Beschreibung:

Dieser Troubleshooting Guide zeigt, welche Möglichkeiten zur Fehlersuche durchgeführt werden können, wenn ein weiteres lokales Netzwerk über eine aufgebaute VPN-Verbindung nicht erreichbar ist.



Szenario:

  • Neben dem lokalen Netzwerk 192.168.66.0/24 soll auf der Gegenseite ein weiteres lokales Netz mit dem Adressbereich 192.168.67.0/24 erreicht werden.
  • Nach der Konfiguration der VPN-Verbindung schlägt dies jedoch fehl. Es kann nur das Netz 192.168.66.0/24 über die VPN-Verbindung erreicht werden.




Vorgehensweisen:

1. "Ping" und "Tracert" im lokalen Netzwerk des aufbauenden Routers (Initiator):

1.1 Aus dem lokalen Netzwerk heraus kann mit einem Ping auf eine IP-Adresse im Netzwerk auf der Gegenseite überprüft werden, ob dieses erreicht werden kann.

In diesem Beispiel ist der LANCOM Router auf der Gegenseite im Netz 192.168.67.0/24 unter der Adresse 192.168.67.1 nicht mit einem PING erreichbar.

1.2 Ein "Tracert" auf die Adresse 192.168.67.1 zeigt, dass in der Routenverfolgung nur der eigene (aufbauende) Router erreicht werden kann.



2. IP-Router-Trace bei aufbauendem Router (Initiator) durchführen:

2.1 Wenn beim aufbauenden Router ein IP-Router Trace auf die Adresse 192.168.67.1 durchgeführt wird, ist zu sehen, dass IP-Pakete über das WAN herausgesendet werden.

Die Echo Requests bleiben von der Gegenseite jedoch unbeantwortet. Es ist kein "echo reply" zu sehen.





3. VPN-Packet Trace beim Initiator-Router durchführen:

3.1 In einem VPN-Packet Trace auf die Adresse 192.168.67.1 kann man dann erkennen, dass etwas mit den SA's (Netzbeziehungen) der VPN-Verbindung nicht in Ordnung ist
(Meldung "no sa available").





4. "show vpn" auf Initiator- und Responder-Router durchführen:

Diese Vorgehensweise empfiehlt sich auch, wenn auf beiden Seiten jeweils nur ein lokales Netz besteht und die Netze nicht erreicht werden können .

4.1 Ein "show vpn" in der Kommandozeile des Initiator-Routers zeigt eindeutig, das auf diesem 2 SAs für diese VPN-Verbindung bestehen:

  • SA 1: 192.168.50.0/24 <-> 192.168.67.0/24 
  • SA 2: 192.168.50.0/24 <-> 192.168.66.0/24

Mit einem " show vpn" werden alle aufgebauten SAs angezeigt. Man kann auch a uf eine bestimmte Gegenstelle (VPN-Verbindung) filtern , indem man den Befehl "show vpn @ <Name der VPN-Verbindung>" eingibt.

4.2 Ein "show vpn" in der Kommandozeile des Responder-Routers zeigt jedoch, das auf diesem lediglich 1 SA für diese VPN-Verbindung besteht:

  • SA 1: 192.168.50.0/24 <-> 192.168.66.0/24



5. Wie kann das Problem beseitigt werden?