thommy75
Goto Top

Internes LAN über VPN (SBS2003, ISA2004)

Kein Zugriff auf internes LAN über VPN (PPTP)

Hallo im Forum,

Möchte gern von unterwegs (eigenes Notebook oder ggf. Kunden-PC) auf mein LAN zugreifen. Dazu habe ich bereits meinen SBS2003 (Premium, R2) und den ISA2004 mittels Assistenten auf VPN-Einwahl (PPTP) konfiguriert.

Soweit funktioniert dies auch (VPN-Verbindung kommt zustande, PING und TRACERT mit IP oder Name auf Server geht), jedoch habe ich überhaupt keinen Zugriff auf das interne LAN (z.B. NAS, Drucker usw.).

DNS scheint ok zu sein, denn ein "PING [CLIENTNAME] gibt zumindest die richtige IP-Adresse zurück, der Ping selber geht aber schief...
Netzlaufwerke (z.B. vom NAS) können weder mit IP oder Name verbunden werden - lediglich die Freigaben vom Server gehen.
Habe bereits eine Regel im ISA erstellt: "Gesamter ausgehender Datenverkehr", "Von: VPN-Clients", "Zu: Intern" - ohne Erfolg. Eine Abfrage im ISA hat ebenfalls nichts Informatives gebracht.

Habe ich irgendwo etwas übersehen? Scheint, als blockiere irgendwas den kompletten Zugriff auf das interne LAN.
Des Weiteren ist mir aufgefallen, das ich in der Netzwerkumgebung keine Clients sehe, wenn ich mich mit meinem Notebook (das Mitglied der Domäne ist) per VPN auf meinen Server einwähle.

Gruss, thommy75

Content-ID: 135443

Url: https://administrator.de/forum/internes-lan-ueber-vpn-sbs2003-isa2004-135443.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

aqui
aqui 08.02.2010, aktualisiert am 18.10.2012 um 18:41:05 Uhr
Goto Top
Immer und immer wieder das gleiche....
  • Windows Firewall nicht angepasst an die IP des remoten Netzwerkes (Sharing Zugriff)
  • ICMP (Ping) nicht aktiviert am Endgerät (Haken bei Auf Echos antworten.. )
  • Dein VPN Server steht hinter einem Router. Wenn du also ein PC/Endgerät im Netz anpingst merkt der das der Ping mit einer Quell IP kommt die nicht aus dem lokalen Netzwerk kommt. Damit schickt er die Antwort dann an sein Standardgateway also dem Router und der schickts in Nirwana, da er vermutlich keine statische Route zum VPN Netz via next Hop Server IP Adresse hat.

Wenn du das alles beachtest funktioniert das VPN auf Anhieb. Mit einem VPN fähigen Router wären das 2 Mausklicks gewesen...
VPNs einrichten mit PPTP
thommy75
thommy75 08.02.2010 um 17:56:33 Uhr
Goto Top
Hallo aqui,

Immer und immer wieder das gleiche....
Dito.

Mit einem VPN fähigen Router wären das 2 Mausklicks gewesen...
Sorry, aber solche Tipps helfen meistens nicht weiter, ich habe (möchte) halt keinen VPN-Router, wenn ich bereits eine VPN-fähige Firewall mit dahinterstehendem Server habe...
Ausserdem ist meiner Ansicht nicht das VPN selbst das Problem (Verbindung steht ja), sondern vermute ich das Problem am ISA bzw. am SBS - irgendwas blockt die Verbindung zum internen LAN.

Trotzdem: Windows-Firewall und ICMP schliess ich jetzt mal aus, da neben normalen XP-Clients auch Netzwerk-Drucker und ein (Linux-)NAS betroffen sind - und da wäre es mir neu, wenn da eine Firewall drin wäre (bei meinen ist jedenfalls nix drin). D.h. ich kann via VPN auf kein Gerät innerhalb des internen SBS-LANs zugreifen - nur auf den Server!

Dein dritter Punkt stimmt mich nachdenklich: Auf den internen LAN-Clients ist kein Standard-Gateway eingetragen (Proxy über ISA) - hat das vielleicht was zu sagen? Eigentlich sollte der ISA ja richtig routen?

Gruss, thommy75
aqui
aqui 08.02.2010 um 19:22:26 Uhr
Goto Top
Kann ja nicht. Wenn dein VPN Client eine IP aus einem anderne Netz hat kann der angepingte Client ja gar keine Antwort zurückschicken.
Obwohl du ja alles ausschliessen kannst und fast alle Tips dir nicht helfen hast du zu der Konfig ja gar nichts gesagt face-sad
Was sagt also ein ipconfig auf dem VPN Client zur IP am VPN Adapter ??
Ggf. musst du also schon mit route add zielnetz maske Gateway das am Client nachtragen. All die Nachteile einer VPN Verbindung hinter einer NAT Firewall zu etablieren...ooops sorry, das hilft ja nicht weiter !
Was sagt ein Traceroute und/oder pathping ?? Wo endet der..?? Das Raten geht lustig weiter...
thommy75
thommy75 09.02.2010 um 11:28:46 Uhr
Goto Top
Hallo aqui,

Du hast ja recht, nur weis ich halt nicht, was für Deine Diagnose relevant ist - ich kann ja nicht sämtliche Konfigs und logs posten...
Aber hier mal für den Anfang die Interessantesten:

Ein ipconfig /all auf dem per VPN verbundenen Clients an einem fernen DSL-Anschluss:
Hostname. . . . . . . . . . . . . : notebook1
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : domäne.de

Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller
Physikalische Adresse . . . . . . : 00-22-64-77-8A-2A
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.179.20
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.179.1
DHCP-Server . . . . . . . . . . . : 192.168.179.1
DNS-Server. . . . . . . . . . . . : 192.168.179.1
Lease erhalten. . . . . . . . . . : Dienstag, 9. Februar 2010 10:20:03
Lease läuft ab. . . . . . . . . . : Freitag, 19. Februar 2010 10:20:03

PPP-Adapter VPN-Verbindung zu TIGER3:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.1.0.12
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server. . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server. . . . . . . : 10.0.0.1

Ein Ping zum Server sieht so aus:
Ping tiger3.domäne.de [10.0.0.1] mit 32 Bytes Daten:
Antwort von 10.0.0.1: Bytes=32 Zeit=102ms TTL=128

Ein Ping z.B. zum NAS endet so:
Ping jaguar.domäne.de [10.0.0.30] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.

Tracert zum Server:
Routenverfolgung zu tiger3.domäne.de [10.0.0.1] über maximal 30 Abschnitte:
1 102 ms 101 ms 101 ms tiger3.domäne.de [10.0.0.1]
Ablaufverfolgung beendet.

Tracert z.B. zum NAS endet so:
Routenverfolgung zu jaguar.domäne.de [10.0.0.30] über maximal 30 Abschnitte:
1 102 ms 101 ms 102 ms 10.1.0.10
2 * * * Zeitberschreitung der Anforderung.
usw.

Übrigens: Ein nslookup zum Server (tiger3.domäne.de) bringt das hier (???):
Server: fritz.fon.box
Address: 192.168.179.1
*** tiger3.domäne.de wurde von fritz.fon.box nicht gefunden: Non existent domain

Und zum Thema Standard-Gateway im internen LAN noch ein ipconfig innerhalb der Domäne:
Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : notebook1
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : domäne.de + domäne.de

Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: domäne.de
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller
Physikalische Adresse . . . . . . : 00-22-64-77-8A-2A
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 10.0.0.23
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 10.0.0.1
DNS-Server. . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server. . . . . . . : 10.0.0.1
Lease erhalten. . . . . . . . . . : Dienstag, 9. Februar 2010 10:43:55
Lease läuft ab. . . . . . . . . . : Dienstag, 19. Januar 2038 04:14:07

Möchtest Du sonst noch Infos? Bitte posten!

Gruss, thommy75
aqui
aqui 11.02.2010 um 12:54:21 Uhr
Goto Top
Ein route print auf dem Client wäre noch hilfreich !
Dort kannst du genau sehen wie sich der Client routingtechnisch verhält bzw. für welche Subnetze er Routing Einträge hat !!
thommy75
thommy75 11.02.2010 um 13:39:48 Uhr
Goto Top
Hallo aqui,

Vielen Dank für die Antwort.
Ok, hier mal diverse routes auf dem Client...

Innerhalb der Domäne:
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
10.0.0.0 255.255.255.0 10.0.0.23 10.0.0.23 20
10.0.0.23 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.0.23 10.0.0.23 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.23 10.0.0.23 20
255.255.255.255 255.255.255.255 10.0.0.23 10.0.0.23 1
Ständige Routen:
Keine

Extern ohne VPN-Verbindung:
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.179.0 255.255.255.0 192.168.179.20 192.168.179.20 20
192.168.179.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.179.255 255.255.255.255 192.168.179.20 192.168.179.20 20
224.0.0.0 240.0.0.0 192.168.179.20 192.168.179.20 20
255.255.255.255 255.255.255.255 192.168.179.20 192.168.179.20 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine

Extern mit VPN-Verbindung:
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 22 64 77 8a 2a ...... Marvell Yukon 88E8042 PCI-E Fast Ethernet Controller - Paketplaner-Miniport
0x20004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.20 20
10.0.0.0 255.0.0.0 10.1.0.11 10.1.0.11 1
10.1.0.11 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.1.0.11 10.1.0.11 50
80.152.182.215 255.255.255.255 192.168.179.1 192.168.179.20 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.179.0 255.255.255.0 192.168.179.20 192.168.179.20 20
192.168.179.20 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.179.255 255.255.255.255 192.168.179.20 192.168.179.20 20
224.0.0.0 240.0.0.0 10.1.0.11 10.1.0.11 50
224.0.0.0 240.0.0.0 192.168.179.20 192.168.179.20 20
255.255.255.255 255.255.255.255 10.1.0.11 10.1.0.11 1
255.255.255.255 255.255.255.255 192.168.179.20 192.168.179.20 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine

Hoffe, das hilft weiter bei meinem Problem.
Bitte bei weiteren Fragen posten.

Gruss, thommy75
aqui
aqui 11.02.2010, aktualisiert am 18.10.2012 um 18:41:07 Uhr
Goto Top
OK das sieht soweit ganz OK aus. Nur mal dumm nachgefragt wegen des klassischen Anfängerfehlers in diesem Umfeld, da du bei VPN Zugriff ja nicht mehr die internen Resourcen nutzen kannst:
Den Haken: "Standardgateway für das remote Netzwerk verwenden !" hast du entfernt am Client, oder ?
Nachzulesen hier:
VPNs einrichten mit PPTP
thommy75
thommy75 11.02.2010 um 19:28:12 Uhr
Goto Top
Beides schon probiert - mit und ohne Haken - , aber keine Änderung...

Aber da mich die Sache einfach nicht in Ruhe lässt, habe ich meinen Server nochmal durchforstet und im ISA auf folgendes gestossen (habe ich schon früher bemerkt und einen Beitrag verfasst, aber wieder vergessen da bisher alles funktioniert hat - bis jetzt mit der VPN-Geschichte):

Der ISA Server hat Routen über den Netzwerkadapter extern ermittelt, die mit dem Netzwerkelement, dem dieser Netzwerkadapter angehört, nicht übereinstimmen.
Wenn Netzwerke richtig konfiguriert sind, müssen die IP-Adressbereiche jedes Netzwerkelements auf Arrayebene alle IP-Adressen enthalten, die durch dessen Netzwerkadapter entsprechend der Definition in der Routingtabelle routbar sind.
Andernfalls werden gültige Pakete möglicherweise verworfen, weil sie gespooft sind. Die folgenden Bereiche sind in den IP-Adressbereichen des Netzwerks enthalten, können jedoch nicht über einen der Netzwerkadapter weitergeleitet werden: 10.255.255.255-10.255.255.255;.
Beachten Sie, dass dieses Ereignis u. U. einmal generiert wird, wenn Sie eine Route hinzugefügt haben, ein Remotestandortnetzwerk erstellen oder den Netzwerklastenausgleich konfigurieren. Sie können diese Meldung ignorieren, wenn sie nicht wiederholt auftritt.

Diese Meldung wird in das Ereignisprotokoll geschrieben, wenn z.B. ISA oder der ganze Server neu gestartet wird...

Hat das vielleicht was damit zu tun?

Hier mal noch Statics vom Server:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : tiger3
Primäres DNS-Suffix . . . . . . . : domäne.de
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : domäne.de

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.1.0.10
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Ethernet-Adapter intern:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Physikalische Adresse . . . . . . : 00-22-19-BA-C2-10
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.0.1
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 10.0.0.1
Primärer WINS-Server . . . . . . : 10.0.0.1

Ethernet-Adapter extern:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-22-19-BA-C2-0F
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.178.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1
DNS-Server . . . . . . . . . . . : 10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Hier noch route print vom Server:
IPv4-Routentabelle
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 22 19 ba c2 10 ...... Broadcom NetXtreme Gigabit Ethernet #2
0x10004 ...00 22 19 ba c2 0f ...... Broadcom NetXtreme Gigabit Ethernet
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.2 1
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 10
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 10
10.1.0.10 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.2 192.168.178.2 20
192.168.178.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.2 192.168.178.2 20
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 10
224.0.0.0 240.0.0.0 192.168.178.2 192.168.178.2 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 192.168.178.2 192.168.178.2 1
Standardgateway: 192.168.178.1
Ständige Routen:
Keine

Noch eine Idee?

Gruss, thommy75
aqui
aqui 12.02.2010 um 15:26:01 Uhr
Goto Top
Könnte sein. Normal ist dieser Fehler jedenfalls nicht. Er deutet darauf hin das du ggf. irgendwo einen Masken Mismatch im 10er Netz hast. Er meckert ja an das die Einstellungen nicht mit dem Vorhanden Netz am Adapter übereinstimmen.
Das solltest du also besser nochmal genau prüfen !!
Irgendwo ist da ein Zahlendreher oder eine falsche Netzwerkmaske !