einfach112
Goto Top

RDP nur im internen Netz möglich nicht aber per vpn?

Hallo zusammen.
Beim Kunden habe ich einen Server mit VMWARE laufen.
Darauf ein Windows Server 2016 Essentials als VM
Zudem noch 2 oder 3 Win10 pro VM´s welche in der Domäne des Server 2016 sind

Da der Kunde einen Lancom Router besitzt und ich zum Glück bei den meisten Kunden diese Konstellation habe, hätte ich nicht gedacht das ich Probleme bekomme wenn ich versuche per vpn einen der Win10 VM´s per Remote zu bedienen.

Sowohl Server als auch Firmware des Routers sind aktuell.

Nach Aufbau der VPN Verbindung kann ich alle Drucker, die IP der VMWARE und sonstige Geräte ohne Probleme erreichen.

Auf der Win10 Maschine ist der Zugriff für einen bestimmten User aus der Domäne für RDP freigegeben.

Aber seltsamerweise kann ich weder den Server noch eine der Win10 Maschinen anpingen geschweige denn eine RDP Sitzung starten.


Kann mir jemand von euch auf die Sprünge helfen ob ich am Server etwas einstellen muss damit VPN funktionieren kann?

Vielen Dank im Voraus
Einfach112

Content-ID: 627423

Url: https://administrator.de/contentid/627423

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

chgorges
chgorges 02.12.2020 um 19:15:00 Uhr
Goto Top
Hallo,
wie immer (gefühlt das 100.000ste Mal dieses Jahr) -> Windows Firewall testweise deaktivieren.

VG
einfach112
einfach112 02.12.2020 um 19:18:04 Uhr
Goto Top
Sorry ich stelle zu wenig fragen in Foren....
OK Firewall kurzfristig komplett abgestellt.... Ohne Erfolg.... Auch Deaktivierung der Security-Software bereits versucht
Pjordorf
Pjordorf 02.12.2020 um 19:25:44 Uhr
Goto Top
Hallo,

Zitat von @einfach112:
OK Firewall kurzfristig komplett abgestellt.... Ohne Erfolg.... Auch Deaktivierung der Security-Software bereits versucht
Dann nimmt man einen Wireshark und schaut ob überhaupt anfragen kommen usw.

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 02.12.2020 um 19:27:03 Uhr
Goto Top
Zitat von @einfach112:

Sorry ich stelle zu wenig fragen in Foren....
OK Firewall kurzfristig komplett abgestellt.... Ohne Erfolg.... Auch Deaktivierung der Security-Software bereits versucht

Wireshark auf dem Ziel anwerfen und schauen, ob die Pakete es bis dorthin schaffen.

Hast Du wirklich die Firewall auf dem Zielrechner deaktiviert oder nur in dem LANCom?

lks
SeaStorm
SeaStorm 02.12.2020 aktualisiert um 19:38:07 Uhr
Goto Top
Das da ?
rdp
einfach112
einfach112 02.12.2020 aktualisiert um 19:53:13 Uhr
Goto Top
Hi ... habe die win10 vm mal aus der Domäne genommen.....
immer noch kein Erfolg
ja Häkchen ist gesetzt für Remotezugriff...
Ich pinge den Rechner dauerhaft an..... immer kommt Zeitüberschreitung der Anforderung.....
Aber beim reboot des Rechners kommt immer 1 mal eine Antwort zurück .....

(wireshark würde ich gerne machen.... Bin aber newbie....)
SeaStorm
SeaStorm 02.12.2020 um 20:04:10 Uhr
Goto Top
Zitat von @einfach112:
Aber beim reboot des Rechners kommt immer 1 mal eine Antwort zurück .....
Dann isses die\eine Firewall
einfach112
einfach112 02.12.2020 um 20:11:57 Uhr
Goto Top
Die Firewall ist komplett ausgeschaltet..... bin gerade dabei eine saubere win10 installation zu machen..... hoffe das mir das etwas bringt.....
mal sehen was passiert
em-pie
em-pie 02.12.2020 um 20:20:27 Uhr
Goto Top
Zitat von @einfach112:

Die Firewall ist komplett ausgeschaltet..... bin gerade dabei eine saubere win10 installation zu machen..... hoffe das mir das etwas bringt.....
mal sehen was passiert

Welche genau ist denn abgeschaltet? Die auf deiner Win10 VM?
Hoffentlich ja.

Habt ihr Netzwerkdrucker etabliert? Wenn ja, Pinke den exemplarisch mal an. Wenn der Antwortet, ist es zu 98% dein virtueller Client

Gruß
em-pie
Pjordorf
Pjordorf 02.12.2020 um 20:28:45 Uhr
Goto Top
Hallo,

Zitat von @einfach112:
> (wireshark würde ich gerne machen.... Bin aber newbie....)
Aer du sagst selber das du Administrator seist... https://www.varonis.com/blog/how-to-use-wireshark/
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...
https://www.wireshark.org/docs/wsug_html/

PS. ES gibt noch viel viel mehr in deinem Internet. face-smile Das newbie willst du doch ändern, oder?

Ich pinge den Rechner dauerhaft an..... immer kommt Zeitüberschreitung der Anforderung.....
Firewall auf deinen Win10 Angepasst / Ausgeschaltet? Was sind noch für Gerätschaften in dein Netz was hier reinspielen kann?

Gruß,
Peter
einfach112
einfach112 02.12.2020 um 20:33:58 Uhr
Goto Top
Danke für die Wireshark links....
also der Zielcomputer eine der win10VM´s ist komplett deaktiviert was Sicherheit angeht....
Die von mir gerade neu installierte VM mit win 10 ist ebenfalls nicht anpingbar......

Es kann also theo nur noch der Lancomrouter sein der wohl irgendwo etwas falsch eingestellt hat.
Leider hatte ich mit dem Lancomsupport schon drauf geschaut und die meinten alles wäre ok .... Aber kann ja nicht sein!

Glaube werde morgen mit denen noch einmal drauf schauen
Lochkartenstanzer
Lochkartenstanzer 02.12.2020 aktualisiert um 20:49:47 Uhr
Goto Top
Zitat von @einfach112:

Danke für die Wireshark links....
also der Zielcomputer eine der win10VM´s ist komplett deaktiviert was Sicherheit angeht....
Die von mir gerade neu installierte VM mit win 10 ist ebenfalls nicht anpingbar......

Es kann also theo nur noch der Lancomrouter sein der wohl irgendwo etwas falsch eingestellt hat.
Leider hatte ich mit dem Lancomsupport schon drauf geschaut und die meinten alles wäre ok .... Aber kann ja nicht sein!

Glaube werde morgen mit denen noch einmal drauf schauen

Du solltest auch mal den Hypervisor/Host prüfen, ob der alles rausfiltert. Oder macht der gar NAT?

lks
Pjordorf
Pjordorf 02.12.2020 um 21:45:34 Uhr
Goto Top
Hallo,

Zitat von @einfach112:
also der Zielcomputer eine der win10VM´s ist komplett deaktiviert was Sicherheit angeht....
Die VM ist komplett deaktiviert?

Die von mir gerade neu installierte VM mit win 10 ist ebenfalls nicht anpingbar......
Firewall des Win 10 angepasst damit der auf ICMP (v4 und v6) antwortet?

Es kann also theo nur noch der Lancomrouter sein der wohl irgendwo etwas falsch eingestellt hat.
Leider hatte ich mit dem Lancomsupport schon drauf geschaut und die meinten alles wäre ok .... Aber kann ja nicht sein!
Was hat der LANCOM (Router) mit deinen Rechnern im Lokalen Netz zu tun? Oder pingst du den per VPN? Ebenfalls dann prüfe das die Win 10 Firewall, auch auf fremde IP Netze entsprechend reagiert. Wenn du aus dem Lokalen Netz Pingst, ist dein LANCOM nur ein unbeteiligter Zuschaoer. Aber wir wissen ja nicht wie dein Netz aufgebaut ist (Du sagst ja nichta dazu - auch auf fragen von uns). Ebenfalls bei vLAN, ist es die Win 10 Firewall. Aber ein Wireshark sagt es dir (und evtl. uns) zu 100000000000 %. Kein Grübeln, kein Vermuten, kein unützes Rumspielen....Sondern klare Fakten.

Gruß,
Peter
Doskias
Doskias 03.12.2020 um 07:36:01 Uhr
Goto Top
Moin, ich möchte vorweg auf zwei deiner Sätze hinweisen.

Zitat von @einfach112:
Zudem noch 2 oder 3 Win10 pro VM´s welche in der Domäne des Server 2016 sind

und
Zitat von @einfach112:
(wireshark würde ich gerne machen.... Bin aber newbie....)

Eine gefährliche Situation. ich hoffe du hast die Windows 10 VMs richtig mit VDA-Lizenzen lizensiert.

Außerdem schreibst du
Zitat von @einfach112:
ja Häkchen ist gesetzt für Remotezugriff..

Gemeint war aber der Haken "Verbindungen....", der sogar gelb markiert ist. dazu äußerst du dich gar nicht ob der gesetzt oder nicht ist.

Gruß
Doskias
117471
117471 03.12.2020 um 08:10:28 Uhr
Goto Top
Hallo,

wenn Du eine Route legst, dann denke auch an den Rückweg.

Abgesehen davon muss natürlich die Netzwerkkategorie in der Firewall stimmen. Es ist übrigens nicht zulässig, ein „normales“ Windows in einer VM zu betreiben. Du benötigst dafür spezielle Lizenzen.

Gruß,
Jörg
gilligan
gilligan 03.12.2020 um 09:05:33 Uhr
Goto Top
Wireshark ist ok aber leichter findet man sicher das Problem mit trace + ip-router auf der box, das Standardgateway nehme ich an passt auf w10?
Wie ist der Einwahlbereich des VPN
IT-Spezi
IT-Spezi 03.12.2020 aktualisiert um 09:21:37 Uhr
Goto Top
Hallo,

Die OEM Lizenzbedingungen für Windows 10 Pro OEM sagen folgendes:

Keine Installation nur für Remote-User:
(2) c.Beschränkungen. Der Hersteller bzw. das Installationsunternehmen und Microsoft behalten sich alle Rechte vor (beispielsweise Rechte im Rahmen von Gesetzen über geistiges Eigentum), die in diesem Vertrag nicht ausdrücklich gewährt werden. Beispielsweise erhalten Sie mit dieser Lizenz keine Rechte für folgende Handlungen und müssen daher Folgendes unterlassen:
...die Software als Serversoftware oder für kommerzielles Hosting zu verwenden, die Software zur gleichzeitigen Verwendung durch mehrere Nutzer über ein Netzwerk zur Verfügung zu stellen, die Software auf einem Server zu installieren und anderen Nutzern Remotezugriff darauf zu ermöglichen oder die Software auf einem Gerät zur ausschließlichen Verwendung durch Remotenutzer zu installieren;

Nur eine Instanz pro Gerät:
...Diese Lizenz erlaubt Ihnen die Installation von lediglich einer Instanz der Software zur Verwendung auf einem Gerät, unabhängig davon, ob es sich bei diesem Gerät um ein physisches oder virtuelles Gerät handelt. Wenn Sie die Software auf mehreren virtuellen Geräten verwenden möchten, müssen Sie eine separate Lizenz für jede Instanz erwerben.

Definition des einen Gerätes hier ausschlaggebend
...In diesem Vertrag ist „Gerät“ ein Hardwaresystem (sowohl physisch als auch virtuell) mit einer internen Speichervorrichtung, das fähig ist, die Software auszuführen. Eine Hardwarepartition oder ein Blade wird als Gerät betrachtet.

Also bitte an die VDA (Virtual Desktop Access) Lizenzen denken. face-wink

Aber nun zum eigentlichen Kernproblem:
(Wenn Du Wireshark noch nicht zum laufen gebracht hast...)
Ist die VM per NAT an das Netzwerk angebunden? Oder gibt es dedizierte LAN-Ports?
Ist die Route zum LANCOM/ entfernten Netz in der VM richtig eingetragen?
Können andere Geräte (z.B. Drucker) im Hauptnetz über das VPN angesprochen werden oder gibt es da auch keine Verbindung?
Umgekehrt: Kannst Du von der VM aus den VPN-Client ansprechen?
Wie sieht es mit der Firewall-Lösung auf dem VM-Host aus?
Gibt es ein VLAN, welches "stören" könnte/ vergessen wurde?

Gruß

its
rzlbrnft
rzlbrnft 03.12.2020 aktualisiert um 16:13:47 Uhr
Goto Top
Der Vollständigkeit halber, das Ding ist der Ping:

unbenannt

Wenn deine NLASVC den Modus irrtümlicherweise auf Öffentlich gesetzt hat, gilt die Regel für das Öffentliche Profil, also musst du alle auf grün setzen oder wahlweise alle eingehenden Verbindungen in allen drei Profilen zulassen.

Bezüglich VPN, hast du im Lancom ggf. Firewall Settings die das verhindern oder einen freigeschalteten Adressbereich in den VPN Einstellungen?