Draytek, netwerk achter VPN is niet te bereiken

donderdag 24 april 2014 11:04

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik hoop dat iemand me kan helpen met onderstaande situatie. Ik vermoed dat ik ergens eens static route moet aanmaken maar kom er niet uit hoe en waar. Ik heb een VPN verbinding gemaakt tussen de twee Draytek routers, deze is ook up. Ik kan alleen niet het achterliggende netwerk bereiken.

Locatie 1: (Hoofdkantoor)
3 internetverbindingen.
1 router voor bestaande internet verbindingen
1 Draytek Vigor 3100 SDSL modem/router
Netwerk: 192.168.0.x/255.255.255.0

De Draytek router is aangesloten op een switch waar ook de andere router op is aangesloten. Vanaf de Draytek kan ik alles in het netwerk op locatie 1 pingen. Ik kan niet de router op locatie 2 pingen. Ik kan niets pingen op locatie 2.

Locatie 2: (Kantoor)
2 internet verbindingen
1 Draytek Vigor 2860 router
Netwerk: 192.168.5.x/255.255.255.0

Ik kan vanaf locatie 2 de Draytek op locatie 1 pingen maar verder helemaal niets.

donderdag 24 april 2014 12:06

Acties:

0 Henk 'm!

plizz

Je vermoeden klopt. Je moet een static route aanmaken voor locatie 1 bij Draytek Kantoor en andersom. Dan weet de routers de weg naar beiden locatie.

donderdag 24 april 2014 15:29

Acties:

0 Henk 'm!

tel2

Topicstarter

plizz schreef op donderdag 24 april 2014 @ 12:06:
Je vermoeden klopt. Je moet een static route aanmaken voor locatie 1 bij Draytek Kantoor en andersom. Dan weet de routers de weg naar beiden locatie.

Bedankt maar ik kom hier helaas niet uit. Ik kan op locatie 1 in de Vigor 3100 onderstaande velden invullen voor de static route. Als ik hetgeen invul wat ik hieronder type dan wordt het niet opgeslagen, ik vermoed omdat deze route al bekend is in de routing tabel.

Destination IP Address: 192.168.5.0
Subnet Mask: 255.255.255.0
Gateway IP Address: 192.168.5.1
Network Interface: Keuze tussen LAN/WAN

Op de Draytek op het hoofdkantoor ziet de routing tabel er als volgt uit:

Key: C - connected, S - static, R - RIP, * - default, ~ - private

* 0.0.0.0/ 0.0.0.0 via 58.13.9.14, IF3
C~ 192.168.0.0/ 255.255.255.0 is directly connected, IF0
S~ 192.168.5.0/ 255.255.255.0 via IP locatie 2, IF5

donderdag 24 april 2014 15:48

Acties:

0 Henk 'm!

plizz

Als ik de route tabel kijk, zit de static route erin naar locatie 2. Maar de gaat het verkeer via VPN tunnel of via internet. Locatie 2 moet ook de "terug weg" van hoofkantoor weten. Anders kom je ping aan bij het netwerk 192.168.5.0, maar de Draytek Vigor 2860 kent het netwerk 192.168.0.0 niet dus echo-reply komt niet teug.

donderdag 24 april 2014 16:00

Acties:

0 Henk 'm!

tel2

Topicstarter

plizz schreef op donderdag 24 april 2014 @ 15:48:
Als ik de route tabel kijk, zit de static route erin naar locatie 2. Maar de gaat het verkeer via VPN tunnel of via internet. Locatie 2 moet ook de "terug weg" van hoofkantoor weten. Anders kom je ping aan bij het netwerk 192.168.5.0, maar de Draytek Vigor 2860 kent het netwerk 192.168.0.0 niet dus echo-reply komt niet teug.

Dit is de routing tabel van locatie 2, dus daar lijkt hij ook goed in te staan. Deze static routes worden al aangemaakt tijdens het instellen van de VPN.

Key: C - connected, S - static, R - RIP, * - default, ~ - private

* 0.0.0.0/ 0.0.0.0 via 188.180.231.29 WAN1
S~ 192.168.0.0/ 255.255.255.0 via IP locatie 1 VPN-1
C~ 192.168.5.0/ 255.255.255.0 directly connected LAN1

donderdag 24 april 2014 16:09

Acties:

0 Henk 'm!

plizz

Ik zie het netwerk 192.168.5.0 niet in de route tabel. Ik zie alleen dat locatie 2 de route heeft naar 172.16.0.0 netwerk en niet 192.168.0.0. Ik neem aan dat je verkeerde IP adres hebt genoemd. Zo ja, dan klopt de route tabel niet van hoofdkantoor of locatie 2. Verander de IP adressen en kijk of je dan elkaar kan pingen.

donderdag 24 april 2014 16:35

Acties:

0 Henk 'm!

tel2

Topicstarter

Sorry, ik heb een tik fout gemaakt. In werkelijkheid staan wel de juiste IP adressen erin, dus 192.168.0.0 en 192.168.5.0. Pingen lukt helaas niet...

donderdag 24 april 2014 19:23

Acties:

0 Henk 'm!

Verwijderd

Bij de Draytek routers hoef je juist helemaal niets te doen met static routes.
De routes worden vanzelf aangemaakt op basis van de netwerk gegevens die je bij het LAN to LAN profiel opgeeft.
Het is dus wel zaak dat de VPN verbinding via LAN to LAN wordt gemaakt op beide routers.
Helemaal onderaan bij het LAN to LAN profiel is een kopje "TCP/IP Network Settings" daar hoef je alleen het andere netwerk op te geven bij "Remote Network IP" en "Remote Network Mask".
Dus in jouw geval geef je op locatie 2 het interne adres van locatie 1 op dus 192.168.0.0/255.255.255.0 en andersom op locatie 1 geef je het interne adres van locatie 2 op dus 192.168.5.0/255.255.255.0
Hiermee koppel je dan eigenlijk de VPN connecties aan de routes naar de andere netwerken en zo weten de routers dat de andere netwerken te bereiken zijn via die VPN connecties.

En het gaat nog verder want de routers gaan op basis hiervan ook proberen de VPN verbinding op te zetten wanneer er een request komt naar het andere netwerk.
Zo hoeft de VPN verbinding dan ook niet constant open te staan en komt hij op wanneer je bijvoorbeeld pingt naar het andere netwerk.

vrijdag 25 april 2014 14:06

Acties:

0 Henk 'm!

tel2

Topicstarter

Verwijderd schreef op donderdag 24 april 2014 @ 19:23:
Bij de Draytek routers hoef je juist helemaal niets te doen met static routes.
De routes worden vanzelf aangemaakt op basis van de netwerk gegevens die je bij het LAN to LAN profiel opgeeft.
Het is dus wel zaak dat de VPN verbinding via LAN to LAN wordt gemaakt op beide routers.
Helemaal onderaan bij het LAN to LAN profiel is een kopje "TCP/IP Network Settings" daar hoef je alleen het andere netwerk op te geven bij "Remote Network IP" en "Remote Network Mask".
Dus in jouw geval geef je op locatie 2 het interne adres van locatie 1 op dus 192.168.0.0/255.255.255.0 en andersom op locatie 1 geef je het interne adres van locatie 2 op dus 192.168.5.0/255.255.255.0
Hiermee koppel je dan eigenlijk de VPN connecties aan de routes naar de andere netwerken en zo weten de routers dat de andere netwerken te bereiken zijn via die VPN connecties.

En het gaat nog verder want de routers gaan op basis hiervan ook proberen de VPN verbinding op te zetten wanneer er een request komt naar het andere netwerk.
Zo hoeft de VPN verbinding dan ook niet constant open te staan en komt hij op wanneer je bijvoorbeeld pingt naar het andere netwerk.

Bedankt!

Ik heb de VPN inderdaad via LAN to LAN geconfigureerd, dit is ook de rede dat de adressen al in de routing tabel aanwezig zijn. Ik heb de optie 'Disable Ping from internet' uitgeschakeld op Locatie 2 en kan nu vanaf de Draytek op Locatie 1 de andere Draytek ook pingen. Verder staan er nog geen apparaten op locatie 2 dus ik kan niet testen of het netwerk achter de Draytek ook te pingen is.

Het belangrijkste is dat vanaf locatie 2 het netwerk op locatie 1 te bereiken is. Er is in de Draytek op locatie 1 geen gateway ingevoerd (Ik zou niet weten waar dit kan) zal het hiermee te maken hebben? Of moet ik mogelijk een static route toevoegen op de andere router op locatie 1?

vrijdag 25 april 2014 21:52

Acties:

0 Henk 'm!

Verwijderd

tel2 schreef op vrijdag 25 april 2014 @ 14:06:
[...]

Bedankt!

Ik heb de VPN inderdaad via LAN to LAN geconfigureerd, dit is ook de rede dat de adressen al in de routing tabel aanwezig zijn. Ik heb de optie 'Disable Ping from internet' uitgeschakeld op Locatie 2 en kan nu vanaf de Draytek op Locatie 1 de andere Draytek ook pingen. Verder staan er nog geen apparaten op locatie 2 dus ik kan niet testen of het netwerk achter de Draytek ook te pingen is.

Het belangrijkste is dat vanaf locatie 2 het netwerk op locatie 1 te bereiken is. Er is in de Draytek op locatie 1 geen gateway ingevoerd (Ik zou niet weten waar dit kan) zal het hiermee te maken hebben? Of moet ik mogelijk een static route toevoegen op de andere router op locatie 1?

Ping vanaf internet aanzetten is niet echt de bedoeling en is ook helemaal niet nodig, immers je pingt de interne kant van de (andere) router over de VPN heen, niet de externe interface van de router.
Vanaf locatie 1 (het 192.168.0.x netwerk) moet je dus de andere router kunnen pingen door te pingen naar: 192.168.5.1 (waarbij ik even voor het gemak aanneem dat 192.168.5.1 het interne ip van de router op locatie 2 is).

Als je daadwerkelijk ziet onder VPN Connection management dat de VPN verbinding wordt opgebouwd dan is het toch zaak de netwerk instellingen van de VPN profielen te controleren, vergeet niet dat die aan beide kanten goed ingevuld moeten zijn zodat het verkeer ook de weg terug kan vinden. Kijk ook even wat er in dat VPN profiel staat onder Netwerk instellingen bij "For NAT operation" want dat moet wel op "Private IP" staan.

Als laatste mogen er ook geen oude static routes meer in de route tabel staan die je misschien met de hand hebt ingevoerd want daardoor weet de router niet meer dat hij het verkeer over de VPN moet sturen.
Dus als je daar nog een route hebt staan moet je die weg halen.

dinsdag 29 april 2014 14:29

Acties:

0 Henk 'm!

tel2

Topicstarter

Ik ben een stap verder.

Als ik als gateway op mijn laptop het IP adres van de Draytek router invul i.p.v. het IP adres van de andere router dan kan ik locatie 2 pingen en dan kan ik ook vanaf locatie 2 mijn laptop op locatie 1 pingen.

Hoe kan ik er nu voor zorgen dat ik met het gateway adres van de andere router op locatie 1 het netwerk op locatie 2 kan bereiken. M.a.w. hoe kan ik ervoor zorgen dat als ik naar een 192.168.5.x adres ga dat de PC weet dat hij via de Draytek moet gaan?

dinsdag 29 april 2014 14:32

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

Op je 'normale gateway' ook een static (icmp redirect) aanmaken.

[ Voor 4% gewijzigd door DukeBox op 29-04-2014 14:32 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 29 april 2014 14:40

Acties:

0 Henk 'm!

tel2

Topicstarter

DukeBox schreef op dinsdag 29 april 2014 @ 14:32:
Op je 'normale gateway' ook een static (icmp redirect) aanmaken.

Ik heb nu een static route in me andere router gemaakt met als gateway het IP adres van de Draytek. Ik kan nu vanaf de andere router op locatie 1, locatie 2 pingen. Ook kan ik vanaf locatie 2 alles op locatie 1 pingen. Het enige wat nog niet werkt is vanaf een werkstation of server op locatie 1, locatie 2 pingen.

dinsdag 29 april 2014 14:48

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

Doe eens een trace ?

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 29 april 2014 15:02

Acties:

0 Henk 'm!

tel2

Topicstarter

DukeBox schreef op dinsdag 29 april 2014 @ 14:48:
Doe eens een trace ?

C:\Users\User>tracert 192.168.5.1

Traceren van de route naar 192.168.5.1 via maximaal 30 hops

1 1 ms <1 ms <1 ms 192.168.0.1
2 18 ms 18 ms 17 ms 95-124-116-105-ams-unet-dc2-er08.network.unet.nl
[90.145.146.131]
3 * 95-124-116-105-ams-unet-dc2-er08.network.unet.nl [95-124-116-105]
rapporten: Het doelnetwerk is niet bereikbaar.

De trace is voltooid.

dinsdag 29 april 2014 18:47

Acties:

0 Henk 'm!

Verwijderd

Nou duidelijk toch, het verkeer loopt niet over de VPN, anders zag je namelijk niet die 95 adressen er tussen.
Toch een kwestie van overal de goede gateway invullen.

dinsdag 29 april 2014 18:53

Acties:

0 Henk 'm!

rdfeij

Je moet de static route ook maken in de pc's niet in je routers... Je pc's moeten leren welke gateway (router) ze moeten gebruiken voor welk subnet...

dinsdag 29 april 2014 19:07

Acties:

0 Henk 'm!

tel2

Topicstarter

rdfeij schreef op dinsdag 29 april 2014 @ 18:53:
Je moet de static route ook maken in de pc's niet in je routers... Je pc's moeten leren welke gateway (router) ze moeten gebruiken voor welk subnet...

Ok, ik ging er vanuit dat het verkeer naar de router gaat en van daaruit weer doorgestuurd wordt naar de volgende hop, maar dit werkt blijkbaar niet.

Ik neem aan dat ik niet per PC de juiste route toe hoef te voegen. Kan dit meegegeven worden in de DHCP van Windows?

Verwijderd schreef op dinsdag 29 april 2014 @ 18:47:
Nou duidelijk toch, het verkeer loopt niet over de VPN, anders zag je namelijk niet die 95 adressen er tussen.
Toch een kwestie van overal de goede gateway invullen.

Dat is duidelijk, maar hoe los ik het op.

[ Voor 23% gewijzigd door tel2 op 29-04-2014 19:07 ]

woensdag 30 april 2014 12:40

Acties:

0 Henk 'm!

tel2

Topicstarter

Ik heb het opgelost door naast de static route ook een policy route naar het netwerk op locatie 2 toe te voegen in de router op locatie 1.

woensdag 30 april 2014 14:20

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

rdfeij schreef op dinsdag 29 april 2014 @ 18:53:
Je moet de static route ook maken in de pc's niet in je routers...

Nee, dat is het laatste wat je wilt.. zoals eerder genoemd (en zoals TS het volgens mij heeft opgelost) maak je dan een static redirect aan op je default gateway/router.

Duct tape can't fix stupid, but it can muffle the sound.

Onderwerpen