jimmmy
Goto Top

Server im LAN per VPN nicht erreichbar

Hallo!
Ich habe ein (für mich) dubioses Problem.

Setting:
LAN
Win2019-Server mit Dateifreigaben (2 Ordner) + ein paar Clients, die auf eine SQL-Datenbank und einen gemeinsamen Ordner zugreifen + VPN-Server von GL.iNET. Das Ganze hinter einem Speedport von Telekom mit Portweiterleitung zum VPN-Server und eingerichtetem DNS bei selfhost.de. Von außen greifen ein paar Clients per Wireguard zu, um interne Software zu nutzen, welche auf den SQL-Server zugreift (also auf die Dateifreigabe vom Server).

Problem:
Kein voller Zugriff auf die Dateifreigaben per VPN.
Ich kann die Serverfreigaben per IP bei den remote Clients einbinden, das geht. Der Server kann demnach auch angepingt werden. Ich kann aber den Servernamen nicht erreichen (nur die IP). Der volle Zugriff auf die Freigaben funktioniert (auch im LAN) nur dann, wenn die Freigaben nicht per IP, sondern per Servernamen eingebunden werden (oder beides).

Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.

Was kann das sein?

Grüße
Jim

Content-Key: 7121860960

Url: https://administrator.de/contentid/7121860960

Printed on: July 20, 2024 at 06:07 o'clock

Member: tagol01
tagol01 May 12, 2023 at 06:06:23 (UTC)
Goto Top
Hallo

Zitat von @jimmmy:
Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.

Was kann das sein?

DNS oder Firewall/Routing

Was sagt: nslookup servername?
Mitglied: 3063370895
3063370895 May 12, 2023 updated at 06:07:57 (UTC)
Goto Top
Moin

Was kann das sein?
DNS

Hast du ein AD? Sind die per VPN angebundenen Clients auch im AD?

-Thomas
Mitglied: 6376382705
6376382705 May 12, 2023 updated at 06:17:37 (UTC)
Goto Top
Hallo.

\\SERVERNAME

ping SERVERNAME
über VPN scheint nicht zu klappen.

würde:
ping SERVERNAME.DOMAENE.TLD 
und/oder
nslookup SERVERNAME.DOMAENE.TLD 
(via VPN)
klappen?

Falls ja: musst Du im VPN Adapter deine Domäne als DNS Suffix anhängen.
Geht das auch nicht, hast Du vermutlich deinen internen DNS Server nicht mitgegeben an den VPN Adapter.

TL;DR: Deine DNS Auflösung ist das Problem.

MfG.

Edita: die Kollegen sind heute auf Zack!
Member: jimmmy
jimmmy May 12, 2023 at 06:27:32 (UTC)
Goto Top
Wow, superschnell! :D
Ich dachte an DNS, kam aber nicht drauf inwiefern.

Firewall ist (noch) keins im Netz, außer dem Standardding vom Speedport.

AD ist nicht im Einsatz, also auch keine Domäne eingerichtet. Die Clients hängen direkt mit einem lokalen User-Account an einem User-Account am Server dran.

DNS vom Router ist beim VPN-Server eingetragen. Dieser fungiert grundsätzlich als DNS (auch beim Server).

Die entsprechenden pings und nslookups mache ich heute nachmittags. Und sag Bescheid.

DANKE!!!
Mitglied: 6376382705
6376382705 May 12, 2023 at 06:30:19 (UTC)
Goto Top
AD ist nicht im Einsatz, also auch keine Domäne eingerichtet. Die Clients hängen direkt mit einem lokalen User-Account an einem User-Account am Server dran.

Schade, die Info hätte im Eingangspost wesentlich geholfen. Somit ist mein Beitrag obsolet bzw. musste das nun auf deinen Router(DNS Server) adaptieren. Ggf sowas wie:
ping SERVERNAME.fritz.box
Je nach dem ob Du eine Fritte nutzt. Paar weiterführende Infos wären nett. Alles aus der Nase ziehen ist nicht so nett.

Grüße
Member: jimmmy
jimmmy May 12, 2023 updated at 09:41:51 (UTC)
Goto Top
Danke.
Oben steht: Speedport von Telekom. Also keine Fritte.

nslookup SERVERNAME gibt speedport.ip und die IP des Routers raus. Zusätzlich:
Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für SERVERNAME verfügbar.

ping SERVERNAME kommt erwartungsgemäß nicht.

ping SERVERNAME.speedport.ip kommt auch nicht.

Domäne gibts ja keine.
Member: aqui
aqui May 13, 2023 updated at 09:28:41 (UTC)
Goto Top
Jeder intelligente Admin testet deshalb statt "\\SERVERNAME" immer sofort mit der nackten IP des Ziels
\\<ip_adresse>\<share> um möglichen DNS Problematiken so aus dem Wege zu gehen! ­čśë

Der Grund ist vermutlich ein Fehler in deinem Wireguard Setup. In der Client Konfig Datei kannst du bekanntlich mit DNS = x.y.z.h einen (internen) DNS Server angeben der bei aktivem WG Tunnel befragt wird um lokale Hostnamen auflösen zu können und damit dann auch dein "\\SERVERNAME".
Guckst du dazu auch HIER im Wireguard Tutorial!
Hilfreich ist also nicht der sinnfreie Ping mit geratenen TLD Adressen sondern erst einmal mit ipconfig /all nachzusehen WER der DNS Server ist den der Client befragt!!
Das geht auch mit nslookup SERVERNAME so das der Client dann die DNS Server IP angibt die er zum Hostnamen befragt. Simpelste DNS Logik die auch ein Laie kennt... face-wink
Klassische Anfängerfehler... face-wink

Solltest du keinen lokalen DNS Server betreiben und der Router keine lokalen DNS Namen auflösen können kannst du den "Servernamen" schlicht und einfach auch in der hosts oder lmhosts Datei statisch einztragen und so das "Problem" elegant lösen. Guckst du hier:
DNS mit hosts u. lmhosts Datei
Member: jimmmy
jimmmy May 13, 2023 at 10:58:30 (UTC)
Goto Top
Der "intelligente Admin" hat die Freigaben mit IP eingebunden, sie funktionieren. Der komplette Zugang zur Datenbank klappt aber erst dann, wenn per Name eingebunden wird. Woran kann das liegen? Dort wäre vielleicht ein zusätzliches Problem zu lösen.

Denn wenn ich im LAN die Clients einbinde, dann muss ich es per NAME machen (im LAN, ohne VPN, funktioniert es auch). Mache ich es per IP, dann bekomme ich nicht den vollen Zugriff auf die SQL-Datenbank. Mache ich es per Servername, dann funktioniert alles.

In Wireguard ist der Router aus dem (entfernten) LAN als DNS eingetragen.
Member: aqui
aqui May 13, 2023 updated at 12:18:06 (UTC)
Goto Top
Das hat dann aber per se nichts mehr mit dem Netz an sich oder dem VPN zu tun und ist eine Winblows Authentisierungs, Datenbank Problematik. Der Netzwerk Admin lehnt sich dann ganz entspannt zurück... face-wink
Member: jimmmy
jimmmy May 14, 2023 at 09:26:00 (UTC)
Goto Top
Zitat von @aqui:

Das hat dann aber per se nichts mehr mit dem Netz an sich oder dem VPN zu tun und ist eine Winblows Authentisierungs, Datenbank Problematik. Der Netzwerk Admin lehnt sich dann ganz entspannt zurück... face-wink

Ja, das kann ich nachvollziehen :D
Aber was ist, wenn die Arbeitsteilung nicht so großartig realisiert ist und man schlicht beinahe alles macht?

Hat da jemand einen Tipp, woran so etwas liegen könnte?
Member: aqui
aqui May 14, 2023 at 10:04:02 (UTC)
Goto Top
Aber was ist, wenn
Das nennt man dann falsche Personalplanung... face-wink
Member: jimmmy
jimmmy May 14, 2023 at 12:35:04 (UTC)
Goto Top
Zitat von @aqui:

Aber was ist, wenn
Das nennt man dann falsche Personalplanung... face-wink

Nicht jedes Kleinunternehmen kann sich mit Personal für jede Gelegenheit brüsten face-wink

Hat denn jemand Ideen, in welche Richtung man da schauen kann?
Member: aqui
aqui Jun 04, 2023 at 12:43:44 (UTC)
Goto Top
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!