herm77
Goto Top

kein Ping ueber VPN moeglich

Moin,
ich habe hier bereits aehnliche Probleme gefunden, aber keinen der mir geholfen hat.

Folgende Konstellation:

In den Filialen ist DSL mit dyndns vorhanden. Der Router soll VPN weiterleiten fuer eingehende Verbindungen. Damit steht die Verbindung und der Datenaustausch soll danach ueber die Windows Freigaben erfolgen.

In der 1. Filiale ist eine AVM SL WLAN vorhanden. Hier funktioniert es problemlos. VPN, Ping, Freigaben erreichbar.

In der 2. Filiale war zuerst eine alte Teledat Box. Diese hat der Kunde gegen einen Netgear WGR614 ausgetauscht. Darueber funktioniert aber kein VPN. Habe hier noch einige Eintraege gefunden, da die VPN Protokoll nicht weitergeleitet wurden. Diesen hat er
gegen einen Speedport W700V ausgetauscht. Damit funktioniert die VPN, aber der Ping ins interne Netzwerk ist nicht moeglich.

Hat jemand noch eine Idee, woran es liegen koennte?

Content-ID: 73866

Url: https://administrator.de/forum/kein-ping-ueber-vpn-moeglich-73866.html

Ausgedruckt am: 25.12.2024 um 05:12 Uhr

aqui
aqui 19.11.2007 um 12:07:17 Uhr
Goto Top
WO terminiert er denn die VPN Verbindung ??? Ist denn wenigstens dieser Endpunkt (vermutlich ein Server) pingbar ???
Sehr wahrscheinlich ist das ein Routing Problem denn die Clients im lokalen Netz haben vermutlich ein anderes Gateway (Speedport) als diesen VPN Server. Du musst also um das einfach zu lösen eine statische Route im Speedport auf den VPN Server eintragen.
Leider schreibst du dazu sehr wenig, so das eine sinnvolle Hilfe sehr schwer ist und man eigentlich nur im freien Fall raten kann und damit ist dir sicher nicht wirklich geholfen... face-sad

Generell ist es immer eine schlechte Lösung ein VPN auf Geräte hinter dem Router per Port Forwarding zu realiseren. Das ist auch wahrscheinlich der Grund warum es mit dem NetGear nicht geklappt hat denn dort hat sicher schicht und einfach eine dummer Port Forwarding Liste für das VPN Protokoll gefehlt....

Besser wäre es in jedem Falle gewesen statt des Speedports einen VPN Router wie z.B. welche von DRAYTEK einzusetzen die zentral aktiv die VPN Verbindung steuern und nichts dahinter im lokalen Netz. Man ist dann vor Ausfällen sicherer und muss nicht einen externen VPN Server vorhalten.
Leider denken viele Administratoren erst hinterher darüber nach... face-sad
Herm77
Herm77 19.11.2007 um 12:25:43 Uhr
Goto Top
Ich kann im 'fremden' Netzwerk nichts anpingen. Weder die IP Adresse des Rechners noch die des VPN-Servers (RAS Pool).

Ich kann auch nur die Port fuer TCP und/oder UDP weiterleiten. Das GRE-Protokoll gibt es im Speedport nicht. Das ist halt das Problem bei bestehender Hardware.

In der Fritzbox auf der ich dies konfiguriert habe, braucht ich auch nur 1723/TCP sowie 47/GRE weiterleiten.

Ich muesste hier erst mal nachsehen, ob man im Speedport eine Routre setzen kann. Diese Speedport-Teile sind nicht mein Favorit. Damit habe ich immer wieder mal Probleme.
aqui
aqui 19.11.2007 um 12:39:46 Uhr
Goto Top
Nein, der Speedport unterstützt sowas meist nicht. Das sind Consumer Router für Otto Sofasurfer und nichts für das professionelle Netzwerkumfeld !!

Vermutlich kommt bei dir nicht mal die VPN Verbindung zustande, denn den VPN Endpunkt solltes du unter jeden Umständen pingen können sofern die Firewall im Rechner das nicht verhindert (ICMP Eigenschaften, dort muss Antwort auf echo reply Packte aktiviert sein !!!)

Leider schreibst du auch gar nichts über dein verwendetes VPN Protokoll, so das man nun raten muss ob es IPsec, PPTP, L2TP, SSL oder was auch immer ist. Vermutlich aber PPTP wenn du von Port TCP 1723 und dem GRE Protokoll redest.
Wie gesagt...technisch besser ist es sowas direkt auf einem VPN fähigen Router zu terminieren wie oben beschrieben !
Herm77
Herm77 20.11.2007 um 11:33:20 Uhr
Goto Top
Laut DFUE-Symbol steht die VPN-Verbindung. Ich erhalte auch eine IP-Adresse aus dem
gegenueberliegenden RAS-Pool.

Ich habe sogar schon testweise die Firewall abgeschaltet um auszuschliessen das ich davon geblockt werden.

Wie Du schon richtig erkannt hast, verwende ich PPTP (1723/TCP...).
aqui
aqui 20.11.2007 um 12:25:28 Uhr
Goto Top
Mmmhhh...wenn du eine IP Adresse bekommst ist das schon mal gut !
Was sagt denn ein ipconfig -all in der Eingabeaufforderung ??? Zeigt er dir für die VPN Verbindung dort ein Gateway an ??? Wenn ja, kannst du das pingen ???
Herm77
Herm77 20.11.2007 um 13:22:17 Uhr
Goto Top
Ich erhalte auf der Verbindung ein Gateway aus dem IP-Netz und kann dieses auch anpingen.

Dann koennte man doch event. hier versuchen eine Route zu setzen, oder?
aqui
aqui 20.11.2007 um 13:26:46 Uhr
Goto Top
Das sieht gut aus. Also kommst du schonmal zum VPN Server sicher rüber ! Vermutlich ist in deiner Filiale ein Router und alle Clients inklusive des Servers haben den als Gateway. Hier musst du dann ansetzen mit deiner Route aber dafür müsste man etwas mehr über die Netzstruktur in der Filiale wissen...
Herm77
Herm77 20.11.2007 um 14:02:53 Uhr
Goto Top
In der Filiale ist nur ein PC. Dieser hat auch den VPN-Server aufgesetzt.

PC: 192.168.2.10
RAS-Pool: 192.168.2.11-192.168.2.19
Router: 192.168.2.1


In der aktiven VPN-Sitzung
Gateway: 192.168.2.19

Brauchst Du noch mehr?
aqui
aqui 20.11.2007 um 14:15:21 Uhr
Goto Top
Das ist dann einfach, dann sollte ein Start -> Ausführen -> \\<ip_adresse_pc> dich sofort auf dessen Freigaben bringen sofern die vorhanden sind und die lokale Firewall entsprechend konfiguriert ist und das zulässt.
Herm77
Herm77 20.11.2007 um 16:59:18 Uhr
Goto Top
Ich habe das gerade nochmals ausgetestet.

Nachdem ich jetzt ein anderes Gateway bekommen habe viel mir auch auf,
das dieses Gateway der IP entspricht die ich vom RAS-Pool erhalte.

Somit mache ich nur eine Verbindung auf mich selbst.
aqui
aqui 20.11.2007 um 17:05:52 Uhr
Goto Top
OK, was macht denn ein ping 192.168.2.10 oder Start -> Ausführen -> \\192.168.2.10
Sofern die Firewall an diesem PC entsprechend customized ist sollte das klappen.
Herm77
Herm77 20.11.2007 um 17:25:36 Uhr
Goto Top
Ein ping auf die 192.168.2.10 (physischer Netzwerkadapter)
sowie auf die 192.168.2.11 (1. RAS IP = DFUE Server) funktionieren nicht.
Selbst bei ausgeschalteter Firewall funktioniert es nicht.
Herm77
Herm77 22.11.2007 um 17:06:39 Uhr
Goto Top
Moin,
wir haben jetzt in der Filiale den Speedport mit einer FritzBox ausgetauscht. Wie in der Filiale 4 und auch entsprechend genau so konfiguriert.

Gleicher Effekt wie zuvor. VPN baut auf und kein Ping geht durch. Ich kann noch nicht einmal die FritzBox erreichen.

Kann es hier ein Problem mit dem IP-Stack auf dem Rechner geben?
aqui
aqui 25.11.2007 um 14:14:32 Uhr
Goto Top
Nein, eigentlich kanns das nur noch ein Firewall Problem sein oder das ICMP echo reply Packete (Eigenschaften der FW) nicht aktiviert sind auf dem Rechner. Das solltest du also vorher sorgfältig prüfen... Oder die FW mal temporär deaktivieren !
Herm77
Herm77 25.11.2007 um 23:36:30 Uhr
Goto Top
Auf dem Rechner ist eine Firewall von GData vorhanden gewesen. Diese wurde auch bereits deaktiviert, sodass der Rechner zwischenzeitlich keinen Schutz hatte, aber das war ebenfalls voellig ohne Erfolg.
aqui
aqui 26.11.2007 um 17:26:33 Uhr
Goto Top
Das muss nichts bedeuten. Am Beispiel von Zone Alarm kannst du das sehen. Auch ein vollständiges Entfernen entfernt diese FW nicht und blockiert immer weiter Traffic.
Es ist zu vermuten das diese GData FW ähnliches angerichtet hat, denn das Verhalten ist sehr unüblich für ein Standard Windows...
Herm77
Herm77 27.11.2007 um 19:11:31 Uhr
Goto Top
Es scheint auf der Kiste ein generelles Problem mit VPN zu bestehen.

Habe versucht eine ausgehende VPN Verbindung aufzubauen die zu stande
kommt, aber auch hier kein Ping auf die andere Seite durchlaesst.

Habe die Datenuebertragung jetzt auf ISDN angebunden. RAS-Verbindung
steht, Freigaben sind erreichbar. Damit ist es fuer mich erledigt. VPN waere
schoen gewesen. Schneller und kostenguenstiger, aber was nicht ist, ...