thundernail
Goto Top

Kann im VPN keine PCs pingen.

VPN

Hallo Zusammen

Mein Problem ist, dass ich eine VPN (pptp) Verbindung Problemlos herstellen kann, aber nichts im Netzwerk erreiche. Kein Ping geht, auch kein DNS werden aufgelöst. Es geht eigentlich gar nichts, ausser das die Verbindung steht, und im VPN Server wird die Verbindung auch angezeigt. Auch mit dem Explorer sind die PCs nicht erreichbahr, somit wird es nicht daran liegen, dass Ping deaktiviert ist.

Mein Netz in der Firma:

Router:

Es ist ein Cisco 871 ADSL Router welcher per Telnet konfiguriert wird.
Alle erforderlichen Ports sind freigeschaltet. 1723 TCP und Protokoll 47 GRE.
Der Router leitet die VPN an unseren VPN Server weiter. Er ist selber kein VPN Server.
Der Router ist mit einder Statischen IP erreichbahr. (also kein dyndns oder ändliches)

Der VPN Server ist ein Windows Server 2008 Standard, welcher auch als Domaincontroller und Exchange gebraucht wird.
Der Client wählt sich mit einem Active directory Benutzer ein, welcher auch die Rechte für VPN verbindung beckommen hat.
Im Server 2008 ist das VPN als "Eingehende Verbindung" acktiviert. (Nicht als Routing Ras Dienst) Wobei ich die Eingehende Verbindung auch mal durch Routing Ras ersetzt habe. Auch so, konnte ich nichts anpingen oder erreichen.
Der Windows eigene Firewall ist deaktiviert. Im Client und Server.

Netzwerk:

Client hat in seinem Netzt die IP:192.168.0.x und subnett 255.255.255.0 Unser Netzt in der Firma hat die IP:192.168.2.x und subnett 255.255.255.0 somit ist der Client Lokal nicht im gleichen Netzt wie Unser Firmennetz. Dies ist ja wichtig, damit alles beim Client auch durch den Gateway geroutet wird. Client hat win xp (auch mit Vista probiert) jegliche Optionen beim Client habe ich ausprobiert. Auch Gateway IP usw von hand eingetragen usw.

Wen der Client die Verbindung hergestellt hat, sind alle IPs Richtig eingetragen.

der VPN Server beckommt folgendes.

Seine IP. Die IP wird von unseren DHCP Server vergeben und der Client wird im DHCP und DNS Server eingetragen. Die IP ist von unserem Firmen Netzt IP:192.168.2.x
Die Subnet
unser Gateway
unser DNS Server

Leider weiss ich nicht warum ich nichts im Firmen Netz erreichen kann. Eventuel eine Einstellung im VPN vom Windows Server 2008

Ich danke euch vielmals für eure Antworten

gruss

Content-ID: 121889

Url: https://administrator.de/forum/kann-im-vpn-keine-pcs-pingen-121889.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

joergheyne
joergheyne 03.08.2009 um 12:36:24 Uhr
Goto Top
Hallo thundernail,

ich denke mal, das dieses das Problem ist:

http://wiki.openvpn.eu/index.php/Trouble_Routing

LG Jörg
aqui
aqui 03.08.2009, aktualisiert am 18.10.2012 um 18:38:55 Uhr
Goto Top
Warum machst du denn den Cisco Router nicht zum VPN Server ???

VPNs einrichten mit PPTP

Technisch wäre das doch die beste Lösung...?!!
Dein problem ist wie immer in diesem Falle vermutlich ein Firewall Problem.

Da du aus einem fremdnetz kommst blockt die Firewall alles diese Pakete denn sie lässt immer nur das lokale Netz zu !
Du musst hier also die Firewall im Bereich anpassen auf das remote Netz oder die Scheinentor Lösung anklicken und alles freigeben.

Ferner ist vermutlich ICMP deaktiviert in deiner Firewall. Dazu musst du in den erweiterten Eigenschaften auf den Button ICMP klicken und dort den Haken bei "Auf eingehende Echo Anforderungen antworten" setzen !!

Ein weiteres Problem wir deine Routing sein. !!
Alle PCs inkl. des lokalen VPN Servers haben vermutlich den lokalen Router als default Gateway eingetragen.
Daher werden alle Pakete, auch die deines VPNs an den Router geschickt der es dann ins Internet ins Nirwana routet mit genau dem Effekt den du siehst...keine Antwort.

Der VPN Server ist aber der lokale Router für das VPN folglich muss der Router (sofern er denn default Gateway ist) eine statische Route auf das VPN haben mit dem VPN Server als Gateway !! Bei einen Cisco ist das:
ip route 192.168.2.0 255.255.255.0 182.168.1.<Host_Adresse_Server>

Damit sollte das VPN dann sauber funktionieren.
Wie gesagt all diese sinnlose Frickelei kannst du dir sparen wenn du den Cisco zum VPN Server machst, das ist mit 5 Konfigzeilen geschehen.

Die allerbeste Lösung ist eine LAN zu LAN Kopplung wenn du 2 Ciscos hast.
Wie man das realisiert kannst du hier nachlesen:

Vernetzung zweier Standorte mit Cisco 876 Router
thundernail
thundernail 03.08.2009 um 17:12:54 Uhr
Goto Top
Hallo Zusammen

Ich danke euch vielmals.

@ joergheyne dein Artikel bezieht sich auf Open VPN ich verwende aber die windows Routing Ras funktion.
Jedoch könnte der Registry eintrag helfen. HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters

der war bei mir auf 0 also nicht aktiviert. jedoch wird diese Option durch Routing Ras auch aktiviert. (jedoch nicht in der Registry) Leider kann ich den Server nicht einfach so neu starten, da es eine Produktiver Server ist. Ich muss dies einmal in einer Nacht versuchen. Wahrscheindlich kann ich ihn Dienstag nachts neu Starten.
Interessant ist auch die ganze "Route vom LAN-Netzwerk zum VPN-Netzwerk" Thematik und könnte mein Problem sein, jedoch blick ich da noch nicht ganz durch. Wo ich dies am besten einstelle. (eventuel im Routing Ras? )

@aqui

Leider kann ich den Router nicht als VPN Server nutzen.
Da der Router durch die Swisscom konfiguriert wird. Ich komme aus der Schweiz. Bei uns ist Swisscom der Internetserviceprovider. (Wie bei euch wahrscheindlich T-Online oder so) bei uns gibt es leider kein Business Abo, bei welchem ich selber die Firewall konfigurieren darf. Auch kann ich kein eigener Router/Firewall verwenden. Ich bin leider gezwungen diesen Service von Swisscom zu verwenden. Auch alle anderen Anbieter in der Schweiz handhaben dies leider so. Mann kann zwar den Router als VPN Server benutzern, dann ist dies aber mit Sehr sehr viel kosten verbunden. Swisscom macht dies nur durch sehr hohe monatlichen Gebühren. Durch den eigenen VPN Server spare ich die grossen Kosten und kann auch noch die Active directory Benutzer verwenden. Leider weiss ich auch nicht genau, wass im Router alles Konfiguriert ist, da ich die Kinfiguration nicht einsehen kann. Dies kann nur Swisscom. (Ihr kennt dies sicher: Hotline von Grosfirmen, wo man nie zu einer Person kommt, welche etwas von der Materie versteht.) Es hat lange gedauert, bis ich überhaupt eine VPN Verbindung herstellen konnte. Ich glaube, dass ICMP aktiviert ist. Den vorher konnte ich überhaupt nicht verbinden. Ich Frage nochmals nach, ob dies aktiviert ist. Dies kan jedoch 3 bis 4 Tage dauern, bis ich eine Antwort von Swisscom habe.

Es ist richtig, dass bei unserem Domain Controller und somit bei allen Clients der default Gateway der Cisco Router/Firewall von Swisscom ist.

Kann ich das: ip route 192.168.2.0 255.255.255.0 182.168.1.<Host_Adresse_Server>
auch irgenwie mit der Routing Ras Konsole Bewerkstelligen, damit ich nichts beim Router von Swisscome machen muss? Da ich da wahrscheindlich wieder Wochen lang warten muss bis dies so funktioniert wie es solte.
Es gibt bei Windows Routing Ras (Ras VPN) auch eine Option "IP Routing" Eventuel mit dem?

Mein Ziel ist es, ein Client xp PC mit dem Firmennetz zu verbinden. Wenn man Zwei Firmenetze miteinander Verbinden müste, müssen wir dies leider bei Swisscom so bestellen und Sie richten dies mit 2 Ciscos ein. Aber zum Glück muss ich nur ein Client xp PC mit dem Firmennetz verbinden.

Danke vielmals für eure Antworten.
aqui
aqui 03.08.2009 um 20:54:45 Uhr
Goto Top
OK, wenn du ein ISP Knecht bist dann ist das verständlich ! Aber da kannst du mal sehen in welcher technischen Zwangsjacke du damit steckst....nundenn.

Als Workaround hast du dann nur die Möglichkeit als Default Gateway deinen Server selber an den Endgeräten einzutragen. Dieser hat dann wiederum eine default Route auf den Swisscomm Router !
Damit umgehst du das Routing Problem dann elegant und das VPN Routing klappt dann problemlos da der Server dann entsprechend routet.

Zwingend ist aber in der ACL im Swisscomm Router das Kommado:

access-list xyz permit TCP any any eq 1723
access-list xyz permit gre any any
ip nat inside source static tcp <lokale_Server_IP> 1723 <router_WAN-IP> 1723 extendable
ip nat inside source static gre <lokale_Server_IP> <router_WAN-IP> extendable

Das würd ich mir von der Swisscomm als Auszug zeigen lassen. Wenn das nicht konfiguriert ist wird kein PPTP geforwardet auf deinen Server !!

Um ganz sicher zu gehen solltest du auf dem Server mal den MS_Netmonitor installieren !
Damit kannst du eingehende Packete genau mitsniffern und kannst genau und unmissverständlich sehen und der Swisscomm beweisen ob überhaupt PPTP Packete von remote über deren Router ankommen oder nicht.
Wenn nämlich nicht, dann kannst du konfigurieren bis du schwarz wirst, denn dann ist es ein Fehler im Swisscomm Router !
thundernail
thundernail 04.08.2009 um 11:38:48 Uhr
Goto Top
Danke vielmals für deine Hilfe. Ich bin sehr froh, dass ich hier auf so gute Leute stosse. Danke.

Also ich habe deinen Router Kommandos der Swisscom geschickt und gesagt sie Sollen mir den jetztigen auszug schicken. (das kann aber ein paar Tage dauern)

In der Zwischenzeit habe ich mit MS Netmonitor und mit wireshark das Netztwerk überwacht. Ich habe wireshark auf dem entfernten VPN Client und auf dem VPN Server lauffen lassen. Ich habe dann live gesehen, dass pptp Packete (beim Verbinden) auf dem VPN Server durch den Router ankommen, und auch wieder zurückgesendet werden. (Auf dem Client sah ich wie die Antwort auch wieder ankahm.) Zudem sah ich auf meinem VPN Server bei Routing Ras Clients, dass der VPN Client erfolgreich angemeldet ist. GRE scheint also auch einwandfrei weitergeleitet zu werden. (übrigens hat dies ca 4 Wochen gedauert, biss ich mich überhaupt anmelden konnte, da Swisscom die Router immer Falsch konfiguriert hat.) Was jetzt aber passiert, wenn ich ein Ping vom VPN Client aufruffe konnte ich so mit wireshark oder MS Netmonitor nicht feststellen. Ich weiss also nicht wo der Ping hängenbleibt. Kann man dies irgenwie herausfinden?

So wie ich dies verstehe, wird der Ping vom entfernten VPN Client zu einer Maschine in meinem Lan gesendet, aber von der Maschiene nicht mehr zum VPN Client zurück, sondern durch den beim LAN client falsch eingetragenem Swisscom Gateway ins Nirwana geschickt. Könnte dies so sein, oder habe ich da eine Falsche überlegung gemacht?

Jetzt würde ich gerne mal dein Vorschlag mit dem default Gateway umsetzten. Bei den LAN Clients den Gateway ändern ist kein problem. Zum Teste einfach beim Client manuel eintragen, aber dann bei meinem VPN Server eine default Route zum Swisscom Router zu erstellen Krieg ich irgenwie nicht hin. (auch nicht mit googlen und Tutorials) Dies müste ich bei Windows im Routing und Ras einstellen, aber ich Blick da nicht ganz durch wo. Diese Konsole hat sehr viele verwirende Einstellungen. Bei jedem versuch ist mir der ganze Server vom Netz verschwunden, weil wahrscheindlich irgendetwas falsch geroutet wurde. Kennt sich jemand mit der Routing Ras Konsole von Migrosoft gut aus? Ich muss noch dazu sagen, dass der Windows Server 2008 standard auch noch volgende Dienste Laufen: Domaincontroler, Active Directory, DHCP, DNS, Exchange 2007, datenservert, Druckserver, VMware mit einem Win Server 2003 und noch weiter kleinere Dienste.Halt alles was so gebraucht wird. Viele Routing Ras Tutorials erklären wie Man Routing mit zwei Netzwerkkarten macht, ich habe aber nur eine Netzwerkkarte, nämlich die an mein LAN und sonst gar nichts. (ausser die Virtuellen Netzwerkadapter für Vmware) Ich habe noch einen Netzwerkadapter, welcher aber nicht gebraucht wird und kein Lan Kabel dran Steckt.

Eventuel hier noch ein Paar nützliche Infos:

Mein Swisscom Router ist von aussen durch eine feste IP erreichbahr. Im Firmenlan ist er als default Gateway eingetragen. Er hat Intern die IP 192.168.2.1 der VPN Server (welcher auch domain controller usw ist) hat die IP 192.168.2.4

Wenn ich mit dem VPN Client PC welcher zum beispiel bei meinem Cheff zu hause oder bei einer anderen Firma ist einwähle, bekommt der die VPN IP 192.168.3.1 und seinen simuliereten VPN Server 192.168.3.2 Dies habe ich so eingestelt bei Routing und Ras. Somit währen diese zwei netzte(VPN und Firmen LAN) getrent und müssten zusammen geroutet werden. (sind nicht im gleichen Subnetz) ich habe aber auch schon eingestelt, dass der VPN Client 192.168.2.140 und der simulierte VPN Server 192.168.2.141 beckomt, somit ist der VPN Client im gleichen Subnetzt wie das Firmen lan. Aber auch so konnte ich nichts anpinge oder erreichen. Ich nehme mal an dies liegt an dem falschen gateway. Übrigens hat der VPN client in seinem eigenen Lan meistens 192.168.0.x IPs. Je nach dem ob mein Chef im lan zu Hause oder in einer anderen Firma ist. Software Firewalls sind auf beiden seiten Aus.

Leider weiss ich jetzt nicht wie ich diese Gatway Routing Geschichte Richtig einstelle bei "Routing und Ras Konsole von Windows Server 2008 standard" Die Konsole ist übrigens fast identisch mit windows Server 2003. Fals jemand nur die 03 er Konsole kennt.

Danke vielmals für eure Antworten
aqui
aqui 04.08.2009 um 12:26:34 Uhr
Goto Top
Die Wahl des Netzes 192.168.2.0 /24 als VPN Servernetz ist natürlich nicht gerade sehr intelligent...sorry !

Dieses Netzwerk ist in 50% aller Bödmarkt und Provider Billigrouter per Default implementiert und massenhaft im Einsatz
Du weisst ja sicher selber das das remote Netzwerk und das lokale Netz bei VPNs immer UNTERSCHIEDLICH sein müssen zwangsweise ! Ein goldener Grundsatz beim Design von VPNs !!
Es ist also nur eine Frage der Zeit wann du remote das 192.168.2.0er Netz auch antriffst und aus so einem Netz ist ein VPN auf dein Netz dann völlig unmöglich.

Intelligenter wäre es hier gewesen sowas wie 10.168.2.0 /24, 172.31.148.0 /24 oder 192.168.148.0 /24 oder...oder... zu verwenden also eine etwas exotischere IP Netz Kombination aus dem Privaten IP Adresspool (RFC 1918) als gerade die dümmliche und am meisten verwendete 192.168.2.0 ....eine sehr schlechte Wahl für den VPN Betrieb.

OK, wenn du sicher stellen kannst das dein remotes Netz garantiert NICHT diese 192.168.2.0 als Netzwerk hat, dann stellst du die VPN PPTP Verbindung mit dem Client her.
Wenn soweit alles OK ist und die Verbindung da ist, gibst du auf dem Client ipconfig ein oder ipconfig -all.
Auf dem nun aktiven PPTP VPN Netzwerk Adapter siehst du eine aktuelle, vom Server an den VPN Client vergebene IP Adresse (deine Client IP) und auch ein Gateway (Die VPN Server IP).
Die VPN Server IP muss im gleichen IP Netz sein !
Diese Server IP muss in jedem Falle pingbar sein sofern das Pingen (ICMP) auf dem VPN Server aktiviert ist (Haken bei "auf Echoanforderungen antworten" setzen !) Das musst du sicherstellen, denn sonst Pingst du dich schwarz !
Erst wenn das überhaupt klappt lohnt sich ein Weitermachen, denn das ist die Mindestvoraussetzung für eine Funktion des VPNs !

Da der VPN Server eine Point to Point Verbindung mit dem VPN Client hat, hast du keine Probleme mit Routing. Ein Ping muss durch die Point to Point Beziehung also immer möglich sein sofern Pingen erlaubt ist.

Den Ping Prozess im PPTP VPN Tunnel kannst du logischerweise nicht sehen, denn der VPN Tunnel ist verschlüsselt. Wireshark o.ä. nützt da also nix !
Das ist ja der tiefere Sinn eines (sicheren) VPNs !!
thundernail
thundernail 04.08.2009 um 15:07:09 Uhr
Goto Top
OK du hast recht, ich kann vom VPN Client aus nicht mal den VPN Server anpingen. Somit habe ich nach ICMP und dem "Hacken Echoanforderungen Antworten gesucht" Seit dem Server 2008 und Vista hat sich da wahrscheinlich einiges getan. Bei mir gibt es weder beim Netzwerkadapter noch bei Routing und Ras irgendeine Firewall Option. (früher NAT Basisfirewall) Der Windows Server 2008 Firewall ist komplexer als die alten. Dieser Firewall ist aber komplett ausgeschaltet. Für jegliche Netzwerke und Adapter. Zudem währe dort ICMP erlaupt. Im Routing und Ras gibt es eine Option (Eingangsfilter und Ausgangsfilter für jeden Netzwerkadapter) dort ist auch alles erlaubt. Zudem gibt es noch die Netzwerkrichlinien im Routing und Ras. Dort ist auch nichts geblockt. Mehr konnte ich so noch nicht finde. Ich bin aber noch am Suchen. Der Server ist aber vom Lan Pingbahr (192.168.2.4), also wird nicht der Firewall das Problem sein, sondern eher irgendetwas im Routing und Ras. Der Swisscom Firewall ist ja egal, da ich schon im Tunnel bin oder?

Ipconfig -all sieht beim VPN Client volgendermassen aus. Habe jetzt das VPN Netzt auf 10.168.2.x geändert.

PPP- Adapter
Dhcp nicht aktiviert.
IP Adresse: 10.168.2.4
Subnetzmaske: 255.255.255.255
Standardgateway: 10.168.2.4 (gleich wie die IP. Wenn beim Client unter den VPN Erweiterten TCP/IP Einstellungen der hacken "Standardgateway für das Remotenetzwerk verwenden" abgehockt wird, ist diese Zeile Leer.)
DNS Server: 192.168.2.4 und 198.186.1.111 (dies sind die, welche mein DHCP vergiebt)

Beim Status der VPN Verbindung auf dem Client sehe ich volgendes:

Server-IP-Adresse: 10.168.2.0
Client-IP-Adresse: 10.168.2.4

Und ich kann den VPN Server (IP10.168.2.0) vom VPN Client aus nicht pingen. Die IP 10.168.2.4 natürlich schon.

Ist es Normal, dass ich die Subnetzmaske 255.255.255.255 habe? So kann ich ja nur mich selber (10.168.2.4) anpingen. Oder ist dies Falsch?

Und ist es normal, dass mein Gateway die gleich IP hat wie der VPN client selber? (also 10.168.2.4)

Danke vielmals für deine Hilfe.

Gruss
aqui
aqui 04.08.2009 um 18:54:24 Uhr
Goto Top
Ja, diese Host Subnetzmaske mit 32 Bit ist OK, das gehört so.
Allerdings "Server-IP-Adresse: 10.168.2.0" ist Unsinn, denn das ist KEINE Host IP Adresse sondern eine Netzwerk Adresse die man keinem Host geben kann !
Da stimmt also was nicht !

Wenn die PPTP Verbindung aktiv ist was ergibt der Output von route print ??

Als Beispiel siehst du hier mal einen für ein remotes Netz 172.16.1.0 /24

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

172.16.0.0 255.255.0.0 172.16.1.246 172.16.1.246 1
172.16.1.246 255.255.255.255 127.0.0.1 127.0.0.1 50
172.16.255.255 255.255.255.255 172.16.1.246 172.16.1.246 50
x.y.x.y 255.255.255.255 192.168.1.1 192.168.1.100 20
255.255.255.255 255.255.255.255 172.16.1.246 3 1
255.255.255.255 255.255.255.255 172.16.1.246 172.16.1.246 1
255.255.255.255 255.255.255.255 172.16.1.246 10005 1
Standardgateway: 192.168.1.1
Ständige Routen:
Keine

Bei dir müssen in der Route Tabelle bei aktiver PPTP Verbindung beide Netze:
192.168.2.0
und
10.168.2.0
drinstehen !
x.y.x.y ist die öffentliche Tunnel Endpunkt IP, was bei dir deine Swisscomm Router IP sein muss. 192.168.1.1 ist der lokale Router.

Daran kannst du übrigens sehen das es absolut unsinnig war dem VPN Netz die 10.168.2.0 /24 zu geben, denn dein Zielnetz ist ja weiterhin die 192.168.2.0 in dem du arbeiten willst.
Diese Änderung ist also vollkommen sinnlos !!
Deine LAN IP Adressierung musst du ändern auf eines der o.a. Netze NICHT das VPN...das bringt nix !
Du hast also weiterhin das Problem, das niemand der lokal in einem 192.168.2.0er IP Netz sich mit dem Client befindet eine funktionierende VPN Verbindung zu dir aufbauen kann !!!

Stell also erstmal sicher das Client und VPN Server für deinen Test niemals beide lokal im 192.168.2.0er Netz sind !!
Langfristig solltest du dann unbedingt deine IP Adressierung im LAN ändern wenn du häufiger VPN mit mehreren Clients benutzt um die mit Sicherheit kommenden Problem bei Verwendung eines 192.168.2er Netzes sicher zu vermeiden !
thundernail
thundernail 05.08.2009 um 09:38:22 Uhr
Goto Top
Danke vielmals für deine Antwort

Ah ok jetzt ist mir klar, warum ich das ganzen IPs im Firmen Lan ändern müste. Das mach ich dan später einmal, wenn alles funktioniert. Das ist so auf die schnelle natürlich nicht zu machen. Um jetzt zu testen bleibt das netzt auf 192.168.2.x es ist aber Sichergestellt, das der VPN Client in seinem lokalen LAN nicht im gleichen Nezt ist. Der ist nämlich im 192.168.1.x Netzt. Somit haben wir hier zum Testen kein Problem. Auf dem VPN Server kann ich ja eintragen, welche IP der VPN Client bekommen sol. dort habe ich jetzt noch 10.168.2.0 bis 10.168.2.10 eingetragen. Dies ist kein Problem oder? Oder muss dort auch eine IP im Bereich vom lokalen VPN Server Netzt eingetragen werden? Dies währe dann irgendeine im 192.168.2.x Netz. (Habe ich zwar auch schon versucht, ohne Erfolg)

Der VPN Client hat in seime lokalen Netzt die IP 192.168.1.140
sein lokalen default Gateway ist 192.168.1.1

Beim Status der VPN Verbindung (ppp) auf dem Client sehe ich volgendes:

Server-IP-Adresse: 10.168.2.0
Client-IP-Adresse: 10.168.2.6

Ich habe hier den Route print.

der Print wurde gemacht, als die VPN Verbindung verbunden war. Einmal von VPN Client und einmal beim VPN Server.

Auch bei mir ist die x.y.x.y die öffentliche Tunnel Endpunkt IP,also die statische IP des Swisscomm Routers welcher dann die pptp Prtokolle und Ports zum VPN Server (192.168.2.4) weiter Routet.

Route Print vom VPN Client:


Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.40 25
10.0.0.0 255.0.0.0 10.168.2.6 10.168.2.6 1
10.168.2.6 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.168.2.6 10.168.2.6 50
x.y.x.y 255.255.255.255 192.168.1.1 192.168.1.40 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.40 192.168.1.40 25
192.168.1.40 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.1.255 255.255.255.255 192.168.1.40 192.168.1.40 25
224.0.0.0 240.0.0.0 10.168.2.6 10.168.2.6 50
224.0.0.0 240.0.0.0 192.168.1.40 192.168.1.40 25
255.255.255.255 255.255.255.255 10.168.2.6 10.168.2.6 1
255.255.255.255 255.255.255.255 192.168.1.40 192.168.1.40 1
Standardgateway: 192.168.1.1
Ständige Routen:
Keine


Route Print vom VPN Server:


IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.4 266
10.168.2.0 255.255.255.255 Auf Verbindung 10.168.2.0 274
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 10.168.2.0 274
169.254.255.255 255.255.255.255 Auf Verbindung 10.168.2.0 274
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.4 266
192.168.2.4 255.255.255.255 Auf Verbindung 192.168.2.4 266
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.4 266
192.168.146.0 255.255.255.0 Auf Verbindung 192.168.146.1 276
192.168.146.1 255.255.255.255 Auf Verbindung 192.168.146.1 276
192.168.146.255 255.255.255.255 Auf Verbindung 192.168.146.1 276
192.168.147.0 255.255.255.0 Auf Verbindung 192.168.147.1 276
192.168.147.1 255.255.255.255 Auf Verbindung 192.168.147.1 276
192.168.147.255 255.255.255.255 Auf Verbindung 192.168.147.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.146.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.147.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.4 266
224.0.0.0 240.0.0.0 Auf Verbindung 10.168.2.0 274
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.146.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.147.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.4 266
255.255.255.255 255.255.255.255 Auf Verbindung 10.168.2.0 274
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.2.1 Standard


192.168.146.1 und 192.168.147.1 sind die Virtuellen Adapter des VMware.

Ich hoffe dies hilft dir weiter.
Danke vielmals für deine Hilfe.

gruss
aqui
aqui 05.08.2009 um 14:08:53 Uhr
Goto Top
Da kannst du gleich sehen wo dein Problem ist:

Dein VPN Server übermittelt nicht die Route in das lokale 192.168.2.0er Netz an den Client !!
Hier müsste als Gateway auch die 10.168.2.6 stehen und genau diese Route fehlt !
Bei Zugriffen auf dieses Netz routet der Client das 192.168.2er Netz statt auf den VPN Adapter an den lokalen Internet Router und damit ins Nirwana.

Somit ist ein Zugriff auf dein Lokales netzwerk und allen Komponenten vollkommen unmöglich.
Fazit: Da ist also noch einen Fehlkonfiguration des VPN Servers vorhanden, denn der MUSS das 192.168.2.0er Netzwerk an den Client propagieren, sonst wirds nix mit dem VPN.

Da musst du dir also nochmal die VPN Konfig im Winblows Servers vornehmen...da sit der Kincken versteckt, denn der muss das 192.168.2.0er Netz an den Client beim PPTP Sessionaufbau propagieren.

Du kannst das auch testweise auf dem Client mit einer statischen Route erzwingen die da lautet:
route add 192.168.2.0 mask 255.255.255.0 10.168.2.6 1

Ggf. analog route add 192.168.1.0 mask 255.255.255.0 10.168.2.0 274 am Server.
Damit erzwingst du ein Routing des 192.168.2.0er Netzes beim Client in das VPN aber das ist nicht der Sinn der Sache, denn das soll und muss dynmaisch passieren, denn du willst ja nicht allen VPN Clients manuelle eine statische Route verpassen !
Es ist also nur ein quick and dirty Workaround für den Test.
thundernail
thundernail 05.08.2009 um 17:09:41 Uhr
Goto Top
Ich bin eifrig am suchen, wo man dies beim VPN (Routing und Ras) einstellen könnte. Leider bis jetzt nichts gefunden. Ich habe jetzt die Route so wie du beschrieben hast von hand eingetragen. Swol beim VPN Client als auch beim VPN Server. Zudem habe ich bei beiden mit Routing print nachgeschaut ob die Route wirklich richtig drin ist. Sie ist drin, leider kann ich aber trotzdem nichts im Netz erreichen und nichts anpingen. Weder vom VPN Client zum Firmen Lan noch unbekehrt. Eigentlich müste es jetzt ja gehen. Somit habe ich die Routen wieder gelöscht. Mit dem befehl route delete ...... Dies ging beim Client wunderbahr und die Route ist nicht mehr in der Tabelle. Beim Server jedoch kann ich die neue Route nicht mehr löschen. Ich hoffe dies liegt nur an irgendeinem cache oder so. Ansosnten ist jetzt diese Route für immer drin. (Nur wenn ich den Routing und Ras Dienst beende ist die Route weg.) Sobald der wieder gestartet wird ist sie wieder da. Da ich selber aber kein 192.168.1.0 Netzt habe ist diese Route wahrscheinlich nicht so tragisch. Ich nehme an, wenn der VPN Server diese Routen selber auf den CLient Leiten würde könnte es funktionieren. Da er vieleicht nur so die Route akzeptiert und beim Manuelen eintragen nicht. Aber ich weiss es leider auch nicht ob dies so sein könnte. Leider kenne ich niemanden, der diese Routing Ras und VPN Konsole von Server 2008 gut kennt, welcher ich fragen könnte. Könnte es eventuel mit den Netzwerkrichtlinien zu tun haben? Beim Server 2008 gibt es keine NAT Basisfirewall mehr, sondern ein Netzwerkrichtlinienserver (NPS) Dort bin ich jetzt schon den ganzen Tag am rumfumeln und bin leider auch da nicht an mein Ziel gekommen. Firwall sind ja alle Aus. Es gibt irgendwie auch neue Berechtigungsstuffen( nicht NAP fähig, NAP fähig usw dan gibt es noch IP Filter einkommend und ausgehend. Und Natürlich der Windows Firewall. Dan gibt es noch die Active directory, wo man auch noch Irgendwelche VPN einstellung machen kann. Ich Blick da irgendwie nicht mehr durch, wo der Hund begraben sein Könnte. Und vorallem weiss ich nicht welche Optionen trotz Firewall Abschaltungen noch Einschränkungen des VPNs Verursachen könnten und mir den Zugriff auf das Netzt durch VPN verbietet und die Routen nicht an den VPN Client leitet. Oder hast du eine andere Vermutung? Ich habe versucht überall alle Einschränkungen abzuschalten, aber bis jetzt hat nichts geholfen.

Ich danke dir und allen anderen vielmals für die Hilfe. I
aqui
aqui 05.08.2009 um 21:20:41 Uhr
Goto Top
Nein, nur mit dem Parameter -p wäre die Route permanent. Da du das aber nicht eingegeben hast ist sie nach dem nächsten Reboot wieder verschwunden, das gilt sowohl für Server als auch Client.

Interessant wäre zum Check der Wegewahl mit den Routen mal ein Pathping oder Traceroute Test auf einen Host oder den Server im 192.168.2.0er netz selber gewesen aber leider hats dafür bei dir nicht gereicht. face-sad

Man kann dann nur vermuten das die Firewall(s) auf VPN Server bzw. Zielrechner leider nicht richtig customized sind und einen Zugriff aus dem remoten VPN Netz verhindern.
Das ist eigentlich die einzige Erklärung die noch übrigbleibt. Es kann nur noch am VPN Server selber liegen und ist vermutlich dann eher eine Frage der Winblows Serverkonfiguration denn einer Netzwerkfrage selber...

Ansonsten musst du definitiv mal mit dem Wireshark oder dem MS Netmonitor dir den Traffic über den VPN Server ansehen.
thundernail
thundernail 06.08.2009 um 19:00:31 Uhr
Goto Top
Ich habe heute Netzwerktechnisch alles durchgecheckt. Es ist volgendes Passiert.

Ich habe nochmals die Routen Manuel per route add im VPN Server und VPN Client angelegt.
Ich habe dann pathping ausgeführt.

Vom VPN Client aus auf den VPN Server (lokale Server IP): Ich habe den Clientname und beim öffentlichen Router die IP und Name geändert. (xx.xx.xx.xx)
C:\Dokumente und Einstellungen\Administrator>pathping 192.168.2.4

Routenverfolgung zu 192.168.2.4 über maximal 30 Abschnitte

0 vpn client pc Name [10.168.2.6]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 vpn client pc Name [10.168.2.6]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% vpn client pc Name [0.0.0.0]

Ablaufverfolgung beendet.

Wenn ich jetzt die Route auf dem Client lösche mit route delete. Sieht es folgendermassen aus:



C:\Dokumente und Einstellungen\Administrator>pathping 192.168.2.4

Routenverfolgung zu 192.168.2.4 über maximal 30 Abschnitte

0 vpn client pc Name [192.168.1.40]
1 192.168.1.1
2 xxxxxxx.cust.bluewin.ch [xx.xx.xx.xx]
3 * * *
Berechnung der Statistiken dauert ca. 75 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 vpn client pc Name [192.168.1.40]
0/ 100 = 0% |
1 9ms 0/ 100 = 0% 0/ 100 = 0% 192.168.1.1
0/ 100 = 0% |
2 19ms 0/ 100 = 0% 0/ 100 = 0% xxxxxxx.cust.bluewin.ch [xx.xx.xx
xx.xx]
100/ 100 =100% |
3 --- 100/ 100 =100% 0/ 100 = 0% vpn client pc Name [0.0.0.0]

Ablaufverfolgung beendet.


Schlussfolgerung: Ich sehe, dass wen ich die Route drin habe, wird mein pathping Richtig über den VPN Adapter geroutet (IP 10.168.2.6), aber mein Server antwortet nicht.
wenn ich die Route wieder lösche, geht der pathping über den Lokalen Gateway des VPN Clients und verschwindet somit im Nirvana.

Mit dem Routen eintrag wird also Richtig geroutet, aber mein Server antwortet nicht.

Jetzt der umgekehrte weg. Vom VPN Server Zum VPN Client.


C:\Users\Administrator>pathping 192.168.1.40

Routenverfolgung zu 192.168.1.40 über maximal 30 Abschnitte

0 vpn-server-Name [10.168.2.0]
1 Keine Ressourcen.

Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 vpn-server-Name [10.168.2
.0]
100/ 100 =100% |
1 --- 100/ 100 =100% 0/ 100 = 0% vpn-server-Name [0.0.0.0]


Ablaufverfolgung beendet.


Schlussfolgerung: Auch hier sehe ich, dass richtig geroutet wird. Nemlich über den Virtuellen VPN adapter (IP 10.168.2.0) und nicht über den Gateway ins Nirvana. Merkwürdig nur, es kommt: Keine Ressourcen. Auch beim Pingen Kommpt: Kein Ressourcen. Sehr Merkwürdig. Habe also nicht den üblichen Pingfehler:"Zeitüberschreitung der Anforderung" sondern Keine Ressourcen. Umgekehrt vom VPN Client zum VPN Server kommt die normale Pingfehlermeldung: "Zeitüberschreitung der Anforderung"

Meiner Meinung nacht deutet dies auf ein Problem mit Firewall oder irgendwelche Richtlinien hin. Wobei ich glaube alles abgeschalten zu haben.

Ich ging jetzt noch weiter und habe auf meinem VPN Server mit Wireshark das Netzwerk auf das ICMP Protokol gesnifft.

Als ich jetzt einen Ping vom VPN Client auf den VPN Server machte, Zeigte Wireshark den Ping an. Er kahm also beim Server an. Aber irgenwieh ging er nicht mehr zurück.Er antwortet nicht. Als ich nemlich einen Ping vom VPN Server zum VPN Client machte, zeigte Wireshark nichts an. Es ging also kein Ping raus. Volgend habe ich den Genauen Laut der Wireshark meldung aufgeschriben.

Ping vom VPN Client auf VPN Server: (Wireshark ist auf VPN Server installiert)

Source: 192.168.2.4 Destination: 10.168.2.6 Protocol: ICMP Info: Echo (ping) reply

Ping vom VPN Server zu VPN Client:

Nichts.


Jetzt habe ich noch einen normalen Ping in meinem Firmenlan gemacht, um zu sehen wie ein Ping eigentlich abgeschlossen aus sieht.
Also habe ich von einem pc im Firmenlan einen Ping auf den Server gemacht. Wireshark sagt dazu foglendes.

Source: 192.168.2.31 Destination: 192.168.2.4 Protocol: ICMP Info: Echo (ping) request
Source: 192.168.2.4 Destination: 192.168.2.31 Protocol: ICMP Info: Echo (ping) reply


Somit sehe ich, dass der Ping über VPN nicht abgeschlossen wird. Den dort kommt die meldung "request " nicht.

Ich finde es aber merkwürdig, das beim VPN die meldung reply (also antworten) kommt und nicht "request" dies währe ja als würde er auf etwas antworten, wass er ja gar nicht bekommen hat. Wobei er genau dann den reply anzeigt, wenn ich vom VPN Client pinge.

Leider weiss ich jetzt nicht genau wie ich das ganze Interpretieren soll. Ist dies jetzt ein fehler des Sicherheitsmanagement des Servers (was ich am ehersten dänke) oder ein Routing Problem (also vom VPN Server zum Client, wobei ich eigentlich mit dem pathping gesehen habe, dass richtig geroutet wird) ?

Oder habe ich irgendetwas falsch Interpretiert?

Ich danke viel viel mals für die Hilfe.

gruss
aqui
aqui 08.08.2009 um 13:15:23 Uhr
Goto Top
Nein, du hast das alles absolut richtig interpretiert...keine Frage. Einzig was noch interessant gewesen wäre ist die Quell IP die der Client bzw. der Server benutzt wenn er über den VPN Link pingt.
Es wäre mal interessant zu sehen ob er da eine 10.168er IP oder eine 192.168er IP benutzt.

Aber egal....Fazit ist ganz richtig das dein Server der böse Buhmann ist. Wenn er eingehende Pings nicht sieht bzw. ausgehende nicht beantwortet werden ist vermutlich seine Firewall oder irgendeine Policy aktiv die entweder ICMP oder IPs dieser Netzwerke blockt.

Das musst du also herausfinden wo das am Server passiert. Was den Ping anbetrifft solltest du auch am Client checken ob dort in den erweiterten Einstellungen des PPTP Clients unter Firewall -> ICMP der Haken bei "Auf eingehende Echoanforderungen antworten" gesetzt ist !
Erst dann ist ein Ping erst möglich !
Der Verhinderer ist auf alle Fälle der Win Server bzw. VPN Server.
Hast du am Server mal ins Log gesehen was dort passiert ?? Sind dort irgendwelche Errormeldungen zu sehen ??
thundernail
thundernail 10.08.2009 um 11:59:32 Uhr
Goto Top
Hallo

Im Wireshark, welches auf dem Server läuft, sehe ich, dass die Quell IP wenn ein Ping vom Client zum Server gestartet wird eine 10.168er ist. Also eine IP Von der VPN Verbindung. Es wird also nicht die lokale Client IP 192.168.1.xx übermittelt. Die Route für die 10.168 welche er in diesem Fall für das Zurücksenden braucht, ist jedoch auf dem Server auch vorhanden und er müste wieder richtig durch den VPN Gateway zurück Routen.

Im Client ist der ICMP auf "echoanforderungen antworten " aktiviert.

In den Win Logs habe ich leider nichts dementsprächendes gefundenface-sad

Wahrscheindlich wird es im Server 2008 an einem einfachen Häcklein liegen, die Frage ist nur wo.

Danke vielmals für die Hilfe.