babu64
Goto Top

Kein Ping aus VPN möglich

Hallo,

ich habe folgende Frage:

Ich verbinde mich über meinen Mac (Tunnelblick) in mein Firmennetzwerk. Das VPN hat bisher immer problemlos funktioniert.

Wir haben jetzt einen neuen Server bekommen mit Windows Server R2. Bevor die Firewall aufgesetzt wurde (kaspersky endpiont security 10) war die Verbindung über RDV möglich.

Jetzt kann ich mich in den Server nicht mehr einwählen. Ein Ping vom Mac auf die IP zeigt, dass er die Pakete verliert.

Wenn ich einen anderen Rechner im Netzwerk pinge, sind alle Pakete angekommen. Auch die Verbindung vom Mac zu diesem Rechner klappt über RDV. Wenn ich dann auf diesem Rechner bin, dann kann ich mich auch im lokalem Netzwerk auf den Server einwählen.

In Kaspersky habe ich bei den Richtlinien die RDV Verbindung freigegeben.

Vielleicht hat jemand eine Idee?

Viele Grüße

Content-ID: 279638

Url: https://administrator.de/forum/kein-ping-aus-vpn-moeglich-279638.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Pjordorf
Lösung Pjordorf 08.08.2015 aktualisiert um 17:13:30 Uhr
Goto Top
Hallo,

Zitat von @Babu64:
Wir haben jetzt einen neuen Server bekommen mit Windows Server R2
2003 R2?

Bevor die Firewall aufgesetzt wurde (kaspersky endpiont security 10)
Auf den Server? Warum? Keine Zentrale Lösung?

war die Verbindung über RDV möglich.
Sicher das deine IP generell zugelassen ist? Immerhin, alles sei neu hast du geschrieben....

Jetzt kann ich mich in den Server nicht mehr einwählen. Ein Ping vom Mac auf die IP zeigt, dass er die Pakete verliert.
Der Mac verliert die Pakete? Wo? oder antwortet der Server (der neue) einfach nicht bzw. nimmt die gar nicht erst an? Wie schon gesagt, kommen die dort an und darf der neue (Server?) denn da dann auch mit diesen IP (auch IP Netz(e)) etwas tun?

In Kaspersky
auf einen Server. Und dann noch dessen Firewall. Brrrrr Muss also wirklich ein 2003 er sein, sonst würdet ihr doch die Windows eigene Firewall (welche doch genau das tut was die soll).....

Gruß,
Peter
Babu64
Babu64 08.08.2015 aktualisiert um 17:50:29 Uhr
Goto Top
Hallo Peter,

also das BS ist Windows Server 2012.

Kaspersky wird auf dem Server zentral verwaltet über das Administrationscenter. Dort wird die Richtlinie für alle Computer festgelegt und verteilt.

Die IP die über das VPN vergeben wird, kann ich in Tunnelblick leider nicht sehen. Das VPN wird über eine Linux-Hardware-Firewall aufgebaut.
Ich bin darüber im lokalem Netz und kann mich auch auf die anderen Rechner verbinden. Das heißt das VPN steht.

Der Ping ergibt bei der Server Adresse:
„Ping“ wurde gestartet …

PING 192.168.x.x (192.168.x.x): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
Request timeout for icmp_seq 7
Request timeout for icmp_seq 8

--- 192.168.x.x ping statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss

Bei einem anderen Rechner:
„Ping“ wurde gestartet …

PING 192.168.x.x (192.168.x.x): 56 data bytes
64 bytes from 192.168.x.x: icmp_seq=0 ttl=127 time=138.260 ms
64 bytes from 192.168.x.x: icmp_seq=1 ttl=127 time=98.561 ms
64 bytes from 192.168.x.x: icmp_seq=2 ttl=127 time=97.051 ms
64 bytes from 192.168.x.x: icmp_seq=3 ttl=127 time=82.266 ms
64 bytes from 192.168.x.x: icmp_seq=4 ttl=127 time=140.282 ms
64 bytes from 192.168.x.x: icmp_seq=5 ttl=127 time=94.212 ms
64 bytes from 192.168.x.x: icmp_seq=6 ttl=127 time=91.967 ms
64 bytes from 192.168.x.x: icmp_seq=7 ttl=127 time=80.346 ms
64 bytes from 192.168.x.x: icmp_seq=8 ttl=127 time=81.473 ms
64 bytes from 192.168.x.x: icmp_seq=9 ttl=127 time=80.693 ms

--- 192.168.x.x ping statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 80.346/98.511/140.282/21.424 ms

Viele Grüße Mike
Pjordorf
Lösung Pjordorf 08.08.2015, aktualisiert am 09.08.2015 um 15:21:08 Uhr
Goto Top
Hallo,

Zitat von @Babu64:
also das BS ist Windows Server 2012.
Nicht doch eher ein 2012R2? Dein Mac unterscheidet sich doch auch in verschiedene HW Modelle sowie Software Version mit entsprechenden unterschieden, oder?

Kaspersky wird auf dem Server zentral verwaltet über das Administrationscenter
Mag sein. Kaspersky Firewall zusätzlich zur Windows Firewall - sorry das ergibt 2 Baustellen....

Die IP die über das VPN vergeben wird, kann ich in Tunnelblick leider nicht sehen.
Dein Mac kennt keine Möglichkeit dir die IPs anzuzeigen? Unglaublich.....

Das VPN wird über eine Linux-Hardware-Firewall aufgebaut.
Na, immer schon mal nützliche Information....

Der Ping ergibt bei der Server Adresse:
Von dein Mac gestartet der den Server nur per Tunnel erreichen kann?

PING 192.168.x.x
PS. Millionen Leute nutzen deine IP. Schön geheim halten (die privaten IPs die Millionfach genutzt werden) (Sinnlos) Zur Fehlersuche aber ungeeignet....

Request timeout for icmp_seq 0
Jo, keine Antwort vom angepingten (Ziel)
Kommt die ICMP Anforderung am Ziel denn überhaupt an? Ein Kabelhai auf den ziel wird es dir sagen...

64 bytes from 192.168.x.x: icmp_seq=0 ttl=127 time=138.260 ms
Klar, der Antwortet ja auch. dein Problem ist aber ein anders Ziel.

Ihr habt das Ziel (den Server) erneuert. Habt ihr dort alle nötigen Einstellungen welche ihr braucht auch gesetzt - Firewall als Beispiel das eben andere Netze..... ob jetzt in der Windows Firewall oder in Kaspersky oder beides ...... das wäre mal ein Anfang.

Was sagt ein (auf dem Ziel ausgeführt) Kabelhai?

Gruß,
Peter
122990
Lösung 122990 09.08.2015 aktualisiert um 15:21:04 Uhr
Goto Top
Moin,
da wird deine zusätzliche Kaspersky Firewall ICMP traffic (Pings) etc. aus anderen Subnetzen blockieren, typischer Fehler.
Schalte den VPN Subnetzbereich oder alle Subnetze in der Firewall frei und schon läuft das.

Btw. Eine zusätzliche Software FW ist hier vollkommener Blödsinn und macht nur mehr Ärger als Nutzen!!

Da war mal wieder ein Honk am Werk ...

Gruß grexit
aqui
Lösung aqui 09.08.2015 aktualisiert um 15:21:03 Uhr
Goto Top
...denn der Honk wusste oder weiss nicht das Ping eben ICMP Traffic ist und man auch ICMP freigeben muss in der Firewall.
Wenn man denn unbedingt Pingen muss....
Babu64
Babu64 09.08.2015 um 15:24:38 Uhr
Goto Top
Hallo,

vielen Dank für die Unterstützung.

Es war die Firewall und das ICMP. Problem war, dass Kaspersky die zentrale Richtlinie nicht verteilt hatte und deshalb jeder Rechner unterschiedliche Einstellungen hatte.

Danke und Viele Grüße
aqui
aqui 09.08.2015 um 15:47:39 Uhr
Goto Top
Deshalb sollte man auch auf solch überflüssigen Mist verzichten. Die bordeigen Firewall kann das auch alles wasserdicht erledigen.
Aber gut wenns nun klappt wie es soll...