voor de verbinding naar het hoofd kantoor

Check http://www.draytek.nl/sup...n/lantolan.php?show=ipsec voo een voorbeeld config met ipsec

Dit is de routing tabel van locatie B:

Key: C - connected, S - static, R - RIP, * - default, ~ - private

* 0.0.0.0/ 0.0.0.0 via 62.12.4.56, IF3
C 192.168.10.201/ 255.255.255.255 is directly connected, IF4
S 192.168.10.0/ 255.255.255.0 via 192.168.10.201, IF4
C~ 192.168.20.0/ 255.255.255.0 is directly connected, IF0

De 62.12.4.56 is de Gateway voor de WAN.

Wat ook vreemd is: 4 van de 5 servers geeft het volgende als ik probeer te pingen naar: 192.168.20.1

- Reply from 62.177.143.96 Destination net unreachable

Ik ken dat ip-adres niet en vind het een vreemde melding. Overigens krijg ik dat met ieder willekeurig ip-adres buiten onze eigen range dat ik probeer te pingen

Op 1 server krijg ik op een ping gewoon een request time-out.

[ Voor 18% gewijzigd door Dutch_guy op 25-07-2007 12:52 ]

Pay peanuts get monkeys !

woensdag 25 juli 2007 12:50

Acties:

0 Henk 'm!

SpamLame

niks

Ziet er volgens mij wel goed uit. (ervan uitgaande dat de 2de regel is omdat je direct hebt ingebelt)
Wat is op de client eigenlijk als gateway ingestelt? De lokale draytek of die op de andere site?

woensdag 25 juli 2007 12:55

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

SpamLame schreef op woensdag 25 juli 2007 @ 12:50:
Ziet er volgens mij wel goed uit. (ervan uitgaande dat de 2de regel is omdat je direct hebt ingebelt)
Wat is op de client eigenlijk als gateway ingestelt? De lokale draytek of die op de andere site?

2de is inderdaad van inbellen.

Op locatie B is de gateway van locatie B ingesteld bij de clients.

Edit:

Wat vaag, ik kan wel vanaf locatie A de router op locatie B bereiken op ip-adres: 192.168.10.202

[ Voor 12% gewijzigd door Dutch_guy op 25-07-2007 13:16 ]

Pay peanuts get monkeys !

woensdag 25 juli 2007 13:18

Acties:

0 Henk 'm!

SpamLame

niks

Dutch_guy schreef op woensdag 25 juli 2007 @ 12:42:

- Reply from 62.177.143.96 Destination net unreachable

Dat klopt niet, nu probeer je via internet naar je interne netwerk te komen.
De router of netwerkinstelling van de clients waar je vandaan hebt gepingt kloppen niet.

Edit,
zeker weten dat bij beide router het lan2lan profiel is ingevult en dat je niet probeert de tunnel opte bouwen middels een teleworker profiel. Reden dat ik dit vraag is dat je meld dat 1 gateway ook op (of iig) een .200+ adres te bereiken is. Default geeft een draytek .200+ ip adressen aan teleworkers, tenzij je dat anders hebt in gesteld.
Belangrijk om te weten is dat een teleworker porfiel alles bereikbaar is voor de inbeller maar niet andersom.

Controleer je instellligen aan beide zijdes eens aan de hand van het voorbeeld op draytek.nl
zie link http://www.draytek.nl/sup...pn/lantolan.php?show=pptp

Bij een goed opgebouwde tunnel heeft je router maar 2 adressen, het interne adres en een wan adres. In de lokale route tabel staat dan hoe je het remote netwerk bereiken kunt

[ Voor 56% gewijzigd door SpamLame op 25-07-2007 13:30 ]

woensdag 25 juli 2007 13:32

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

Het is hier inderdaad zo ingesteld dat alle VPN verbindingen een .200 adres krijgen.

Ik had de VPN verbinding al aan de hand van dat schema ingesteld.

Enige dat ik moest veranderen bij vestiging B was:

For NAT operation, treat remote sub-net as: Private IP

Anders kon ik mijn andere servers niet benaderen.

Pay peanuts get monkeys !

woensdag 25 juli 2007 13:35

Acties:

0 Henk 'm!

SpamLame

niks

Ach ja, te nsel overheen gelezen...maar goed het werkt nu, veel succes ermee

woensdag 25 juli 2007 13:37

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

Nee, dat lees je niet goed.

Ik bedoel dat ik die instelling eerder al had veranderd om van locatie B, A te kunnen bereiken.

Van A naar B lukt mij nog steeds niet, dus je hulp is nog steeds welkom.

Pay peanuts get monkeys !

woensdag 25 juli 2007 13:47

Acties:

0 Henk 'm!

SpamLame

niks

Ow ok, vind het zo vreemd dat je router een .200 adres krijgt.
Of is dat nu niet meer, want als dat wel zo is dat lijkt het toch of je een VPN bouwt middels een teleworker profiel. Hoewel dat ook weer niet klopt gezien de info in je TS. ?:

Hoe ziet die gegevens tabel er bij jou uit

code:

================== Lokatie 1========================Lokatie 2
Apparaat
LAN IP-subnet
LAN subnetmasker
Router IP-adres
Publiek IP-adres
Verbindings richting
evt. gebruikersnaam
evt. wachtwoord
Protocol
Pre-Shared Key
Encryptie

Keys UID Pws en externe adressen niet invullen op got

Vervelend dat ik niet thuis ben anders het ik je een kopie van mijn config kunnen geven voor een ipsec tunnel, kan pas na 4-en

edit mijn config toegevoegd

Ik bel one-way in met always on en ping de remote gateway om de verbinding op te krijgen of houden
Routing tabel op remote site vanaf mij is als volgt, ik "bel" hierop in
Let niet op de regel met R dit is een route die hij doorkrijgt middels RIP van mijn router

code:

    Key: C - connected, S - static, R - RIP, * - default, ~ - private

    *             0.0.0.0/         0.0.0.0 via 195.190.250.157, IF3
    C~           10.0.0.0/   255.255.255.0 is directly connected, IF4
    C~        192.168.0.0/   255.255.255.0 is directly connected, IF0
    R~        192.168.1.0/   255.255.255.0 via 10.0.0.121, IF4 (4/120000)

Mijn eigen Routing tabel waar die naar bovenstaande inbelt, ik bel hier dus uit.
Vandaar ook de publieke adressen met ****

code:

    Key: C - connected, S - static, R - RIP, * - default, ~ - private

    *             0.0.0.0/         0.0.0.0 via 195.190.249.2, IF3
    C~           10.0.0.0/   255.255.255.0 is directly connected, IF0
    S~        192.168.0.0/   255.255.255.0 via *.*.*.227, IF5
    S~        192.168.1.0/   255.255.255.0 via *.*.*.134, IF4

Onderstaande de configtabel die er bij hoort

code:

                            Lokatie 1       Lokatie 2

Apparaat                   draytek 2800 draytek 2600        
LAN IP-subnet               10.0.0.0        192.168.0.0
LAN subnetmasker        255.255.255.0   255.255.255.0
Router IP-adres             10.0.0.121         192.168.0.254
Publiek IP-adres            *.*.*.173        *.*.*..227
Verbindings richting           out            in
evt. gebruikersnaam
evt. wachtwoord
Protocol                   IpSEC            IpSEC
Pre-Shared Key          **********      **********
Encryptie

[ Voor 60% gewijzigd door SpamLame op 25-07-2007 16:25 ]

woensdag 25 juli 2007 16:51

Acties:

0 Henk 'm!

Dutch_guy

WYSIWYG

Topicstarter

Thanks !

Ik ben nu niet meer op de zaak, maar ik ga hier morgen zeker mee aan de slag.

Pay peanuts get monkeys !

donderdag 26 juli 2007 12:00

Acties:

0 Henk 'm!

SpamLame

niks

En hoe staan de zaken er nu mee?

Onderwerpen