13
Server im LAN per VPN nicht erreichbar
Hallo!
Ich habe ein (für mich) dubioses Problem.
Setting:
LAN
Win2019-Server mit Dateifreigaben (2 Ordner) + ein paar Clients, die auf eine SQL-Datenbank und einen gemeinsamen Ordner zugreifen + VPN-Server von GL.iNET. Das Ganze hinter einem Speedport von Telekom mit Portweiterleitung zum VPN-Server und eingerichtetem DNS bei selfhost.de. Von außen greifen ein paar Clients per Wireguard zu, um interne Software zu nutzen, welche auf den SQL-Server zugreift (also auf die Dateifreigabe vom Server).
Problem:
Kein voller Zugriff auf die Dateifreigaben per VPN.
Ich kann die Serverfreigaben per IP bei den remote Clients einbinden, das geht. Der Server kann demnach auch angepingt werden. Ich kann aber den Servernamen nicht erreichen (nur die IP). Der volle Zugriff auf die Freigaben funktioniert (auch im LAN) nur dann, wenn die Freigaben nicht per IP, sondern per Servernamen eingebunden werden (oder beides).
Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.
Was kann das sein?
Grüße
Jim
Ich habe ein (für mich) dubioses Problem.
Setting:
LAN
Win2019-Server mit Dateifreigaben (2 Ordner) + ein paar Clients, die auf eine SQL-Datenbank und einen gemeinsamen Ordner zugreifen + VPN-Server von GL.iNET. Das Ganze hinter einem Speedport von Telekom mit Portweiterleitung zum VPN-Server und eingerichtetem DNS bei selfhost.de. Von außen greifen ein paar Clients per Wireguard zu, um interne Software zu nutzen, welche auf den SQL-Server zugreift (also auf die Dateifreigabe vom Server).
Problem:
Kein voller Zugriff auf die Dateifreigaben per VPN.
Ich kann die Serverfreigaben per IP bei den remote Clients einbinden, das geht. Der Server kann demnach auch angepingt werden. Ich kann aber den Servernamen nicht erreichen (nur die IP). Der volle Zugriff auf die Freigaben funktioniert (auch im LAN) nur dann, wenn die Freigaben nicht per IP, sondern per Servernamen eingebunden werden (oder beides).
Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.
Was kann das sein?
Grüße
Jim
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7121860960
Url: https://administrator.de/contentid/7121860960
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo
DNS oder Firewall/Routing
Was sagt: nslookup servername?
Zitat von @jimmmy:
Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.
Was kann das sein?
Wenn ich also \\SERVERNAME im Dateimanager eingebe, kommen im LAN die Freigaben (nach Eingabe der Zugangsdaten). Wenn ich das Gleiche per VPN mache, wird die Verbindung nicht aufgebaut.
Was kann das sein?
DNS oder Firewall/Routing
Was sagt: nslookup servername?
Moin
Hast du ein AD? Sind die per VPN angebundenen Clients auch im AD?
-Thomas
Was kann das sein?
DNSHast du ein AD? Sind die per VPN angebundenen Clients auch im AD?
-Thomas
Hallo.
über VPN scheint nicht zu klappen.
würde:
und/oder
(via VPN)
klappen?
Falls ja: musst Du im VPN Adapter deine Domäne als DNS Suffix anhängen.
Geht das auch nicht, hast Du vermutlich deinen internen DNS Server nicht mitgegeben an den VPN Adapter.
TL;DR: Deine DNS Auflösung ist das Problem.
MfG.
Edita: die Kollegen sind heute auf Zack!
\\SERVERNAME
ping SERVERNAMEwürde:
ping SERVERNAME.DOMAENE.TLD nslookup SERVERNAME.DOMAENE.TLD klappen?
Falls ja: musst Du im VPN Adapter deine Domäne als DNS Suffix anhängen.
Geht das auch nicht, hast Du vermutlich deinen internen DNS Server nicht mitgegeben an den VPN Adapter.
TL;DR: Deine DNS Auflösung ist das Problem.
MfG.
Edita: die Kollegen sind heute auf Zack!
Wow, superschnell! :D
Ich dachte an DNS, kam aber nicht drauf inwiefern.
Firewall ist (noch) keins im Netz, außer dem Standardding vom Speedport.
AD ist nicht im Einsatz, also auch keine Domäne eingerichtet. Die Clients hängen direkt mit einem lokalen User-Account an einem User-Account am Server dran.
DNS vom Router ist beim VPN-Server eingetragen. Dieser fungiert grundsätzlich als DNS (auch beim Server).
Die entsprechenden pings und nslookups mache ich heute nachmittags. Und sag Bescheid.
DANKE!!!
Ich dachte an DNS, kam aber nicht drauf inwiefern.
Firewall ist (noch) keins im Netz, außer dem Standardding vom Speedport.
AD ist nicht im Einsatz, also auch keine Domäne eingerichtet. Die Clients hängen direkt mit einem lokalen User-Account an einem User-Account am Server dran.
DNS vom Router ist beim VPN-Server eingetragen. Dieser fungiert grundsätzlich als DNS (auch beim Server).
Die entsprechenden pings und nslookups mache ich heute nachmittags. Und sag Bescheid.
DANKE!!!
AD ist nicht im Einsatz, also auch keine Domäne eingerichtet. Die Clients hängen direkt mit einem lokalen User-Account an einem User-Account am Server dran.
Schade, die Info hätte im Eingangspost wesentlich geholfen. Somit ist mein Beitrag obsolet bzw. musste das nun auf deinen Router(DNS Server) adaptieren. Ggf sowas wie:
ping SERVERNAME.fritz.boxGrüße
Danke.
Oben steht: Speedport von Telekom. Also keine Fritte.
nslookup SERVERNAME gibt speedport.ip und die IP des Routers raus. Zusätzlich:
Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für SERVERNAME verfügbar.
ping SERVERNAME kommt erwartungsgemäß nicht.
ping SERVERNAME.speedport.ip kommt auch nicht.
Domäne gibts ja keine.
Oben steht: Speedport von Telekom. Also keine Fritte.
nslookup SERVERNAME gibt speedport.ip und die IP des Routers raus. Zusätzlich:
Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für SERVERNAME verfügbar.
ping SERVERNAME kommt erwartungsgemäß nicht.
ping SERVERNAME.speedport.ip kommt auch nicht.
Domäne gibts ja keine.
Jeder intelligente Admin testet deshalb statt "\\SERVERNAME" immer sofort mit der nackten IP des Ziels
\\<ip_adresse>\<share> um möglichen DNS Problematiken so aus dem Wege zu gehen! 😉
Der Grund ist vermutlich ein Fehler in deinem Wireguard Setup. In der Client Konfig Datei kannst du bekanntlich mit DNS = x.y.z.h einen (internen) DNS Server angeben der bei aktivem WG Tunnel befragt wird um lokale Hostnamen auflösen zu können und damit dann auch dein "\\SERVERNAME".
Guckst du dazu auch HIER im Wireguard Tutorial!
Hilfreich ist also nicht der sinnfreie Ping mit geratenen TLD Adressen sondern erst einmal mit ipconfig /all nachzusehen WER der DNS Server ist den der Client befragt!!
Das geht auch mit nslookup SERVERNAME so das der Client dann die DNS Server IP angibt die er zum Hostnamen befragt. Simpelste DNS Logik die auch ein Laie kennt...
Klassische Anfängerfehler...
Solltest du keinen lokalen DNS Server betreiben und der Router keine lokalen DNS Namen auflösen können kannst du den "Servernamen" schlicht und einfach auch in der hosts oder lmhosts Datei statisch einztragen und so das "Problem" elegant lösen. Guckst du hier:
DNS mit hosts u. lmhosts Datei
\\<ip_adresse>\<share> um möglichen DNS Problematiken so aus dem Wege zu gehen! 😉
Der Grund ist vermutlich ein Fehler in deinem Wireguard Setup. In der Client Konfig Datei kannst du bekanntlich mit DNS = x.y.z.h einen (internen) DNS Server angeben der bei aktivem WG Tunnel befragt wird um lokale Hostnamen auflösen zu können und damit dann auch dein "\\SERVERNAME".
Guckst du dazu auch HIER im Wireguard Tutorial!
Hilfreich ist also nicht der sinnfreie Ping mit geratenen TLD Adressen sondern erst einmal mit ipconfig /all nachzusehen WER der DNS Server ist den der Client befragt!!
Das geht auch mit nslookup SERVERNAME so das der Client dann die DNS Server IP angibt die er zum Hostnamen befragt. Simpelste DNS Logik die auch ein Laie kennt...
Klassische Anfängerfehler...
Solltest du keinen lokalen DNS Server betreiben und der Router keine lokalen DNS Namen auflösen können kannst du den "Servernamen" schlicht und einfach auch in der hosts oder lmhosts Datei statisch einztragen und so das "Problem" elegant lösen. Guckst du hier:
DNS mit hosts u. lmhosts Datei
Der "intelligente Admin" hat die Freigaben mit IP eingebunden, sie funktionieren. Der komplette Zugang zur Datenbank klappt aber erst dann, wenn per Name eingebunden wird. Woran kann das liegen? Dort wäre vielleicht ein zusätzliches Problem zu lösen.
Denn wenn ich im LAN die Clients einbinde, dann muss ich es per NAME machen (im LAN, ohne VPN, funktioniert es auch). Mache ich es per IP, dann bekomme ich nicht den vollen Zugriff auf die SQL-Datenbank. Mache ich es per Servername, dann funktioniert alles.
In Wireguard ist der Router aus dem (entfernten) LAN als DNS eingetragen.
Denn wenn ich im LAN die Clients einbinde, dann muss ich es per NAME machen (im LAN, ohne VPN, funktioniert es auch). Mache ich es per IP, dann bekomme ich nicht den vollen Zugriff auf die SQL-Datenbank. Mache ich es per Servername, dann funktioniert alles.
In Wireguard ist der Router aus dem (entfernten) LAN als DNS eingetragen.
Das hat dann aber per se nichts mehr mit dem Netz an sich oder dem VPN zu tun und ist eine Winblows Authentisierungs, Datenbank Problematik. Der Netzwerk Admin lehnt sich dann ganz entspannt zurück...
Zitat von @aqui:
Das hat dann aber per se nichts mehr mit dem Netz an sich oder dem VPN zu tun und ist eine Winblows Authentisierungs, Datenbank Problematik. Der Netzwerk Admin lehnt sich dann ganz entspannt zurück...
Das hat dann aber per se nichts mehr mit dem Netz an sich oder dem VPN zu tun und ist eine Winblows Authentisierungs, Datenbank Problematik. Der Netzwerk Admin lehnt sich dann ganz entspannt zurück...
Ja, das kann ich nachvollziehen :D
Aber was ist, wenn die Arbeitsteilung nicht so großartig realisiert ist und man schlicht beinahe alles macht?
Hat da jemand einen Tipp, woran so etwas liegen könnte?
Aber was ist, wenn
Das nennt man dann falsche Personalplanung... Nicht jedes Kleinunternehmen kann sich mit Personal für jede Gelegenheit brüsten
Hat denn jemand Ideen, in welche Richtung man da schauen kann?
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!
