Kein VPN über LAN Verbindung
Hallo miteinander,
ich habe kürzlich schon einmal über dieses Problem geschrieben und scheinbar eine Lösung gehabt...
Keine Serverinhalte VPN über LAN Verbindung
Der Thread war scheinbar gelöst, bin aber nochmals auf einige Probleme gestoßen....
Hier Nochmal die Problematik:
ich habe ein Problem mit VPN.
Wir setzen ein eine Cisco Meraki firewall und Microsoft VPN (rasphone.pbk)
Wenn der externe User sich mit seinem Laoptop via WLAN mit seinem Router verbindet und anschließend den VPN startet, ist alles ok.
Er kann auf meine freigegebenen Serverfreigaben problemlos zugreifen.
Verbindet er sich mit dem Kabel an seinen Router, kann er zwar auch den VPN starten, aber Zugriffe sind nicht mehr möglich.
Was mache ich falsch?
Die interne IP Adresse meines Servers ist 192.168.20.80
Was mir Schleierhaft ist, die IP des Servers SAB015 ist 192.168.20.80
Wenn ich über LAN mit dem Router konnektiert bin und ich frage über nslookup die IP von sab015 ab dann erhalte ich 5.35.226.178.
Pinge ich hier aber die 192.168.20.80 an, bekomme ich keine Fehlwer
Mache ich das Ganze über WLN, dann erhalte ich die korrekte Adresse 192.168.20.80
Dazu ist noch zu sagen, das unsere lokale Domäne gleich heisst wie die TopLevel Domain xxxx.de
Hier einige infos:
Verbindung mit LAN auf die FritzBox (wo es nicht funktioniert)
Verbindung via WLAN mit der selben FritzBox
WLAN mit Fritzbox
Was mir total schreierhaft ist, die IPv4 Einstellungen im WLAN Adapter und im Ethernet Adapter sind absolut identisch. DHCP und DNS automatisch beziehen.
Mit WLAN klappt es mit LAN nicht.
Unter Windows 7 hatte ich mit der exakt selben Konfiguration keine Probleme
Mir wurde dann geraten, in der LAN Verbindung den internen DNS Server 192.168.20.2 zu hinterlegen. Als sekundären DNS habe ich die Fritz Box (192.168.178.1) hinterlegt.
Das klappt jetztg auch soweit.
Auch wurde mir geraten, den lokalen DNS der VPN Verbindung mitzugeben, wie mache ich das? Wr nehmen als VPN Client die rasphone.pbk, arbeiten also mit windows 10 Bordmitteln.
Jetzt zum weiteren Problem:
Da es sich um Laptops im Aussendienst handelt, sind diese immer wieder in anderen Netzwerken angemeldet. Wie erreiche ich es, dass der sekundäre DNSD automatisch gezogen wird, oder gibt es eine andere lösung.....
lg
Thomas
ich habe kürzlich schon einmal über dieses Problem geschrieben und scheinbar eine Lösung gehabt...
Keine Serverinhalte VPN über LAN Verbindung
Der Thread war scheinbar gelöst, bin aber nochmals auf einige Probleme gestoßen....
Hier Nochmal die Problematik:
ich habe ein Problem mit VPN.
Wir setzen ein eine Cisco Meraki firewall und Microsoft VPN (rasphone.pbk)
Wenn der externe User sich mit seinem Laoptop via WLAN mit seinem Router verbindet und anschließend den VPN startet, ist alles ok.
Er kann auf meine freigegebenen Serverfreigaben problemlos zugreifen.
Verbindet er sich mit dem Kabel an seinen Router, kann er zwar auch den VPN starten, aber Zugriffe sind nicht mehr möglich.
Was mache ich falsch?
Die interne IP Adresse meines Servers ist 192.168.20.80
Was mir Schleierhaft ist, die IP des Servers SAB015 ist 192.168.20.80
Wenn ich über LAN mit dem Router konnektiert bin und ich frage über nslookup die IP von sab015 ab dann erhalte ich 5.35.226.178.
Pinge ich hier aber die 192.168.20.80 an, bekomme ich keine Fehlwer
Mache ich das Ganze über WLN, dann erhalte ich die korrekte Adresse 192.168.20.80
Dazu ist noch zu sagen, das unsere lokale Domäne gleich heisst wie die TopLevel Domain xxxx.de
Hier einige infos:
Verbindung mit LAN auf die FritzBox (wo es nicht funktioniert)
C:\Users\thschmid_dom>nslookup sab015
Server: fritz.box
Address: 192.168.178.1
Nicht autorisierende Antwort:
Name: sab015.xxx.de
Address: 5.35.226.178
ping sab015
C:\Users\thschmid_dom>ping sab015
Ping wird ausgeführt für SAB015.tox.de [5.35.226.178] mit 32 Bytes Daten:
Antwort von 5.35.226.178: Bytes=32 Zeit=74ms TTL=56
Antwort von 5.35.226.178: Bytes=32 Zeit=84ms TTL=56
Ping wird ausgeführt für 192.168.20.80 mit 32 Bytes Daten:
Antwort von 192.168.20.80: Bytes=32 Zeit=96ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=162ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=111ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=254ms TTL=127
Ping-Statistik für 192.168.20.80:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ethernet-Adapter Ethernet:
Verbindungsspezifisches DNS-Suffix: fritz.box
Beschreibung. . . . . . . . . . . : Intel(R) 82579V Gigabit Network Connection
Physische Adresse . . . . . . . . : A4-5D-36-9B-CE-5E
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::303f:67a4:b8e3:9fba%24(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.178.21(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Donnerstag, 11. April 2019 09:07:23
Lease läuft ab. . . . . . . . . . : Sonntag, 21. April 2019 09:07:23
Standardgateway . . . . . . . . . : 192.168.178.1
DHCP-Server . . . . . . . . . . . : 192.168.178.1
DHCPv6-IAID . . . . . . . . . . . : 111435062
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-23-4F-71-BB-A4-5D-36-9B-CE-5E
DNS-Server . . . . . . . . . . . : 192.168.178.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.21 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
192.168.178.0 255.255.255.0 Auf Verbindung 192.168.178.21 281
192.168.178.21 255.255.255.255 Auf Verbindung 192.168.178.21 281
192.168.178.255 255.255.255.255 Auf Verbindung 192.168.178.21 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.178.21 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.178.21 281
===========================================================================
Ständige Routen:
Keine
Verbindung via WLAN mit der selben FritzBox
WLAN mit Fritzbox
C:\Users\thschmid_dom>nslookup sab015
Server: SAB002.xxx.de
Address: 192.168.20.2
Name: sab015.xxx.de
Address: 192.168.20.80
C:\Users\thschmid_dom>ping sab015
Ping wird ausgeführt für sab015.tox.de [192.168.20.80] mit 32 Bytes Daten:
Antwort von 192.168.20.80: Bytes=32 Zeit=60ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=71ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=59ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=61ms TTL=127
Ping-Statistik für 192.168.20.80:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 59ms, Maximum = 71ms, Mittelwert = 62ms
Verbindungsspezifisches DNS-Suffix: fritz.box
Beschreibung. . . . . . . . . . . : Broadcom BCM943228HM4L 802.11a/b/g/n 2x2 WiFi Adapter
Physische Adresse . . . . . . . . : 34-23-87-49-E6-46
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::11a7:a785:ea26:97ee%25(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.178.24(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Donnerstag, 11. April 2019 09:01:15
Lease läuft ab. . . . . . . . . . : Sonntag, 21. April 2019 09:01:15
Standardgateway . . . . . . . . . : 192.168.178.1
DHCP-Server . . . . . . . . . . . : 192.168.178.1
DHCPv6-IAID . . . . . . . . . . . : 154411911
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-23-4F-71-BB-A4-5D-36-9B-CE-5E
DNS-Server . . . . . . . . . . . : 192.168.178.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Was mir total schreierhaft ist, die IPv4 Einstellungen im WLAN Adapter und im Ethernet Adapter sind absolut identisch. DHCP und DNS automatisch beziehen.
Mit WLAN klappt es mit LAN nicht.
Unter Windows 7 hatte ich mit der exakt selben Konfiguration keine Probleme
Mir wurde dann geraten, in der LAN Verbindung den internen DNS Server 192.168.20.2 zu hinterlegen. Als sekundären DNS habe ich die Fritz Box (192.168.178.1) hinterlegt.
Das klappt jetztg auch soweit.
Auch wurde mir geraten, den lokalen DNS der VPN Verbindung mitzugeben, wie mache ich das? Wr nehmen als VPN Client die rasphone.pbk, arbeiten also mit windows 10 Bordmitteln.
Jetzt zum weiteren Problem:
Da es sich um Laptops im Aussendienst handelt, sind diese immer wieder in anderen Netzwerken angemeldet. Wie erreiche ich es, dass der sekundäre DNSD automatisch gezogen wird, oder gibt es eine andere lösung.....
lg
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 441130
Url: https://administrator.de/contentid/441130
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
1 Kommentar
Wir setzen ein eine Cisco Meraki firewall und Microsoft VPN
Sorry, leider eine laienhafte und oberflächliche Aussage die wenig hilft für eine zielführende Antwort. WAS für ein VPN Protokoll nutzt du ?? Es gibt ja einen Menge als da sind PPTP, IPsec, SSL, L2TP usw. usw. Das Protokoll ist aber auch für die Funktion und das Design essentiell wichtig. Solange du das nicht benennen kannst stochen auch wir hier nur im Trüben und müssen im freien Fall raten, was dir (und uns) ja wenig hilft !
Mehr Infos hier also...
Verbindet er sich mit dem Kabel an seinen Router,
Gleiches Problem hier wieder. WAS ist "sein Router" ??? Modell, Konfiguration, IP Adressierung ?? Wie siehts damit aus. Das kann verschiedene Ursachen haben:- Falsches VPN_Adressdesign
- Firewall Fehlkonfig des Routers
- Der Router kann GRE oder ESP Session Caching. (Hier müsste man die HW kennen!)
- Lokale Firewall des Rechners auf dem Adapter falsch konfiguriert
Wenn ich über LAN mit dem Router konnektiert bin und ich frage über nslookup die IP von sab015 ab dann erhalte ich 5.35.226.178.
Da stimmt dann was mit deinem DNS (Nameserver) Einträgen nicht !! Mal wieder etwas raten...- Intern im LAN hat der Server die 192.168.20.80 /24
- Vermutlich existiert ein externenr DNS Hostname auf den VPN Server der im Internet DNS auf eine öffentliche IP 5.35.226.178 an der Firewall gemappt ist die dann eine Port Weiterleitung auf die 192.168.20.80 hat.
Das wäre simpler Standard, zeigt aber das du eine fehlerhafte DNS Nameserver Konfig hast !!!
Der DNS Server darf doch niemals die öffentliche Port Forwarding IP ausgeben wenn du im internen LAN arbeitest.
Damit läufst du dann sofort in ein Hairpin_NAT_Problem an der Firewall hinein !! Das hat dann weitere erhebliche Probleme in der internen Netzwerk Verbindung zur Folge mit den Symptomen die du auch aktuell siehst !
Aber das ist jetzt auch erstmal nur vorsichtig geraten weil du hier wenig bis keine Details zum Netzwerk Design, Protokoll und vor allem zur DNS Konfiguration lieferst.
Mache ich das Ganze über WLN, dann erhalte ich die korrekte Adresse 192.168.20.80
Zeigt das der DNS Server auf dem WLAN und LAN NIC wohl unterschiedlich ist, was dann ein fataler Fehler ist. Wenn der VPN Tunnel aktiv ist nutzt der User vermutlich fälschlicherweise immer noch seinen Internet DNS statt den internen DNS und kann natürlich dann so interne Namen nicht auflösen. Aber auch hier...nur wild geraten. Der ipconfig Outup lässt das aber erahnen. Dummerweise fehlt hier genau das Wichtigste nämlich das VPN Tunnelinterface.Was mir total schreierhaft ist, die IPv4 Einstellungen im WLAN Adapter und im Ethernet Adapter sind absolut identisch.
Kann das sein das dieser Nutzer beide Interfaces aktiv hat ?? Das geht dann so nicht, da Windows damit nicht umgehen kann. Beide Adapter haben dann das gleiche IP Netz was nicht supportet ist. Er muss immer dafür sorgen das es nur ein einziges Netz aktiv ist. Also LAN Strippe ziehen oder wenn er mit LAN arbeitet das WLAN über die Taste am Laptop deaktivieren !Mir wurde dann geraten, in der LAN Verbindung den internen DNS Server 192.168.20.2 zu hinterlegen.
Wie oben schon vermutet und gesagt weist das auf eine fehlerhafte DNS Konfig hin. Normal müsste dem Client über das VPN bzw. den Tunnelaufbau dynmaisch der interne DNS Server mitgeteilt werden. Genau das passiert bei dir nicht.Da wir nicht wissen welches VPN Protokoll du verwendest können wir auch nur raten...
Wie erreiche ich es, dass der sekundäre DNSD automatisch gezogen wird
Über einen richtig konfigurierten VPN Server der das beim Tunnelaufbau dynamisch mitgibt !P.S.:
Du solltest den nslookup Output etwas anonymisieren sonst weiss jeder das sein Dübel Hersteller das VPN nicht gebacken bekommt