IPSEC tunnel eine Seite mit NAT - probleme mit MTU ?

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

IPSEC tunnel eine Seite mit NAT - probleme mit MTU ?

Beitragvon nobody » Fr 11.11.2011 - 02:20

Ich musste gerade eine verbindung zwischen einem Draytek 2920 und einem 2950, sowie einem 2910 und 2900 so umstellen, dass die Seite des 2920 nun leider hinter einem NAT router liegt.

Erfreulicherweise tut das VPN trotzdem auf den ersten blick, jedoch genauer betrachtet gibt es ein problem mit dem zugriff auf einen webserver der im netz des 2920 steht.
Ich kann vom Netz des 2950 nicht mehr auf einen Webserver im netz des 2920 zugreifen. Letzlich passiert vom gefühl das gleiche, wie wenn die MTU zu gross wäre.

ich habe probiert was das größte paket wäre, das man ohne fragmentierung schicken kann: 1472 geht noch. Das ist in ordnung.
Ein ping mit einen größeren Menge geht auch, wenn man das DF bit nicht setzt. Somit sollte doch alles in ordnung sein. Und, der IPSEC-tunnel sollte doch alle pakete sowieso komplett in den Tunnel verpacken, und, wieder auspacken wenn ich richtig informiert bin.
Das IPSec traversal über nat das verpackt die die daten in UDP pakete und, auf der gegenseite werden die wieder ausgepackt.
Warum sollte, abgesehen von einem perfomance verlust dies zu paketverlusten führen ?

Ich kann auch mit telnet zu port 80 zu diesem webserver und bekomme ein connect und, auch eine antwort wenn ich was eintippe. Nur nicht, mit dem browser. (getestet: IE6, IE8, safari -Mac)

Weiterhin gibt es probleme mit warnungen wegen der Active-directory replikation (es konnte keine rpc verbindung hergestellt werden).

gibt man dem 2920 wieder seine öffentliche IP Adresse ist alles wieder in ordnung.

Also,
irgendetwas stimmt nicht.

Ist das Vigor/Draytek spezifisch oder gibt es hier ein allgemein bekanntes problem, und, was kann man da tun - denn es scheint in nächster zeit nicht so leicht, wieder ein öffentliche IP zu beschaffen.

Danke für Ideen.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

Re: IPSEC tunnel eine Seite mit NAT - probleme mit MTU ?

Beitragvon Petrus » Do 05.01.2012 - 09:32

Hallo Nooby, ich vermute, dass das am IPSec liegt, da du einen Router davor hast. Normalerweise darf IPSec nicht genattet werden, da dann die Header des Paketes verändert werden und die Gegenseite das Paket nicht mehr als authentisch ansieht.
Um Gewissheit zu haben, empfehle ich testweise eine Abänderung des VPN-Profiles auf PPTP.
Wenn das Problem damit weg ist, liegt es an meiner Vermutung.
Ist es weiterhin vorhanden, ist das ein anderes Problem....
TwoCom - www.2-com.de - Die aktuellen DrayTek-Produkte bei mir! DrayTek Vigor Router
Benutzeravatar
Petrus
Hardcore-Poster
 
Beiträge: 1146
Registriert: Fr 27.04.2001 - 13:57
Wohnort: Berlin


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste