Du hast recht, laut Wireshark geht der Ping durch und sogar wieder zurück.
Hier das Protokoll:
Code:
No. Time Source Destination Protocol Info
1 0.000000000 192.168.4.21 195.50.140.178 DNS Standard query A test.test.org
2 0.045366000 195.50.140.178 192.168.4.21 DNS Standard query response A xxx.xxx.xxx.xxx
3 0.051782000 192.168.4.21 xxx.xxx.xxx.xxx IP Fragmented IP protocol (proto=UDP 0x11, off=0) [Reassembled in #5]
4 0.051895000 192.168.4.21 xxx.xxx.xxx.xxx IP Fragmented IP protocol (proto=UDP 0x11, off=1480) [Reassembled in #5]
5 0.051978000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Identity Protection (Main Mode)
6 0.318704000 xxx.xxx.xxx.xxx 192.168.4.21 ISAKMP Identity Protection (Main Mode)
7 0.321210000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Identity Protection (Main Mode)
8 0.642135000 xxx.xxx.xxx.xxx 192.168.4.21 ISAKMP Identity Protection (Main Mode)
9 0.644574000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Identity Protection (Main Mode)
10 0.650715000 xxx.xxx.xxx.xxx 192.168.4.21 ISAKMP Identity Protection (Main Mode)
11 0.651175000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Informational
12 0.654660000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Quick Mode
13 0.663614000 xxx.xxx.xxx.xxx 192.168.4.21 ISAKMP Quick Mode
14 0.664228000 192.168.4.21 xxx.xxx.xxx.xxx ISAKMP Quick Mode
15 4.998746000 Intel_9d:0a:e9 ZyxelCom_8e:ac:ec ARP Who has 192.168.4.1? Tell 192.168.4.21
16 5.000644000 ZyxelCom_8e:ac:ec Intel_9d:0a:e9 ARP 192.168.4.1 is at 00:19:22:8e:15:45
17 9.440687000 192.168.4.1 192.168.4.255 RIPv1 Response
18 15.441148000 192.168.4.1 192.168.5.9 TCP http > 49685 [RST] Seq=1 Win=5360 Len=0
19 20.331952000 192.168.4.21 xxx.xxx.xxx.xxx ESP ESP (SPI=0xf1134490)
20 20.337875000 xxx.xxx.xxx.xxx 192.168.4.21 ESP ESP (SPI=0x0e0f01de)
21 20.337875000 192.168.4.1 192.168.4.9 ICMP Echo (ping) reply
22 21.345838000 192.168.4.21 xxx.xxx.xxx.xxx ESP ESP (SPI=0xf1134490)
23 21.351116000 xxx.xxx.xxx.xxx 192.168.4.21 ESP ESP (SPI=0x0e0f01de)
Die 192.168.4.21 kommt übrigens daher, dass ich gerade im Zielnetz bin und praktisch von innerhalb eine VPN-Verbindung aufbaue. Aber auch von außerhalb geht es nicht, mit genau den gleichen Symptomen.
xxx.xxx.xxx.xxx ist die öffentliche statische IP unseres Firmennetzwerks.
Falls es von Interesse ist, hier die Einstellungen an der ZyWALL und am Shrew Soft Client (nein, ich erwarte nicht, dass jemand die Einstellungen durchgeht, aber vielleicht helfen sie ja dem einen oder anderen):
### AN DER ZYWALL ###
*** Property ***
[ ] Nailed-up
[x] Allow NetBIOS broadcast Traffic Through IPSec Tunnel
[ ] Check IPSec Tunnel Connectivity
*** Virtual Addres Mapping Rule ***
[ ] Active
*** Local Network ***
Adress Type:
Subnet Address
Starting IP Address:
192.168.4.0
Ending IP Address / Subnet Mask:
255.255.255.0
Local Port:
0 to
0
*** Remote Network ***
Address Type:
Single Address
Starting IP Address:
0.0.0.0
Local Port:
0 to
0
*** IPSec Proposal ***
Encapsulation Mode:
Tunnel
Active Protocol:
ESP
Encryption Algorithm:
AES128
Authentication Algorithm:
SHA1
SA Life Time (Seconds):
28800
Perfect Forward Secrecy (PFS):
None
[x] Enable Replay Detection
[x] Enable Multiple Proposals
### SHREW SOFT VPN CLIENT ###
*** General ***
Host Name or IP Address:
...
Port:
500
Auto Configuration:
disabled
Address Method:
Use a virtual adapter and assigned address
MTU:
1380
Address:
192.168.4.9
Netmask:
255.255.255.0
*** Client ***
NAT Traversal:
disable
IKE Fragmentation:
enable
Maximum packet size:
540 Bytes
[x] Enable Dead Peer Detection
[x] Enable ISAKMP Failure Notifications
[...]
*** Phase 2 ***
Transform Algorithm:
auto
HMAC Algorithm:
auto
PFS Exchange:
disabled
Compress Algorithm:
disabled
Key Life Time limit:
28800 Secs
Key Life Data limit:
0 Kbytes
*** Policy ***
[x] Maintain Persistent Security Associations
[ ] Obtain Topology Automatically or Tunnel All
Remote Network Resource:
Include 192.168.4.0 / 255.255.255.0