emoticous
Goto Top

Site to Site VPN-Verbindung mit Windows Server 2003 - keine Verbindung von Clienten aus

Hallo zusammen,
ich habe derzeit folgende Konfiguration:
Ein VPN-Server (Standort A) auf einer Seite mit zwei Netzwerkkarten:
192.168.0.3 (extern) und 192.168.1.7 (intern).
Ein weiterer VPN-Server (Standort B) auf der anderen Seite ebenso mit zwei Netzwerkkarten:
192.168.100.3 (extern) und 192.168.101.3 (intern).
Die beiden Server laufen unter Windows Server 2003 mit Service Pack 2.
Zur Internetanbindung dient ein Router auf beiden Seiten. (Diese sollen jedoch die Standortvernetzung nicht übernehmen.)
Nun habe ich zwischen diesen beiden Systemen eine VPN-Verbindung erstellt. Diese funktioniert auch einwandfrei, zumindest kann man vom jeweiligen Server alle Clienten erreichen; also z.B. von Standort A alle Clienten in A und B, sowie von Standort B alle Clienten von B und A.
Jedoch findet kein Client die Verbindung zum anderen Netzwerk. IP Routing ist im Routing und RAS aktiviert. Ich habe es auch schon mit einer extra eingetragenen Route versucht, aber auch hier kommt kein ping an.
Habe ich irgendetwas nicht beachtet bzw. übersehen???

Achja, die VPN-Verbindung läuft zurzeit erstmal noch über pptp. Die Ports werden auch weitergeleitet.

Ich wäre über jegliche Hilfe sehr dankbar.

Also schon mal vielen Dank.

Und viele Grüße vom emoticous

Content-ID: 100757

Url: https://administrator.de/forum/site-to-site-vpn-verbindung-mit-windows-server-2003-keine-verbindung-von-clienten-aus-100757.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

dog
dog 01.11.2008 um 05:28:33 Uhr
Goto Top
Hallo,

du hast aber an den Clients schon als Router den Server eingestellt, bzw. im Router eine extra Route für den Server hinzugefügt?

Grüße
emoticous
emoticous 01.11.2008 um 10:43:45 Uhr
Goto Top
Guten Morgen,

also ich hab zwei statische Routen per dhcp an die Clients verteilt:
Ziel: 192.168.101.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.7
und
Ziel: 192.168.100.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.1.7

Und auf dem VPN-Server selbst auch nochmal, bloß dann als Gateway die VPN-Schnittstelle.


Vielen, vielen Dank für die schnelle Reaktion.

Momentan ist der Server auf der anderen Seite noch nicht online; sobald dies der Fall ist, werd ich nochmal mit tracert schauen, wo der genau hängen bleibt...

Der Adresspool für die IPs des VPN-Interface ist übrigens statisch. 192.168.1.50 - 192.168.1.59 und analog dazu auf der anderen Seite 192.168.101.50 - 192.168.101.59.

Hab eben nochmal getestet:
Das ist der Ausschnitt von einem Client:
U:\>tracert 192.168.101.1

Routenverfolgung zu 192.168.101.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms ... [192.168.1.7]
2 65 ms 65 ms 65 ms 192.168.1.51
3 * * * Zeitüberschreitung der Anforderung.

Also scheint der VPN-Server auf dem jeweils anderen Standort die Pakete nicht weiter zu leiten. Hab ich dort vielleicht eine Route vergessen oder eine andere Einstellung?
dog
dog 01.11.2008 um 15:38:55 Uhr
Goto Top
Wenn du die Routen an die Clients weitergibts kannst du sie mit

route PRINT

anzeigen lassen.
Ich würde aber empfehlen, die Routen auf dem Router oder dem Server anzulegen, so dass die Clients nur einen Gateway brauchen.
emoticous
emoticous 01.11.2008 um 23:45:46 Uhr
Goto Top
Halloa,

sooo, hab jetzt nochmal die Routen per dhcp vergeben und nun klappt ein ping von jedem Clienten aus. Über route print konnt ich ja dann auch kontrollieren, ob die Routen wirklich da sind.

Hmm, nur die DNS-Auflösung klappt noch nicht. Da müsste ich mich dann auch noch drum kümmern.
Man kann zwar per IP-Adresse jeden Rechner anpingen - nicht aber mit dem fqdn.
Wir haben hier einen DNS-Server, der auch gleichzeitig Domain Controller ist. Gleiche Konfiguration an dem anderen Standort. Erst wollten wir die beiden Seiten per Domänen-Replikation "verbinden", aber das geht wohl bei zwei primären DCs nicht. Hosten ja auch beide die selbe Domäne. Oder hab ich da grad irgendwie ´n Denkfehler drin???
Für den Anfang würd´s ja auch reichen, wenn die DNS-Server "synchronisiert" wären...

Könnte mir dazu vielleicht noch jemand Tipps geben, ob ich da speziell etwas beachten muss? Werd mich da morgen dann ransetzen und das Ergebnis hier posten...
dog
dog 02.11.2008 um 04:13:27 Uhr
Goto Top
Hallo,

wenn auf beiden unabhänig von einander eine Domäne mit dem selben Namen eingerichtet wurde hast du Pech.
Dann musst du erst eine umbenennen.
Alternativ kannst du einen DC mit dcpromo herabstufen und danach wieder heraufstufen und der anderen Domäne als zweiten Controller hinzufügen (dabei geht natürlich eine Domäne und alle Client-Zuordnungen verloren).
Replikation funktioniert zwar schon zwischen mehreren Servern einer Domäne, aber in dem Fall muss der zweite Server die Domäne des ersten übernehmen.
Schließlich solltest du noch in der Konfiguration darauf achten, dass zwei Standorte angelegt sind, da das Auswirkungen auf die Replikation hat.
emoticous
emoticous 02.11.2008 um 10:08:34 Uhr
Goto Top
Hi Max,

naja, bei der Einrichtung der DCs hat wohl niemals jemand daran gedacht, dass die mal übers Internet miteinander verbunden würden...
Dann werd ich das nächste Wochenende mal dem anderen Standort einen Besuch abstatten und dort deine zweite Variante testen, also herabstufen und dann wieder heraufstufen. Gespannt bin ich ja schon. ob der DC in Standort B überhaupt den DC hier dann findet, weil ja dns über die SIte-to-Site-Verbindung zurzeit nicht funktioniert.


Aber erstmal vielen, vielen Dank für deine wirklich große Hilfe und dir noch einen schönen Sonntag.
aqui
aqui 02.11.2008 um 12:45:08 Uhr
Goto Top
Auf Clients muss meistens nie ein Routing eingetragen werden, das ist so gut wie immer eine Fehlkonfiguration, denn routen sollen deie Router und nicht die Clients in einem IP Netzwerk !!

Wie es richtig geht steht z.B. hier:
emoticous
emoticous 02.11.2008 um 15:51:13 Uhr
Goto Top
So, heute - nachdem der Server am Standort B wieder gestartet wurde - funktioniert auch kein ping mehr mit IP-Adresse. Das hatte gestern - obwohl zwischenzeitlich nichts geändert wurde - noch funktioniert.
Irgendwie lustig, obgleich mir nicht klar ist, wieso?!

@aqui:
Ich habe die Route nun auf einem Router eingetragen, der bei allen Clients als Standardgateway registriert ist und die Route aus´m dhcp wieder rausgenommen. Aber immernoch das selbe Spiel:

Einmal von einem beliebigen Clienten (hier von 192.168.1.11)
U:\>tracert 192.168.101.1

Routenverfolgung zu 192.168.101.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms xxx [192.168.1.7]
2 67 ms 66 ms 66 ms 192.168.1.51
3 * * * Zeitüberschreitung der Anforderung.

Und einmal vom VPN-Server aus, wo sogar die DNS-Auflösung funktioniert:

U:\>tracert 192.168.101.1

Tracing route to xxx [192.168.101.1]
over a maximum of 30 hops:

1 66 ms 66 ms 65 ms xxx [192.168.1.51]
2 4 ms 38 ms 64 ms xxx [192.168.101.1]

Trace complete.

Jetzt weiß ich auch nicht mehr, was ich hier noch machen kann...
aqui
aqui 03.11.2008 um 13:20:08 Uhr
Goto Top
Dein VPN Netzwerk sieht ja vermutlich so aus:

a5c69c79f483222aef8180dd9e28af75-winvpn

Nun gibt es mehrere Unbekannte:
a.) Welches Default Gateway haben die Clients ??
b.) Machst du ICS zwischen NIC 1 und NIC 2 am Server oder sauberes Routing.

Wir gehen jetzt mal davon aus das die Clients immer den Router bzw. im Server Client Segment immer den Server selber als Default Gateway haben !

Deine Server stellen den VPN Tunnel dar, sind also gewissermaßen die Router für die VPN Netze und kennen diese auch selber. zusätzliche Routen sind also hier nicht erforderlich !
Deine Router kennen sie aber NICHT ! Deshalb musst du diesen alle deine remoten VPN Netze statisch konfigurieren !!!
Das geht im Router Setup selber.
Dort musst du für Standort A folgende Netze eintragen:
192.168.100.0
192.168.101.0
192.168.1.0
Umgekehrt machst du das für die Netze am Standort B
192.168.0.0
192.168.1.0
192.168.101.0
Die Gateway Adresse ist dann immer der jeweilige Server im externen Segment !!!

Damit sollte das dann problemlos klappen.

Generell gesprochen ist das kein besonderst gutes Design. Normalerweise löst man sowas mit VPN Routern wie z.B. den von Draytek und ist so von Servern (NAT Problematik im Router mit VPN und Port Forwarding usw.) vollkommen unabhängig.
emoticous
emoticous 04.11.2008 um 13:22:40 Uhr
Goto Top
Hey heyface-smile
Also, die VPN-Verbindung steht nun wieder. Hab auf beiden Seiten den Routing und RAS-Dienst neuinstalliert und die Routen auf den internen Routern konfiguriert. ping klappt nun auch soweit, aber nur mit IP-Adressen und nicht mit fqdn...

Das wird wohl auch nix mehr...