Site to Site UDM <-> Lancom - kein ping möglich

Es gibt 3 Antworten in diesem Thema, welches 393 mal aufgerufen wurde. Der letzte Beitrag () ist von xpapa.

  • Hallo liebes Forum,


    auch mit viel suchen habe ich leider keine Lösung gefunden :frowning_face:


    Also zu dem was geht:

    Tunnel zwischen der UDM und dem Lancom steht (laut Webui und auch laut Console):


    ipsec statusall

    65f5a97dd8ca701d62714b3e: X.x.x.x...X.x.x.x IKEv2, dpddelay=30s

    65f5a97dd8ca701d62714b3e: local: [dyndns-name-local] uses pre-shared key authentication

    65f5a97dd8ca701d62714b3e: remote: [dyndns-name-remote] uses pre-shared key authentication

    65f5a97dd8ca701d62714b3e: child: 0.0.0.0/0 === 0.0.0.0/0 TUNNEL, dpdaction=restart

    Security Associations (1 up, 0 connecting):

    65f5a97dd8ca701d62714b3e[21]: ESTABLISHED 3 hours ago, X.x.x.x[dyndns-name-local]...X.x.x.x[dyndns-name-remote]

    65f5a97dd8ca701d62714b3e[21]: IKEv2 SPIs: 4ff8fb7350ba9abb_i* 36d8c27d4b6b68e5_r, pre-shared key reauthentication in 4 hours

    65f5a97dd8ca701d62714b3e[21]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048

    65f5a97dd8ca701d62714b3e{28}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: ce215d7e_i 494b0fdd_o

    65f5a97dd8ca701d62714b3e{28}: AES_CBC_256/HMAC_SHA2_256_128/MODP_2048, 0 bytes_i, 0 bytes_o, rekeying in 31 minutes

    65f5a97dd8ca701d62714b3e{28}: 0.0.0.0/0 === 0.0.0.0/0


    Aber egal welche Firewall-Regel ich versuche zu erstellen, ich bekomme keinen ping oder anderes durch den Tunnel.


    Wenn ich versuche zu pingen sehe ich, dass Pakete wohl raus gehen:

    65f5a97dd8ca701d62714b3e{28}: AES_CBC_256/HMAC_SHA2_256_128/MODP_2048, 0 bytes_i, 180 bytes_o (3 pkts, 0s ago), rekeying in 27 minutes
    aber nichts zurück kommt.


    Firewall am Lancom meldet nicht, dass Pakete geblockt etc werden.


    Hat jemand einen schnellen Einfall?

  • Also es scheint auf der Seite der UDM verloren zu gehen, im Lancom Debug Log sehe ich das ping Paket und die Firewall lässt es auch durch.


    Wie erstellt man eine Regel eingehend erlaubt für die Verbindung? bzw vom welchem Type? Normal sollte es ja LAN-In sein oder ist es Internet Local ?


    habe da schon einiges durch getestet aber mag nicht, habe auch die Regeln auf der Console geprüft .. landen in den iptables .... bin nun wirklich etwas überfragt ?!?

  • So mal wieder Zeit gehabt, weiter zu suchen...

    Ping geht raus:

    18:03:05.036197 IP 10.0.9.221 > 192.168.0.1: ICMP echo request, id 1, seq 123, length 40


    Lancom antwortet:

    [VPN-Packet] 2024/03/24 18:02:05,243 Devicetime: 2024/03/24 18:02:04,402 [#Loopback (1)]

    ICMP (1) packet, scope global, routing tag 0, thread 27 IPV4/0:

    for send on C0100S04: 192.168.0.1->10.0.9.221 60

    Internet Protocol Version 4

    Header length: 20

    Total length: 60

    Payload length: 40

    DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)

    Identification: 0x8759

    Flags: 0x0000

    Fragment offset: 0

    Time to live: 64

    Protocol: ICMP (1)

    Header checksum: 0x1ee2

    Source: 192.168.0.1

    Destination: 10.0.9.221

    Internet Control Message Protocol

    Type: Echo (ping) reply (0)

    Code: 0

    Checksum: 0x54ec

    Identifier: 1

    Sequence number: 111


    Diese Anwort kommt aber an der UDM nicht an, ich sehe sie im tcpdump des vti nicht.


    Also klemmt es am Ende wohl an der Firewall der UDM -> aber da kann ich einstellen was ich will .. wird nix ...

    Nun meine Frage ... um weiter forschen zu können, wie kann ich sehen, wo das Paket verloren geht im Dschungel der UDM Device bzw ich denke an der FW .. aber da sehe ich auch kein Drop-Log?


    Jemand einen Einfall? Mir lässt es keine Ruhe, dass ich einen Lancom extra betreibe, um den VPN-Tunnel zu betreiben und dann statische Routen über diesen brauche -.-


    Wäre für jede Hilfe dankebar.

  • So bin ein Stück weiter gekommen, aber geht immer noch nicht. Aber nun weiß ich wo es hängt. Alle eingehenden Packete am vti werden gedroppt:


    Every 0.5s: ifconfig vti64 Home: Sat Mar 30 08:35:10 2024


    vti64: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1419

    inet6 fe80::200:5efe:5cce:150 prefixlen 64 scopeid 0x20<link>

    tunnel txqueuelen 1000 (IPIP Tunnel)

    RX packets 0 bytes 0 (0.0 B)

    RX errors 692 dropped 692 overruns 0 frame 0

    TX packets 323 bytes 13888 (13.5 KiB)

    TX errors 1 dropped 0 overruns 0 carrier 1 collisions 0


    auf dem wan sehe ich auch nur ausgehenden esp Verkehr. DPD funktioniert aber (sehe ich im log aller 30sec)


    Hat jemand einen Einfall? Wie bekomme ich raus wer bzw die Packete verwirft? Irgendwie habe ich gerade keinen Einfall mehr -.-