Kann im VPN keine PCs pingen.
VPN
Hallo Zusammen
Mein Problem ist, dass ich eine VPN (pptp) Verbindung Problemlos herstellen kann, aber nichts im Netzwerk erreiche. Kein Ping geht, auch kein DNS werden aufgelöst. Es geht eigentlich gar nichts, ausser das die Verbindung steht, und im VPN Server wird die Verbindung auch angezeigt. Auch mit dem Explorer sind die PCs nicht erreichbahr, somit wird es nicht daran liegen, dass Ping deaktiviert ist.
Mein Netz in der Firma:
Router:
Es ist ein Cisco 871 ADSL Router welcher per Telnet konfiguriert wird.
Alle erforderlichen Ports sind freigeschaltet. 1723 TCP und Protokoll 47 GRE.
Der Router leitet die VPN an unseren VPN Server weiter. Er ist selber kein VPN Server.
Der Router ist mit einder Statischen IP erreichbahr. (also kein dyndns oder ändliches)
Der VPN Server ist ein Windows Server 2008 Standard, welcher auch als Domaincontroller und Exchange gebraucht wird.
Der Client wählt sich mit einem Active directory Benutzer ein, welcher auch die Rechte für VPN verbindung beckommen hat.
Im Server 2008 ist das VPN als "Eingehende Verbindung" acktiviert. (Nicht als Routing Ras Dienst) Wobei ich die Eingehende Verbindung auch mal durch Routing Ras ersetzt habe. Auch so, konnte ich nichts anpingen oder erreichen.
Der Windows eigene Firewall ist deaktiviert. Im Client und Server.
Netzwerk:
Client hat in seinem Netzt die IP:192.168.0.x und subnett 255.255.255.0 Unser Netzt in der Firma hat die IP:192.168.2.x und subnett 255.255.255.0 somit ist der Client Lokal nicht im gleichen Netzt wie Unser Firmennetz. Dies ist ja wichtig, damit alles beim Client auch durch den Gateway geroutet wird. Client hat win xp (auch mit Vista probiert) jegliche Optionen beim Client habe ich ausprobiert. Auch Gateway IP usw von hand eingetragen usw.
Wen der Client die Verbindung hergestellt hat, sind alle IPs Richtig eingetragen.
der VPN Server beckommt folgendes.
Seine IP. Die IP wird von unseren DHCP Server vergeben und der Client wird im DHCP und DNS Server eingetragen. Die IP ist von unserem Firmen Netzt IP:192.168.2.x
Die Subnet
unser Gateway
unser DNS Server
Leider weiss ich nicht warum ich nichts im Firmen Netz erreichen kann. Eventuel eine Einstellung im VPN vom Windows Server 2008
Ich danke euch vielmals für eure Antworten
gruss
Hallo Zusammen
Mein Problem ist, dass ich eine VPN (pptp) Verbindung Problemlos herstellen kann, aber nichts im Netzwerk erreiche. Kein Ping geht, auch kein DNS werden aufgelöst. Es geht eigentlich gar nichts, ausser das die Verbindung steht, und im VPN Server wird die Verbindung auch angezeigt. Auch mit dem Explorer sind die PCs nicht erreichbahr, somit wird es nicht daran liegen, dass Ping deaktiviert ist.
Mein Netz in der Firma:
Router:
Es ist ein Cisco 871 ADSL Router welcher per Telnet konfiguriert wird.
Alle erforderlichen Ports sind freigeschaltet. 1723 TCP und Protokoll 47 GRE.
Der Router leitet die VPN an unseren VPN Server weiter. Er ist selber kein VPN Server.
Der Router ist mit einder Statischen IP erreichbahr. (also kein dyndns oder ändliches)
Der VPN Server ist ein Windows Server 2008 Standard, welcher auch als Domaincontroller und Exchange gebraucht wird.
Der Client wählt sich mit einem Active directory Benutzer ein, welcher auch die Rechte für VPN verbindung beckommen hat.
Im Server 2008 ist das VPN als "Eingehende Verbindung" acktiviert. (Nicht als Routing Ras Dienst) Wobei ich die Eingehende Verbindung auch mal durch Routing Ras ersetzt habe. Auch so, konnte ich nichts anpingen oder erreichen.
Der Windows eigene Firewall ist deaktiviert. Im Client und Server.
Netzwerk:
Client hat in seinem Netzt die IP:192.168.0.x und subnett 255.255.255.0 Unser Netzt in der Firma hat die IP:192.168.2.x und subnett 255.255.255.0 somit ist der Client Lokal nicht im gleichen Netzt wie Unser Firmennetz. Dies ist ja wichtig, damit alles beim Client auch durch den Gateway geroutet wird. Client hat win xp (auch mit Vista probiert) jegliche Optionen beim Client habe ich ausprobiert. Auch Gateway IP usw von hand eingetragen usw.
Wen der Client die Verbindung hergestellt hat, sind alle IPs Richtig eingetragen.
der VPN Server beckommt folgendes.
Seine IP. Die IP wird von unseren DHCP Server vergeben und der Client wird im DHCP und DNS Server eingetragen. Die IP ist von unserem Firmen Netzt IP:192.168.2.x
Die Subnet
unser Gateway
unser DNS Server
Leider weiss ich nicht warum ich nichts im Firmen Netz erreichen kann. Eventuel eine Einstellung im VPN vom Windows Server 2008
Ich danke euch vielmals für eure Antworten
gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 121889
Url: https://administrator.de/forum/kann-im-vpn-keine-pcs-pingen-121889.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo thundernail,
ich denke mal, das dieses das Problem ist:
http://wiki.openvpn.eu/index.php/Trouble_Routing
LG Jörg
ich denke mal, das dieses das Problem ist:
http://wiki.openvpn.eu/index.php/Trouble_Routing
LG Jörg
Warum machst du denn den Cisco Router nicht zum VPN Server ???
VPNs einrichten mit PPTP
Technisch wäre das doch die beste Lösung...?!!
Dein problem ist wie immer in diesem Falle vermutlich ein Firewall Problem.
Da du aus einem fremdnetz kommst blockt die Firewall alles diese Pakete denn sie lässt immer nur das lokale Netz zu !
Du musst hier also die Firewall im Bereich anpassen auf das remote Netz oder die Scheinentor Lösung anklicken und alles freigeben.
Ferner ist vermutlich ICMP deaktiviert in deiner Firewall. Dazu musst du in den erweiterten Eigenschaften auf den Button ICMP klicken und dort den Haken bei "Auf eingehende Echo Anforderungen antworten" setzen !!
Ein weiteres Problem wir deine Routing sein. !!
Alle PCs inkl. des lokalen VPN Servers haben vermutlich den lokalen Router als default Gateway eingetragen.
Daher werden alle Pakete, auch die deines VPNs an den Router geschickt der es dann ins Internet ins Nirwana routet mit genau dem Effekt den du siehst...keine Antwort.
Der VPN Server ist aber der lokale Router für das VPN folglich muss der Router (sofern er denn default Gateway ist) eine statische Route auf das VPN haben mit dem VPN Server als Gateway !! Bei einen Cisco ist das:
ip route 192.168.2.0 255.255.255.0 182.168.1.<Host_Adresse_Server>
Damit sollte das VPN dann sauber funktionieren.
Wie gesagt all diese sinnlose Frickelei kannst du dir sparen wenn du den Cisco zum VPN Server machst, das ist mit 5 Konfigzeilen geschehen.
Die allerbeste Lösung ist eine LAN zu LAN Kopplung wenn du 2 Ciscos hast.
Wie man das realisiert kannst du hier nachlesen:
Vernetzung zweier Standorte mit Cisco 876 Router
VPNs einrichten mit PPTP
Technisch wäre das doch die beste Lösung...?!!
Dein problem ist wie immer in diesem Falle vermutlich ein Firewall Problem.
Da du aus einem fremdnetz kommst blockt die Firewall alles diese Pakete denn sie lässt immer nur das lokale Netz zu !
Du musst hier also die Firewall im Bereich anpassen auf das remote Netz oder die Scheinentor Lösung anklicken und alles freigeben.
Ferner ist vermutlich ICMP deaktiviert in deiner Firewall. Dazu musst du in den erweiterten Eigenschaften auf den Button ICMP klicken und dort den Haken bei "Auf eingehende Echo Anforderungen antworten" setzen !!
Ein weiteres Problem wir deine Routing sein. !!
Alle PCs inkl. des lokalen VPN Servers haben vermutlich den lokalen Router als default Gateway eingetragen.
Daher werden alle Pakete, auch die deines VPNs an den Router geschickt der es dann ins Internet ins Nirwana routet mit genau dem Effekt den du siehst...keine Antwort.
Der VPN Server ist aber der lokale Router für das VPN folglich muss der Router (sofern er denn default Gateway ist) eine statische Route auf das VPN haben mit dem VPN Server als Gateway !! Bei einen Cisco ist das:
ip route 192.168.2.0 255.255.255.0 182.168.1.<Host_Adresse_Server>
Damit sollte das VPN dann sauber funktionieren.
Wie gesagt all diese sinnlose Frickelei kannst du dir sparen wenn du den Cisco zum VPN Server machst, das ist mit 5 Konfigzeilen geschehen.
Die allerbeste Lösung ist eine LAN zu LAN Kopplung wenn du 2 Ciscos hast.
Wie man das realisiert kannst du hier nachlesen:
Vernetzung zweier Standorte mit Cisco 876 Router
OK, wenn du ein ISP Knecht bist dann ist das verständlich ! Aber da kannst du mal sehen in welcher technischen Zwangsjacke du damit steckst....nundenn.
Als Workaround hast du dann nur die Möglichkeit als Default Gateway deinen Server selber an den Endgeräten einzutragen. Dieser hat dann wiederum eine default Route auf den Swisscomm Router !
Damit umgehst du das Routing Problem dann elegant und das VPN Routing klappt dann problemlos da der Server dann entsprechend routet.
Zwingend ist aber in der ACL im Swisscomm Router das Kommado:
access-list xyz permit TCP any any eq 1723
access-list xyz permit gre any any
ip nat inside source static tcp <lokale_Server_IP> 1723 <router_WAN-IP> 1723 extendable
ip nat inside source static gre <lokale_Server_IP> <router_WAN-IP> extendable
Das würd ich mir von der Swisscomm als Auszug zeigen lassen. Wenn das nicht konfiguriert ist wird kein PPTP geforwardet auf deinen Server !!
Um ganz sicher zu gehen solltest du auf dem Server mal den MS_Netmonitor installieren !
Damit kannst du eingehende Packete genau mitsniffern und kannst genau und unmissverständlich sehen und der Swisscomm beweisen ob überhaupt PPTP Packete von remote über deren Router ankommen oder nicht.
Wenn nämlich nicht, dann kannst du konfigurieren bis du schwarz wirst, denn dann ist es ein Fehler im Swisscomm Router !
Als Workaround hast du dann nur die Möglichkeit als Default Gateway deinen Server selber an den Endgeräten einzutragen. Dieser hat dann wiederum eine default Route auf den Swisscomm Router !
Damit umgehst du das Routing Problem dann elegant und das VPN Routing klappt dann problemlos da der Server dann entsprechend routet.
Zwingend ist aber in der ACL im Swisscomm Router das Kommado:
access-list xyz permit TCP any any eq 1723
access-list xyz permit gre any any
ip nat inside source static tcp <lokale_Server_IP> 1723 <router_WAN-IP> 1723 extendable
ip nat inside source static gre <lokale_Server_IP> <router_WAN-IP> extendable
Das würd ich mir von der Swisscomm als Auszug zeigen lassen. Wenn das nicht konfiguriert ist wird kein PPTP geforwardet auf deinen Server !!
Um ganz sicher zu gehen solltest du auf dem Server mal den MS_Netmonitor installieren !
Damit kannst du eingehende Packete genau mitsniffern und kannst genau und unmissverständlich sehen und der Swisscomm beweisen ob überhaupt PPTP Packete von remote über deren Router ankommen oder nicht.
Wenn nämlich nicht, dann kannst du konfigurieren bis du schwarz wirst, denn dann ist es ein Fehler im Swisscomm Router !
Die Wahl des Netzes 192.168.2.0 /24 als VPN Servernetz ist natürlich nicht gerade sehr intelligent...sorry !
Dieses Netzwerk ist in 50% aller Bödmarkt und Provider Billigrouter per Default implementiert und massenhaft im Einsatz
Du weisst ja sicher selber das das remote Netzwerk und das lokale Netz bei VPNs immer UNTERSCHIEDLICH sein müssen zwangsweise ! Ein goldener Grundsatz beim Design von VPNs !!
Es ist also nur eine Frage der Zeit wann du remote das 192.168.2.0er Netz auch antriffst und aus so einem Netz ist ein VPN auf dein Netz dann völlig unmöglich.
Intelligenter wäre es hier gewesen sowas wie 10.168.2.0 /24, 172.31.148.0 /24 oder 192.168.148.0 /24 oder...oder... zu verwenden also eine etwas exotischere IP Netz Kombination aus dem Privaten IP Adresspool (RFC 1918) als gerade die dümmliche und am meisten verwendete 192.168.2.0 ....eine sehr schlechte Wahl für den VPN Betrieb.
OK, wenn du sicher stellen kannst das dein remotes Netz garantiert NICHT diese 192.168.2.0 als Netzwerk hat, dann stellst du die VPN PPTP Verbindung mit dem Client her.
Wenn soweit alles OK ist und die Verbindung da ist, gibst du auf dem Client ipconfig ein oder ipconfig -all.
Auf dem nun aktiven PPTP VPN Netzwerk Adapter siehst du eine aktuelle, vom Server an den VPN Client vergebene IP Adresse (deine Client IP) und auch ein Gateway (Die VPN Server IP).
Die VPN Server IP muss im gleichen IP Netz sein !
Diese Server IP muss in jedem Falle pingbar sein sofern das Pingen (ICMP) auf dem VPN Server aktiviert ist (Haken bei "auf Echoanforderungen antworten" setzen !) Das musst du sicherstellen, denn sonst Pingst du dich schwarz !
Erst wenn das überhaupt klappt lohnt sich ein Weitermachen, denn das ist die Mindestvoraussetzung für eine Funktion des VPNs !
Da der VPN Server eine Point to Point Verbindung mit dem VPN Client hat, hast du keine Probleme mit Routing. Ein Ping muss durch die Point to Point Beziehung also immer möglich sein sofern Pingen erlaubt ist.
Den Ping Prozess im PPTP VPN Tunnel kannst du logischerweise nicht sehen, denn der VPN Tunnel ist verschlüsselt. Wireshark o.ä. nützt da also nix !
Das ist ja der tiefere Sinn eines (sicheren) VPNs !!
Dieses Netzwerk ist in 50% aller Bödmarkt und Provider Billigrouter per Default implementiert und massenhaft im Einsatz
Du weisst ja sicher selber das das remote Netzwerk und das lokale Netz bei VPNs immer UNTERSCHIEDLICH sein müssen zwangsweise ! Ein goldener Grundsatz beim Design von VPNs !!
Es ist also nur eine Frage der Zeit wann du remote das 192.168.2.0er Netz auch antriffst und aus so einem Netz ist ein VPN auf dein Netz dann völlig unmöglich.
Intelligenter wäre es hier gewesen sowas wie 10.168.2.0 /24, 172.31.148.0 /24 oder 192.168.148.0 /24 oder...oder... zu verwenden also eine etwas exotischere IP Netz Kombination aus dem Privaten IP Adresspool (RFC 1918) als gerade die dümmliche und am meisten verwendete 192.168.2.0 ....eine sehr schlechte Wahl für den VPN Betrieb.
OK, wenn du sicher stellen kannst das dein remotes Netz garantiert NICHT diese 192.168.2.0 als Netzwerk hat, dann stellst du die VPN PPTP Verbindung mit dem Client her.
Wenn soweit alles OK ist und die Verbindung da ist, gibst du auf dem Client ipconfig ein oder ipconfig -all.
Auf dem nun aktiven PPTP VPN Netzwerk Adapter siehst du eine aktuelle, vom Server an den VPN Client vergebene IP Adresse (deine Client IP) und auch ein Gateway (Die VPN Server IP).
Die VPN Server IP muss im gleichen IP Netz sein !
Diese Server IP muss in jedem Falle pingbar sein sofern das Pingen (ICMP) auf dem VPN Server aktiviert ist (Haken bei "auf Echoanforderungen antworten" setzen !) Das musst du sicherstellen, denn sonst Pingst du dich schwarz !
Erst wenn das überhaupt klappt lohnt sich ein Weitermachen, denn das ist die Mindestvoraussetzung für eine Funktion des VPNs !
Da der VPN Server eine Point to Point Verbindung mit dem VPN Client hat, hast du keine Probleme mit Routing. Ein Ping muss durch die Point to Point Beziehung also immer möglich sein sofern Pingen erlaubt ist.
Den Ping Prozess im PPTP VPN Tunnel kannst du logischerweise nicht sehen, denn der VPN Tunnel ist verschlüsselt. Wireshark o.ä. nützt da also nix !
Das ist ja der tiefere Sinn eines (sicheren) VPNs !!
Ja, diese Host Subnetzmaske mit 32 Bit ist OK, das gehört so.
Allerdings "Server-IP-Adresse: 10.168.2.0" ist Unsinn, denn das ist KEINE Host IP Adresse sondern eine Netzwerk Adresse die man keinem Host geben kann !
Da stimmt also was nicht !
Wenn die PPTP Verbindung aktiv ist was ergibt der Output von route print ??
Als Beispiel siehst du hier mal einen für ein remotes Netz 172.16.1.0 /24
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
172.16.0.0 255.255.0.0 172.16.1.246 172.16.1.246 1
172.16.1.246 255.255.255.255 127.0.0.1 127.0.0.1 50
172.16.255.255 255.255.255.255 172.16.1.246 172.16.1.246 50
x.y.x.y 255.255.255.255 192.168.1.1 192.168.1.100 20
255.255.255.255 255.255.255.255 172.16.1.246 3 1
255.255.255.255 255.255.255.255 172.16.1.246 172.16.1.246 1
255.255.255.255 255.255.255.255 172.16.1.246 10005 1
Standardgateway: 192.168.1.1
Ständige Routen:
Keine
Bei dir müssen in der Route Tabelle bei aktiver PPTP Verbindung beide Netze:
192.168.2.0
und
10.168.2.0
drinstehen !
x.y.x.y ist die öffentliche Tunnel Endpunkt IP, was bei dir deine Swisscomm Router IP sein muss. 192.168.1.1 ist der lokale Router.
Daran kannst du übrigens sehen das es absolut unsinnig war dem VPN Netz die 10.168.2.0 /24 zu geben, denn dein Zielnetz ist ja weiterhin die 192.168.2.0 in dem du arbeiten willst.
Diese Änderung ist also vollkommen sinnlos !!
Deine LAN IP Adressierung musst du ändern auf eines der o.a. Netze NICHT das VPN...das bringt nix !
Du hast also weiterhin das Problem, das niemand der lokal in einem 192.168.2.0er IP Netz sich mit dem Client befindet eine funktionierende VPN Verbindung zu dir aufbauen kann !!!
Stell also erstmal sicher das Client und VPN Server für deinen Test niemals beide lokal im 192.168.2.0er Netz sind !!
Langfristig solltest du dann unbedingt deine IP Adressierung im LAN ändern wenn du häufiger VPN mit mehreren Clients benutzt um die mit Sicherheit kommenden Problem bei Verwendung eines 192.168.2er Netzes sicher zu vermeiden !
Allerdings "Server-IP-Adresse: 10.168.2.0" ist Unsinn, denn das ist KEINE Host IP Adresse sondern eine Netzwerk Adresse die man keinem Host geben kann !
Da stimmt also was nicht !
Wenn die PPTP Verbindung aktiv ist was ergibt der Output von route print ??
Als Beispiel siehst du hier mal einen für ein remotes Netz 172.16.1.0 /24
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
172.16.0.0 255.255.0.0 172.16.1.246 172.16.1.246 1
172.16.1.246 255.255.255.255 127.0.0.1 127.0.0.1 50
172.16.255.255 255.255.255.255 172.16.1.246 172.16.1.246 50
x.y.x.y 255.255.255.255 192.168.1.1 192.168.1.100 20
255.255.255.255 255.255.255.255 172.16.1.246 3 1
255.255.255.255 255.255.255.255 172.16.1.246 172.16.1.246 1
255.255.255.255 255.255.255.255 172.16.1.246 10005 1
Standardgateway: 192.168.1.1
Ständige Routen:
Keine
Bei dir müssen in der Route Tabelle bei aktiver PPTP Verbindung beide Netze:
192.168.2.0
und
10.168.2.0
drinstehen !
x.y.x.y ist die öffentliche Tunnel Endpunkt IP, was bei dir deine Swisscomm Router IP sein muss. 192.168.1.1 ist der lokale Router.
Daran kannst du übrigens sehen das es absolut unsinnig war dem VPN Netz die 10.168.2.0 /24 zu geben, denn dein Zielnetz ist ja weiterhin die 192.168.2.0 in dem du arbeiten willst.
Diese Änderung ist also vollkommen sinnlos !!
Deine LAN IP Adressierung musst du ändern auf eines der o.a. Netze NICHT das VPN...das bringt nix !
Du hast also weiterhin das Problem, das niemand der lokal in einem 192.168.2.0er IP Netz sich mit dem Client befindet eine funktionierende VPN Verbindung zu dir aufbauen kann !!!
Stell also erstmal sicher das Client und VPN Server für deinen Test niemals beide lokal im 192.168.2.0er Netz sind !!
Langfristig solltest du dann unbedingt deine IP Adressierung im LAN ändern wenn du häufiger VPN mit mehreren Clients benutzt um die mit Sicherheit kommenden Problem bei Verwendung eines 192.168.2er Netzes sicher zu vermeiden !
Da kannst du gleich sehen wo dein Problem ist:
Dein VPN Server übermittelt nicht die Route in das lokale 192.168.2.0er Netz an den Client !!
Hier müsste als Gateway auch die 10.168.2.6 stehen und genau diese Route fehlt !
Bei Zugriffen auf dieses Netz routet der Client das 192.168.2er Netz statt auf den VPN Adapter an den lokalen Internet Router und damit ins Nirwana.
Somit ist ein Zugriff auf dein Lokales netzwerk und allen Komponenten vollkommen unmöglich.
Fazit: Da ist also noch einen Fehlkonfiguration des VPN Servers vorhanden, denn der MUSS das 192.168.2.0er Netzwerk an den Client propagieren, sonst wirds nix mit dem VPN.
Da musst du dir also nochmal die VPN Konfig im Winblows Servers vornehmen...da sit der Kincken versteckt, denn der muss das 192.168.2.0er Netz an den Client beim PPTP Sessionaufbau propagieren.
Du kannst das auch testweise auf dem Client mit einer statischen Route erzwingen die da lautet:
route add 192.168.2.0 mask 255.255.255.0 10.168.2.6 1
Ggf. analog route add 192.168.1.0 mask 255.255.255.0 10.168.2.0 274 am Server.
Damit erzwingst du ein Routing des 192.168.2.0er Netzes beim Client in das VPN aber das ist nicht der Sinn der Sache, denn das soll und muss dynmaisch passieren, denn du willst ja nicht allen VPN Clients manuelle eine statische Route verpassen !
Es ist also nur ein quick and dirty Workaround für den Test.
Dein VPN Server übermittelt nicht die Route in das lokale 192.168.2.0er Netz an den Client !!
Hier müsste als Gateway auch die 10.168.2.6 stehen und genau diese Route fehlt !
Bei Zugriffen auf dieses Netz routet der Client das 192.168.2er Netz statt auf den VPN Adapter an den lokalen Internet Router und damit ins Nirwana.
Somit ist ein Zugriff auf dein Lokales netzwerk und allen Komponenten vollkommen unmöglich.
Fazit: Da ist also noch einen Fehlkonfiguration des VPN Servers vorhanden, denn der MUSS das 192.168.2.0er Netzwerk an den Client propagieren, sonst wirds nix mit dem VPN.
Da musst du dir also nochmal die VPN Konfig im Winblows Servers vornehmen...da sit der Kincken versteckt, denn der muss das 192.168.2.0er Netz an den Client beim PPTP Sessionaufbau propagieren.
Du kannst das auch testweise auf dem Client mit einer statischen Route erzwingen die da lautet:
route add 192.168.2.0 mask 255.255.255.0 10.168.2.6 1
Ggf. analog route add 192.168.1.0 mask 255.255.255.0 10.168.2.0 274 am Server.
Damit erzwingst du ein Routing des 192.168.2.0er Netzes beim Client in das VPN aber das ist nicht der Sinn der Sache, denn das soll und muss dynmaisch passieren, denn du willst ja nicht allen VPN Clients manuelle eine statische Route verpassen !
Es ist also nur ein quick and dirty Workaround für den Test.
Nein, nur mit dem Parameter -p wäre die Route permanent. Da du das aber nicht eingegeben hast ist sie nach dem nächsten Reboot wieder verschwunden, das gilt sowohl für Server als auch Client.
Interessant wäre zum Check der Wegewahl mit den Routen mal ein Pathping oder Traceroute Test auf einen Host oder den Server im 192.168.2.0er netz selber gewesen aber leider hats dafür bei dir nicht gereicht.
Man kann dann nur vermuten das die Firewall(s) auf VPN Server bzw. Zielrechner leider nicht richtig customized sind und einen Zugriff aus dem remoten VPN Netz verhindern.
Das ist eigentlich die einzige Erklärung die noch übrigbleibt. Es kann nur noch am VPN Server selber liegen und ist vermutlich dann eher eine Frage der Winblows Serverkonfiguration denn einer Netzwerkfrage selber...
Ansonsten musst du definitiv mal mit dem Wireshark oder dem MS Netmonitor dir den Traffic über den VPN Server ansehen.
Interessant wäre zum Check der Wegewahl mit den Routen mal ein Pathping oder Traceroute Test auf einen Host oder den Server im 192.168.2.0er netz selber gewesen aber leider hats dafür bei dir nicht gereicht.
Man kann dann nur vermuten das die Firewall(s) auf VPN Server bzw. Zielrechner leider nicht richtig customized sind und einen Zugriff aus dem remoten VPN Netz verhindern.
Das ist eigentlich die einzige Erklärung die noch übrigbleibt. Es kann nur noch am VPN Server selber liegen und ist vermutlich dann eher eine Frage der Winblows Serverkonfiguration denn einer Netzwerkfrage selber...
Ansonsten musst du definitiv mal mit dem Wireshark oder dem MS Netmonitor dir den Traffic über den VPN Server ansehen.
Nein, du hast das alles absolut richtig interpretiert...keine Frage. Einzig was noch interessant gewesen wäre ist die Quell IP die der Client bzw. der Server benutzt wenn er über den VPN Link pingt.
Es wäre mal interessant zu sehen ob er da eine 10.168er IP oder eine 192.168er IP benutzt.
Aber egal....Fazit ist ganz richtig das dein Server der böse Buhmann ist. Wenn er eingehende Pings nicht sieht bzw. ausgehende nicht beantwortet werden ist vermutlich seine Firewall oder irgendeine Policy aktiv die entweder ICMP oder IPs dieser Netzwerke blockt.
Das musst du also herausfinden wo das am Server passiert. Was den Ping anbetrifft solltest du auch am Client checken ob dort in den erweiterten Einstellungen des PPTP Clients unter Firewall -> ICMP der Haken bei "Auf eingehende Echoanforderungen antworten" gesetzt ist !
Erst dann ist ein Ping erst möglich !
Der Verhinderer ist auf alle Fälle der Win Server bzw. VPN Server.
Hast du am Server mal ins Log gesehen was dort passiert ?? Sind dort irgendwelche Errormeldungen zu sehen ??
Es wäre mal interessant zu sehen ob er da eine 10.168er IP oder eine 192.168er IP benutzt.
Aber egal....Fazit ist ganz richtig das dein Server der böse Buhmann ist. Wenn er eingehende Pings nicht sieht bzw. ausgehende nicht beantwortet werden ist vermutlich seine Firewall oder irgendeine Policy aktiv die entweder ICMP oder IPs dieser Netzwerke blockt.
Das musst du also herausfinden wo das am Server passiert. Was den Ping anbetrifft solltest du auch am Client checken ob dort in den erweiterten Einstellungen des PPTP Clients unter Firewall -> ICMP der Haken bei "Auf eingehende Echoanforderungen antworten" gesetzt ist !
Erst dann ist ein Ping erst möglich !
Der Verhinderer ist auf alle Fälle der Win Server bzw. VPN Server.
Hast du am Server mal ins Log gesehen was dort passiert ?? Sind dort irgendwelche Errormeldungen zu sehen ??