Lancom 1721, advanced VPN Client, sbs 2003
Hallo,
Habe in unserer Firma in meinem SBS2003 Server zwei
Netzwerkkarten. eine für die Verbidnung zu meinem
DSL-Router (lancom 1721), die andere als Verbindung
zu meinem lokalen Netz.
Lokales Netz: 192.168.16.0
Netz des lancom 1721: 192.168.0.0
Ip-Adresse lancom 1721: 192.168.0.1
Ich habe nun mittels des lanconfig Assistent ein Profil für
ein VPN-Einwahl erstellt. Hierbei habe ich als Adressbereich
für den VPN-Client 192.168.0.100-192.168.0.150 angegeben.
Die Einwahl von meinem Heimrechner funktionierte auf Anhieb.
Der Client bekommt hierbei eine IP aus dem gewählten Adressbereich zugewiesen.
Ich erreiche jedoch nicht das Netz des SBS-Server (192.168.16.0).
Habe dies mit einem Ping auf 192.168.16.2 (sbs-Server versucht).
Gruß
Jürgen
Habe in unserer Firma in meinem SBS2003 Server zwei
Netzwerkkarten. eine für die Verbidnung zu meinem
DSL-Router (lancom 1721), die andere als Verbindung
zu meinem lokalen Netz.
Lokales Netz: 192.168.16.0
Netz des lancom 1721: 192.168.0.0
Ip-Adresse lancom 1721: 192.168.0.1
Ich habe nun mittels des lanconfig Assistent ein Profil für
ein VPN-Einwahl erstellt. Hierbei habe ich als Adressbereich
für den VPN-Client 192.168.0.100-192.168.0.150 angegeben.
Die Einwahl von meinem Heimrechner funktionierte auf Anhieb.
Der Client bekommt hierbei eine IP aus dem gewählten Adressbereich zugewiesen.
Ich erreiche jedoch nicht das Netz des SBS-Server (192.168.16.0).
Habe dies mit einem Ping auf 192.168.16.2 (sbs-Server versucht).
Gruß
Jürgen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157224
Url: https://administrator.de/forum/lancom-1721-advanced-vpn-client-sbs-2003-157224.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
30 Kommentare
Neuester Kommentar
Guten Morgen,
ich erinner mich schwach, es könnte mit der Funktion Routing ins VPN zu tun haben. Ich gehe mal davon aus das dein routing ansonsten perfekt läuft. Da gibt es bei LANCAM eine schöne Beschreibung unter dem Stichwort VPN zu VPN Routing, dort ist im QoS/Filter eine Regel zu definieren, irgendwie mit übertragen ins VPN (aus dem Kopf geschrieben)
gruss
ulti
ich erinner mich schwach, es könnte mit der Funktion Routing ins VPN zu tun haben. Ich gehe mal davon aus das dein routing ansonsten perfekt läuft. Da gibt es bei LANCAM eine schöne Beschreibung unter dem Stichwort VPN zu VPN Routing, dort ist im QoS/Filter eine Regel zu definieren, irgendwie mit übertragen ins VPN (aus dem Kopf geschrieben)
gruss
ulti
Du benötigst zwingend eine statische Route auf dem Lancome ins .16er IP Netz ! Allerdings ist das in starkem Maße davon abhängig ob du auf dem Server NAT (Adress Translation) machst oder nicht ?!
Leider äußerst du dich dazu nicht in deiner o.a. Beschreibung so das ein qualifizierter Tip nicht wirklich möglich ist !
Das folgende Turorial beschreibt so ein Netzwerk und die zu machenden Einstellungen im Detail.
Wenn du dich daran hälst bekommst du das Netz im Handumdrehen zum Laufen !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Leider äußerst du dich dazu nicht in deiner o.a. Beschreibung so das ein qualifizierter Tip nicht wirklich möglich ist !
Das folgende Turorial beschreibt so ein Netzwerk und die zu machenden Einstellungen im Detail.
Wenn du dich daran hälst bekommst du das Netz im Handumdrehen zum Laufen !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ja, in der Tat, denn du befindest dich im gleichen Netzwerk wie der Server.
Es ist aber möglich das der Server durch seine Firewall nicht auf ICMP Pakete antowrtet und diese blockt. Das solltest du in den erweiterten Eigenschaften der Firewall unter ICMP einmal genau checken für den Adapter.
Der Haken bei auf eingehende Echo Pakete antworten MUSS gesetzt sein !
Für ein VPN ist es Blödsinn auf dem Lancom Port Forwarding für ServerDienste zu konfigurieren. Damit konterkarierst du ja eine VPN Anwendung in sich, denn du bohrst in die Router Firewall damit Löcher von außen auf diese Anwendungen.
Lediglich einzig für die VPN Anwendung musst du ein Port Forwarding einrichten sonst nichts
Leider teilst du uns ja nicht mit WELCHES VPN Protokoll du benutzt aber wenn es PPTP ist dann musst du Port TCP 1723 und das GRE Protokoll (Eigenes IP Protokoll mit der Nummer 47, nicht TCP 47 !) auf die lokale IP des Servers forwarden. Siehe hier:
VPNs einrichten mit PPTP
L2TP benutzt andere Ports !!
Viel fraglicher ist auch die Tatsache warum du nicht viel sinnvoller auf dem Lancom Router selber das VPN terminierst, dann hättest du diese Frickelei mit dem NAT gar nicht erst. Wenn man schon so einen qualitativ guten Router hat liegt das ja auf der Hand und wäre der richtige Weg:
http://www.shrew.net/support/wiki/HowtoLancom
Wozu hast du sonst soviel in den Router investiert ??
Es ist aber möglich das der Server durch seine Firewall nicht auf ICMP Pakete antowrtet und diese blockt. Das solltest du in den erweiterten Eigenschaften der Firewall unter ICMP einmal genau checken für den Adapter.
Der Haken bei auf eingehende Echo Pakete antworten MUSS gesetzt sein !
Für ein VPN ist es Blödsinn auf dem Lancom Port Forwarding für ServerDienste zu konfigurieren. Damit konterkarierst du ja eine VPN Anwendung in sich, denn du bohrst in die Router Firewall damit Löcher von außen auf diese Anwendungen.
Lediglich einzig für die VPN Anwendung musst du ein Port Forwarding einrichten sonst nichts
Leider teilst du uns ja nicht mit WELCHES VPN Protokoll du benutzt aber wenn es PPTP ist dann musst du Port TCP 1723 und das GRE Protokoll (Eigenes IP Protokoll mit der Nummer 47, nicht TCP 47 !) auf die lokale IP des Servers forwarden. Siehe hier:
VPNs einrichten mit PPTP
L2TP benutzt andere Ports !!
Viel fraglicher ist auch die Tatsache warum du nicht viel sinnvoller auf dem Lancom Router selber das VPN terminierst, dann hättest du diese Frickelei mit dem NAT gar nicht erst. Wenn man schon so einen qualitativ guten Router hat liegt das ja auf der Hand und wäre der richtige Weg:
http://www.shrew.net/support/wiki/HowtoLancom
Wozu hast du sonst soviel in den Router investiert ??
Das kommt drauf an....
Als VPN Client benötigst du kein Port Forwarding für den Exchange. Wäre ja auch völliger Unsinn, denn der VPN Client verhält sich ja wie ein im lokalen Netzwerk angeschlossener Client völlig transparent ! Das ist ja auch der tiefere Sinn eines VPNs !!
Wenn du also nur mit VPN Clients auf dem Exchange rauf willst benötigst du also folglich keinerlei Port Forwarding.
Port Forwarding benötigst du lediglich wenn externe Mail Hosts auf den Exchange Mails zustellen sollen (SMTP, TCP 25) sonst niemals.
Du sagst du kannst di remote einwählen und bekommst auch eine korrekte IP, richtig
Output von ipconfig -all am VPN Adapter und route print am remoten VPN Client wäre mal hilfreich !!
Wenn dem so ist kannst du deinen Server mit der lokalen LAN IP 192.168.16.x pingen, richtig ?
Kannst du auch das LAN Interface 192.168.16.y des Lancom Routers anpingen ?
Als VPN Client benötigst du kein Port Forwarding für den Exchange. Wäre ja auch völliger Unsinn, denn der VPN Client verhält sich ja wie ein im lokalen Netzwerk angeschlossener Client völlig transparent ! Das ist ja auch der tiefere Sinn eines VPNs !!
Wenn du also nur mit VPN Clients auf dem Exchange rauf willst benötigst du also folglich keinerlei Port Forwarding.
Port Forwarding benötigst du lediglich wenn externe Mail Hosts auf den Exchange Mails zustellen sollen (SMTP, TCP 25) sonst niemals.
Du sagst du kannst di remote einwählen und bekommst auch eine korrekte IP, richtig
Output von ipconfig -all am VPN Adapter und route print am remoten VPN Client wäre mal hilfreich !!
Wenn dem so ist kannst du deinen Server mit der lokalen LAN IP 192.168.16.x pingen, richtig ?
Kannst du auch das LAN Interface 192.168.16.y des Lancom Routers anpingen ?
Du kannst oben sehen, das dein NCP VPN Client dir komplett alles auf den VPN Tunnel umbiegt: "Standardgateway: 192.168.0.113" Wenn er aktiv ist. Damit ist dann keinerlei lokaler Traffic im 10er Netz mehr möglich, das sollte dir bewusst sein !!
Was meinst du mit "Der VPN-Adapter ist doch mein dsl-Router ?" ???
Das stimmt ja nicht, denn du gehst ja vermutlich über die 10.0.0.0 /24er LAN Verbindung vom Client ins Internet auf den Lancom als VPN Server, oder ?? D.h. dein Tunnel arbeitet über die 10er LAN Verbindung und innerhalb im Tunnel nutzt du die 192.168.0.0 /24
Du kannst am Route output aber ganz klar sehen, das KEINE Route ins 192.168.16.0er Netz via 192.168.0.112 (also dem VPN Tunnel) aktiv ist am Client !!
Folglich können also auch niemals Pakete ans 192.168.16.0er Netz ihr Ziel erreichen,... normalerweise.
Da der NCP VPN Client dir aber das Default Gateway auf den Lancom 192.168.0.113 "umbiegt" bei aktivem Client müsste es wieder funktionieren.
Das Problem liegt hier vermutlich am Lancom, denn der Hat wahrscheinlich keine statische Route ins .16.0er Netzwerk konfiguriert wie hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kann das sein ??
Oder du machst kein Routing am SBS Server sondern nur NAT (ICS) was dann das gleiche Problem erzeugt ?
Es ist auch möglich das der NCP Client im Gegensatz zu deinen anderen Rechner die propagierte Route nicht annimmt. Benutzt du bei beiden Clients die gleichen VPN Client ??
Hast du ggf. mal einen anderen wie den freien Shrew Client probiert (Anderen VPN Client dafür zuerst deinstallieren !)
http://www.shrew.net/support/wiki/HowtoLancom
Was sagt ein Pathping oder Traceroute wenn du das 192.168.16er Server Interface ansprichst ?
Was meinst du mit "Der VPN-Adapter ist doch mein dsl-Router ?" ???
Das stimmt ja nicht, denn du gehst ja vermutlich über die 10.0.0.0 /24er LAN Verbindung vom Client ins Internet auf den Lancom als VPN Server, oder ?? D.h. dein Tunnel arbeitet über die 10er LAN Verbindung und innerhalb im Tunnel nutzt du die 192.168.0.0 /24
Du kannst am Route output aber ganz klar sehen, das KEINE Route ins 192.168.16.0er Netz via 192.168.0.112 (also dem VPN Tunnel) aktiv ist am Client !!
Folglich können also auch niemals Pakete ans 192.168.16.0er Netz ihr Ziel erreichen,... normalerweise.
Da der NCP VPN Client dir aber das Default Gateway auf den Lancom 192.168.0.113 "umbiegt" bei aktivem Client müsste es wieder funktionieren.
Das Problem liegt hier vermutlich am Lancom, denn der Hat wahrscheinlich keine statische Route ins .16.0er Netzwerk konfiguriert wie hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kann das sein ??
Oder du machst kein Routing am SBS Server sondern nur NAT (ICS) was dann das gleiche Problem erzeugt ?
Es ist auch möglich das der NCP Client im Gegensatz zu deinen anderen Rechner die propagierte Route nicht annimmt. Benutzt du bei beiden Clients die gleichen VPN Client ??
Hast du ggf. mal einen anderen wie den freien Shrew Client probiert (Anderen VPN Client dafür zuerst deinstallieren !)
http://www.shrew.net/support/wiki/HowtoLancom
Was sagt ein Pathping oder Traceroute wenn du das 192.168.16er Server Interface ansprichst ?
Es gibt in meinem System kein NIC mit 192.168.0.113..."
Nein, das ist auch die IP Adresse des Lancom im VPN Tunnel !! Siehe Output von route print oben :"Standardgateway: 192.168.0.113" (letzte Zeile)
Der Lancom vergibt diese dynamisch an alle sich einwählenden PPTP Clients. PPTP heisst ja "Point to Point" meint also immer nur 2 Teilnehmer mit eine 32 Bit Hostmaske !
..."dann ist hier weiterhin meine Fritzbox als Standartgateway eingetragen (10.0.0.1). Warum ist über die Abfrage mit ipconfig hier kein Eintrag zu sehen? "
Nun das ist ganz klar, weil der NCP VPN Client dynamisch das Standardgateway ersetzt, damit verschwindet es aus der Konfig sobald das VPN aktiv ist.
Das ist ein Standard VPN Verhalten und kann an den meisten Clients einfach eingestellt werden indem es per Haken aktiviert oder deaktiviert wird.
Siehe #comment-toc3 HIER am PPTP Client ! Thema: Standardgateway für das Remotenetzwerk verwenden!!!
Vermutlich hat dein NVP Client diesen Haken auch im Setup und damit kann man das abschalten.
Einige VPN Clients wie z.B. der Cisco VPN Client erlauben das aber aus Sicherheitsgründen gar nicht, damit niemals eine Verbindung zw. lokalem Netzwerk und Firmennetzwerk bei remoten Mitarbeitern zustande kommt.
Wenn du Pech hast ist das auch bei dir der Fall ?! Check also die NCP Client Settings dafür !!
"...Wie kann ich feststellen, ob an meinem VPN-Client tatsächlich alles über den VPN-Tunnel läuft. "
Indem du Traceroute (tracert bei Winblows) oder Pathping verwendest auf die Ziel IP Adresse !! Das zeigt dir alle Einzelhops an die ein Paket auf seinem Weg zum Ziel nimmt !
10er Pakete bleiben bei dir im lokalen Netz (LAN) alles was nicht 10.0.0.0 /24 ist geht bei deiner Konstellation mit aktivem VPN Client dann über den Tunnel !
Ist der Client nicht aktiv rennt alles andere dann über die FB mit der 10.0.0.1...so einfach ist das !
"...Aber eine Ping auf die 192.168.0.2 des SBS sollte bei aktiver VPN-Verbindung dennoch möglich sein"
Ja, sicher sofern der Server sein Standartgateway auf den Lancom 192.168.0.1 eingestellt hat um am 192.168.16.0 /24 Segment kein Gateway konfiguriert ist.
Hier MUSS der Gateway eintrag leer bleiben ! (Siehe Tutorial hier !)
"...192.168.0.113 gibt es nicht! "
Falsch ! Doch... diese IP gibt es die vergibt der Lancom dynamisch bei aktiver PPTP Verbindung !! Siehe Erklärung zu PPTP oben !!
"...1 lancom.intern [192.168.0.1] meldet: Zielnetz nicht erreichbar."
Klar...., vermutlich hast du die statische Route auf dem Lancom
ip route 192.168.16.0 maske 255.255.255.0 <ip_sbs_server>
vergessen !! Kann das sein ?? Damit "kennt" der Lancom dann logischerweise das IP Netz "hinter" dem Server nicht (woher auch, denn raten kann er nicht !!) und das Ergebnis ist dann logischerweise Zielnetz nicht erreichbar!!
Lies dir bitte nochmal genau das Tutorial dazu durch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ganz speziell was die Punkte ICS bzw. NAT anbetrifft:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Was machst DU auf deinem Server ??? ICS/NAT ja oder nein ?? Wenn du ICS/NAT aktiviert hast dann ist hier auf dem Server selber wiederum eine Firewall aktiv die den Zugang zum 192.168.16.0er Netz blockt und ein Port Forwarding erzwingt für den Zugang zu deinem 192.168.16.0er Netz.
Stelle also absolut sicher das du kein ICS NAT auf deinem Server machst und trage dann die statische Route auf dem Lancom ein !!
und was die statische Route auf dem Router anbetrifft:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wenn du diese Fragen beantwortet hast dann machen wir hier weiter im Text....
Nein, das ist auch die IP Adresse des Lancom im VPN Tunnel !! Siehe Output von route print oben :"Standardgateway: 192.168.0.113" (letzte Zeile)
Der Lancom vergibt diese dynamisch an alle sich einwählenden PPTP Clients. PPTP heisst ja "Point to Point" meint also immer nur 2 Teilnehmer mit eine 32 Bit Hostmaske !
..."dann ist hier weiterhin meine Fritzbox als Standartgateway eingetragen (10.0.0.1). Warum ist über die Abfrage mit ipconfig hier kein Eintrag zu sehen? "
Nun das ist ganz klar, weil der NCP VPN Client dynamisch das Standardgateway ersetzt, damit verschwindet es aus der Konfig sobald das VPN aktiv ist.
Das ist ein Standard VPN Verhalten und kann an den meisten Clients einfach eingestellt werden indem es per Haken aktiviert oder deaktiviert wird.
Siehe #comment-toc3 HIER am PPTP Client ! Thema: Standardgateway für das Remotenetzwerk verwenden!!!
Vermutlich hat dein NVP Client diesen Haken auch im Setup und damit kann man das abschalten.
Einige VPN Clients wie z.B. der Cisco VPN Client erlauben das aber aus Sicherheitsgründen gar nicht, damit niemals eine Verbindung zw. lokalem Netzwerk und Firmennetzwerk bei remoten Mitarbeitern zustande kommt.
Wenn du Pech hast ist das auch bei dir der Fall ?! Check also die NCP Client Settings dafür !!
"...Wie kann ich feststellen, ob an meinem VPN-Client tatsächlich alles über den VPN-Tunnel läuft. "
Indem du Traceroute (tracert bei Winblows) oder Pathping verwendest auf die Ziel IP Adresse !! Das zeigt dir alle Einzelhops an die ein Paket auf seinem Weg zum Ziel nimmt !
10er Pakete bleiben bei dir im lokalen Netz (LAN) alles was nicht 10.0.0.0 /24 ist geht bei deiner Konstellation mit aktivem VPN Client dann über den Tunnel !
Ist der Client nicht aktiv rennt alles andere dann über die FB mit der 10.0.0.1...so einfach ist das !
"...Aber eine Ping auf die 192.168.0.2 des SBS sollte bei aktiver VPN-Verbindung dennoch möglich sein"
Ja, sicher sofern der Server sein Standartgateway auf den Lancom 192.168.0.1 eingestellt hat um am 192.168.16.0 /24 Segment kein Gateway konfiguriert ist.
Hier MUSS der Gateway eintrag leer bleiben ! (Siehe Tutorial hier !)
"...192.168.0.113 gibt es nicht! "
Falsch ! Doch... diese IP gibt es die vergibt der Lancom dynamisch bei aktiver PPTP Verbindung !! Siehe Erklärung zu PPTP oben !!
"...1 lancom.intern [192.168.0.1] meldet: Zielnetz nicht erreichbar."
Klar...., vermutlich hast du die statische Route auf dem Lancom
ip route 192.168.16.0 maske 255.255.255.0 <ip_sbs_server>
vergessen !! Kann das sein ?? Damit "kennt" der Lancom dann logischerweise das IP Netz "hinter" dem Server nicht (woher auch, denn raten kann er nicht !!) und das Ergebnis ist dann logischerweise Zielnetz nicht erreichbar!!
Lies dir bitte nochmal genau das Tutorial dazu durch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ganz speziell was die Punkte ICS bzw. NAT anbetrifft:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Was machst DU auf deinem Server ??? ICS/NAT ja oder nein ?? Wenn du ICS/NAT aktiviert hast dann ist hier auf dem Server selber wiederum eine Firewall aktiv die den Zugang zum 192.168.16.0er Netz blockt und ein Port Forwarding erzwingt für den Zugang zu deinem 192.168.16.0er Netz.
Stelle also absolut sicher das du kein ICS NAT auf deinem Server machst und trage dann die statische Route auf dem Lancom ein !!
und was die statische Route auf dem Router anbetrifft:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wenn du diese Fragen beantwortet hast dann machen wir hier weiter im Text....
"müsste eine Ping-Anfrage des VPN-Client auf diese IP doch erfolgreich sein..."
A.: Eigentlich ja, denn es ist eine gültige IP wie die Routing Tabelle ja zeigt. Vermutlich blockt aber der Lancom Pings auf WAN IP Adressen was durchaus üblich ist aus Sicherheitsgründen bei Routern !
..."Weshalb vergibt der Lancom diese IP ?"
A.: Das muss er denn es ist ein Protokollstandard von PPP. Lies dir die PPP Definition durch, dann weisst du warum !
"Dies müsste also soweit in Ordnung sein."
A.: Ja, absolut das ist korrekt !
..."NAT ist jedoch aktiviert. !"
A.: Böses Faul !!.... damit ist der Fehler dann klar, denn du bleibst in der NAT Firewall des Servers hängen ! Hier kommst du dann nur mit Port Forwarding weiter für vereinzelnde Ports und Hosts. Ein transparentes Routing zwischen den Segmenten erlaubt dies NICHT.
Das warum und die Nachteile sind ja hinreichend im Tutorial erklärt ! Stelle das unsinnige NAT ab und alles wird gut !
..."an die NIC 192.168.0.2 des SBS-Server nicht erfolgreich ist. "
A.: Ja, in der Tat das sollte immer klappen. Vermutlich ist aber ICMP in der Server Firewall blockiert oder abgeschaltet so das kein ICMP echo Reply (Ping) vom Server kommt. Das solltest du dringend in den FW Settings überprüfen.
Hilfreich ist dabei ein Wireshark oder ein MS Netmonitor
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&F ...
auf dem Server. Damit kannst du sofort sehen ob überhaupt ICMP Echo Pakete (und auch alles andere ais dem VPN) beim Server ankommen.
Dieser Check bringt dir dann das finale OK !
A.: Eigentlich ja, denn es ist eine gültige IP wie die Routing Tabelle ja zeigt. Vermutlich blockt aber der Lancom Pings auf WAN IP Adressen was durchaus üblich ist aus Sicherheitsgründen bei Routern !
..."Weshalb vergibt der Lancom diese IP ?"
A.: Das muss er denn es ist ein Protokollstandard von PPP. Lies dir die PPP Definition durch, dann weisst du warum !
"Dies müsste also soweit in Ordnung sein."
A.: Ja, absolut das ist korrekt !
..."NAT ist jedoch aktiviert. !"
A.: Böses Faul !!.... damit ist der Fehler dann klar, denn du bleibst in der NAT Firewall des Servers hängen ! Hier kommst du dann nur mit Port Forwarding weiter für vereinzelnde Ports und Hosts. Ein transparentes Routing zwischen den Segmenten erlaubt dies NICHT.
Das warum und die Nachteile sind ja hinreichend im Tutorial erklärt ! Stelle das unsinnige NAT ab und alles wird gut !
..."an die NIC 192.168.0.2 des SBS-Server nicht erfolgreich ist. "
A.: Ja, in der Tat das sollte immer klappen. Vermutlich ist aber ICMP in der Server Firewall blockiert oder abgeschaltet so das kein ICMP echo Reply (Ping) vom Server kommt. Das solltest du dringend in den FW Settings überprüfen.
Hilfreich ist dabei ein Wireshark oder ein MS Netmonitor
http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&F ...
auf dem Server. Damit kannst du sofort sehen ob überhaupt ICMP Echo Pakete (und auch alles andere ais dem VPN) beim Server ankommen.
Dieser Check bringt dir dann das finale OK !
Nein, der Ping kann ohne statische Route niemals funktionieren.
Das ist ein sicheres Indiz dafür das weiterhin NAT aktiv ist auf dem Server !!!
Nimm dir einen Wireshark Sniffer
http://www.wireshark.org/
und sieh dir das in Echtzeit an...dann siehst du sofort den Beweis !!
Damit ist dann auch klar warum ohne statische Route die Clients logischerweise keine Internetseite aufmachen können, denn wenn der lancom das .16.0er Netz nicht kennt routet der das an seine default Route und die geht zum Internet Provider und damit in den Mülleimer da es ein RFC 1918 IP Netz ist !
Das ist ein sicheres Indiz dafür das weiterhin NAT aktiv ist auf dem Server !!!
Nimm dir einen Wireshark Sniffer
http://www.wireshark.org/
und sieh dir das in Echtzeit an...dann siehst du sofort den Beweis !!
Damit ist dann auch klar warum ohne statische Route die Clients logischerweise keine Internetseite aufmachen können, denn wenn der lancom das .16.0er Netz nicht kennt routet der das an seine default Route und die geht zum Internet Provider und damit in den Mülleimer da es ein RFC 1918 IP Netz ist !
Das darf nicht sein das der Client Ping aus dem .16.0er Netz funktioniert ohne statische Route ! Was sagt denn ein Traceroute oder Pathping dann ??
Entweder hast du noch einen Backdoor Router oder NAT wird protokollspezifisch (Ping ist ICMP) doch noch ausgeführt.
Wie bereits gesagt: Ein Wireshak Trace schafft da in Sekunden absolute Gewissheit !
Entweder hast du noch einen Backdoor Router oder NAT wird protokollspezifisch (Ping ist ICMP) doch noch ausgeführt.
Wie bereits gesagt: Ein Wireshak Trace schafft da in Sekunden absolute Gewissheit !
Wie bereits gesagt mit dem Wireshark wäre es ein leichtes das zu sehen. Leider hast du oben nur den Ping zw. .16.21 und .0.2.
Besser wäre hier mal den Ping auf den Lancom mitzusniffern um zu sehen welche Source und Destination IPs im Paket stehen...
Das Programm ist schon sehr hilfreich !! Man muss nur wissen was man macht !!
Besser wäre hier mal den Ping auf den Lancom mitzusniffern um zu sehen welche Source und Destination IPs im Paket stehen...
Das Programm ist schon sehr hilfreich !! Man muss nur wissen was man macht !!
Hast du dann auch die gleichen IP Adressen wieder in der Source und Destination beim Ping Trace ??
Es ist möglich das per default ein dynamisches Routing Protokoll z.B. RIP zwischen Server und Lancom aktiv ist oder du das durch Unwissenheit oder Zufall aktiviert hast.
Damit werden die Routen dann dynmaisch ausgetauscht und für Laien sieht es so aus als ob alles "mit Geisterhand" funktioniert.
Das ist die einzige sinnvolle Erklärung die noch übrigbleibt.
Ohne dynmaisches Routing und ohne statische Route könntne die Packete niemals ans Ziel gelangen...logisch !
Check also mal ob du im Setup irgendwo ein dynamisches Routing aktiviert hast... Zu 99% ist das der Fall ! Der Sniffer zeigt dir das auch an denn beide Komponenten senden zyklisch Routing Updates ins Netzwerk !
Es ist möglich das per default ein dynamisches Routing Protokoll z.B. RIP zwischen Server und Lancom aktiv ist oder du das durch Unwissenheit oder Zufall aktiviert hast.
Damit werden die Routen dann dynmaisch ausgetauscht und für Laien sieht es so aus als ob alles "mit Geisterhand" funktioniert.
Das ist die einzige sinnvolle Erklärung die noch übrigbleibt.
Ohne dynmaisches Routing und ohne statische Route könntne die Packete niemals ans Ziel gelangen...logisch !
Check also mal ob du im Setup irgendwo ein dynamisches Routing aktiviert hast... Zu 99% ist das der Fall ! Der Sniffer zeigt dir das auch an denn beide Komponenten senden zyklisch Routing Updates ins Netzwerk !
Das wäre dann ein Wunder und sowas gibt es bekanntlich in der Netzwerkwelt nicht !!
Da müsste man dann mal genauer analysieren im Netz...kann natürlich sein das du irgendwo noch eine Backdoor Route oder Router hast...oder inkonsitente Subnetzmasken oder...das du Proxy ARP irgendwo benutzt. Irgendwas aus diesem "Strauß" wird es sein... !
Sowas kann man nur lokal identifizieren mit genauerer Analyse, nicht aber über ein Forum ! Sicher ist aber das es eins dieser Mechanismen ist in deinem Netz !!
Fakt ist aber auch das es mit einer sauberen IP Adressierung so nicht klappen kann. Ist ja auch logisch wenn man sich die Funktion von IP Routing vor Augen führt.
Da müsste man dann mal genauer analysieren im Netz...kann natürlich sein das du irgendwo noch eine Backdoor Route oder Router hast...oder inkonsitente Subnetzmasken oder...das du Proxy ARP irgendwo benutzt. Irgendwas aus diesem "Strauß" wird es sein... !
Sowas kann man nur lokal identifizieren mit genauerer Analyse, nicht aber über ein Forum ! Sicher ist aber das es eins dieser Mechanismen ist in deinem Netz !!
Fakt ist aber auch das es mit einer sauberen IP Adressierung so nicht klappen kann. Ist ja auch logisch wenn man sich die Funktion von IP Routing vor Augen führt.
Ha !! Da haben wir den Übeltäter wie vermutet !! Was Proxy ARP macht kannst du hier nachlesen:
http://de.wikipedia.org/wiki/Address_Resolution_Protocol#Proxy_ARP
Ist die Frage ob du damit leben willst. Kann ein Sicherheitsloch werden durch die inkonsistenten masken die Proxy ARP erzwingt aber das musst du selber entscheiden. Das klappt auch nur weil du gleichlautenden Subnetze hast. Hättest du 10er oder 172er RFC 1918 Adressen verwendet hätte auch Proxy ARP nicht gegriffen
Na ja jedenfalls wissen wir nun wer der böse Buhmann ist !!
Wenn du das abschaltest, dann wirst du sehen das das Verhalten genau so wie oben beschrieben ist...! Was zu erwarten war...
http://de.wikipedia.org/wiki/Address_Resolution_Protocol#Proxy_ARP
Ist die Frage ob du damit leben willst. Kann ein Sicherheitsloch werden durch die inkonsistenten masken die Proxy ARP erzwingt aber das musst du selber entscheiden. Das klappt auch nur weil du gleichlautenden Subnetze hast. Hättest du 10er oder 172er RFC 1918 Adressen verwendet hätte auch Proxy ARP nicht gegriffen
Na ja jedenfalls wissen wir nun wer der böse Buhmann ist !!
Wenn du das abschaltest, dann wirst du sehen das das Verhalten genau so wie oben beschrieben ist...! Was zu erwarten war...
Wars das jetzt... ??
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Dann bitte auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !