Beschreibung:
Dieser Troubleshooting Guide zeigt, welche M=C3=B6glichkeiten zur Fehler=
suche durchgef=C3=BChrt werden k=C3=B6nnen, wenn ein weiteres lokales Netzw=
erk =C3=BCber eine aufgebaute VPN-Verbindung nicht erreichbar ist.
<=
br>
Szenario:
- Neben dem lokalen Netzwerk 192.168.66.0/24 soll auf der Gegense=
ite ein weiteres lokales Netz mit dem Adressbereich 192.168.67.0/24 erreich=
t werden.
- Nach der Konfiguration der VPN-Verbindung schl=C3=A4gt dies jedoch fehl=
. Es kann nur das Netz 192.168.66.0/24 =C3=BCber die VPN-Verbindung erreich=
t werden.
Vorgehensweisen:=
1. "Ping" und "Tracert" im lokalen Netzwerk des aufbauenden Rout=
ers (Initiator):
1.1 Aus dem lokalen Netzwerk heraus kann mit einem Ping auf eine IP-Adre=
sse im Netzwerk auf der Gegenseite =C3=BCberpr=C3=BCft werden, ob dieses er=
reicht werden kann.
In diesem Beispiel ist der LANCOM Router auf der Gegenseite im Netz 192.=
168.67.0/24 unter der Adresse 192.168.67.1 nicht mit einem PING erreichbar.=
1.2 Ein "Tracert" auf die Adresse 192.168.67.1 zeigt, d=
ass in der Routenverfolgung nur der eigene (aufbauende) Router erre=
icht werden kann.
2. IP-Router-Trace bei aufbauendem Router (Initiator) durchf=C3=
=BChren:
2.1 Wenn beim aufbauenden Router ein IP-Router Trace auf die Adr=
esse 192.168.67.1 durchgef=C3=BChrt wird, ist zu sehen, dass IP-Pakete =C3=BCber das WAN herausgesendet werden.
Die Echo Requests bleiben von der Gegenseite jedoch unbeantworte=
t. Es ist kein "echo reply" zu sehen.
3. VPN-Packet Trace beim Initiator-Router durchf=C3=BChren:
3.1 In einem VPN-Packet Trace auf die Adresse 192.168.67.1 kann man dann erkennen, dass etwas mit den SA's (Netzbeziehungen) der V=
PN-Verbindung nicht in Ordnung ist
(Meldung "no sa available").
4. "show vpn" auf Initiator- und Responder-Router durchf=C3=BChr=
en:
Diese Vorgehensweise emp=
fiehlt sich auch, wenn auf beiden Seiten jeweils nur ein lo=
kales Netz besteht und die Netze nicht erreicht werden k=C3=B6nnen=
.
4.1 Ein "show vpn" in der Kommandozeile de=
s Initiator-Routers zeigt eindeutig, das auf diesem 2 SAs f=C3=BCr=
diese VPN-Verbindung bestehen:
- SA 1: 192.168.50.0/24 <-> 192.168.67.0/24&n=
bsp;
- SA 2: 192.168.50.0/24 <-> 192.168.66.0/24
4.2 Ein "show vpn" in der Kommandozeile des Responder-Routers zeigt jedoch, das auf diesem lediglich 1 SA f=C3=BCr diese V=
PN-Verbindung besteht:
- SA 1: 192.168.50.0/24 <-> 192.168.66.0/24
5. Wie kann das Problem beseitigt werden?