joeyschweiz
Goto Top

IPsec VPN Tunnel - Tunnel ok aber div. Clients nicht sichtbar?

Hallo Zusammen,

ich stehe gerade vor einem Rätsel.
Um ein Homeofficeplatz mit dem Firmennetzwerk zu verbinden wurde eine IPsec fähige Firewall installiert und vom Client wird mittels VPN Client die Verbindung hergestellt.

Der Tunnel vom ZyXel VPN Client zur ZyWall USG20 wird aufgebaut.
Die ZyWall kann vom Client angepingt werden
Ein AP im Firmennetz kann angepingt werden.


Was nicht möglich ist, Clients oder ein NAS zu sehen bzw. anzupingen.
Im lokalen Netz kann ich jeden Client, Firewall, NAS, AP etc anpingen und ggfls. verbinden. Vom Client über den Tunnel ist es nicht möglich.

Ich kann vom Remotestandort auch über https auf Firewall oder AP zugreifen. Aber die NAS oder auch andere CLients sind nicht sichtbar.
Tracert auf Firewall, AP oder alles andere gibt keine Ergebnisse bzw. "Zeitüberschreitung bei der Anforderung"


Hat jemand einen Tipp für mich, irgendwo scheinen bestimmte "Protokolle" nicht zu funktionieren. Auch Firewall ausschalten brachte keine Änderung.


Danke für jede Unterstützung... so etwas habe ich noch nie gehabt ;(


Gruss
Joey

Content-ID: 276365

Url: https://administrator.de/contentid/276365

Ausgedruckt am: 08.11.2024 um 07:11 Uhr

aqui
aqui 03.07.2015 aktualisiert um 09:27:58 Uhr
Goto Top
Was nicht möglich ist, Clients oder ein NAS zu sehen bzw. anzupingen.
irgendwo scheinen bestimmte "Protokolle" nicht zu funktionieren
Bisen laienhaft und oberflächlich beschrieben...trifft aber den Kern denne s geht um ICMP.
Das ist also völlig normal. Ping ist ICMP Protokoll und wenn deine Clients Winblows Clients sind ist das dort pe se deaktiviert in der lokalen Firewall.
Um das wieder zu aktivieren guckst du hier:
http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Zweitens blockt die lokale Firewall zusätzlich dort ALLES was NICHT mit der lokalen IP Adresse reinkommt, sprich damit auch alle deine VPN Pakete die ja mit einer fremdem Absender IP dort ankommen.
Fixe das beides, dann klappt es auch.
Gleiches gilt auch für das NAS.
Zusätzlich ist es möglich das Clients und NAS schlicht kein Default Gateway definiert haben oder das auf ein anderes Gateway zeigt als die VPN Firewall und dort die Routen fehlen auch dann schlägt das fehl.
Wie immer sind dann hier Traceroute und/oder Pathping deine besten Freunde zum Troubleshooting !!
Zuallerletzt solltest du auch noch die Firewall regeln für den Tunnel kontrollieren ob dort ICMP usw. erlaubt ist !

Das das NAS nicht "sichtbar" ist ist auch klar, denn deine VPN Verbindung ist eine geroutete Verbindung. SMB Broadcasts mit Naming Services werden dann protokollspezifisch NICHT geforwardet wenn du ohne DNS arebiten solltest. Leider schilderst du uns das hie rnicht und zwingst uns so zum Raten face-sad Etwas mehr Details und weniger Oberflächlichkeit wären also sehr hilfreich für einen zielführende Unterstützung hier !!
so etwas habe ich noch nie gehabt
Na ja, kann man dir nicht wirklich glauben so dilettantisch wie du daran gehst....sorry.
joeyschweiz
joeyschweiz 03.07.2015 um 10:19:42 Uhr
Goto Top
Hallo Aqui,

ja das ist sicher nicht im Profistil geschrieben und es ist wohl auch Oberflächlich. Danke das Du trotzdem die Zeit genommen hast zu antworten. Ich bin kein Experte für Firewall und Routing, eher rein gezwängt worden das zu realisieren. Ich muss aber auch kein Profi sein um einen doch relativ einfach Tunnel zu realisieren. Das habe ich in Vergangenheit einige Male aber nie bin ich auf vergleichbare Probleme gestossen.


Im lokalen LAN kann ich die Clients pingen - sollte das dann nicht auch unmöglich sein wenn es die lokale Firewall verhindert?

Ich werde jetzt VorOrt gehen und Deine Ratschläge durcharbeiten.


Gruss
joey
aqui
Lösung aqui 03.07.2015 aktualisiert um 11:55:59 Uhr
Goto Top
Im lokalen LAN kann ich die Clients pingen - sollte das dann nicht auch unmöglich sein wenn es die lokale Firewall verhindert?
Einfach oben mal lesen.... Es lauern 2 Fallen:
1.) Deaktiviertes ICMP (Ping)
2.) Firewall blockt externe IPs
Das du lokal pingen kannst zeigt das ICMP vermutlich aktiviert wurde aber dennoch bleiben externe IPs dann außen vor und bei einem VPN ist das ja der Fall !
2 weitere Fallen:
3.) Fehlende oder falsche Firewall Regeln für den Tunnel
4.) fehlendes oder falsches Gateway auf den Endgeräten
musst du dann noch untersuchen.
joeyschweiz
joeyschweiz 03.07.2015 um 11:57:10 Uhr
Goto Top
Problem behoben.

Die NAS hatte das falsche Gateway.
Client Firewall hat die ICMP geblogged.

Danke für die Tipps.


Viele Grüsse
Joey
aqui
aqui 03.07.2015 um 15:42:45 Uhr
Goto Top
Wie immer.... typischer Freitags PEBKAC Fehler face-wink