lienas
Goto Top

Standort VPN- ein einziger Rechner nicht erreichbar

Hallo ins Forum,

wir haben eine Standort -zu Standort VPN Verbindung über 2 Lancom Router realisiert.
Standort 1: LANCOM 1781+, Netze 192.168.1.0, 192.168.4.0 (+ 3 weitere die nicht relevant für VPN sind)
Standort 2: LANCOM 1721+, Netz 192.168.2.0

Beide Standort haben eine feste IP-Adresse. Bis vor kurzem lief die Verbindung seit mehreren Jahren ohne Fehler.
Seit 1 Woche habe ich folgendes Problem.

Der DC ist ein Windows SBS2011 Rechner mit Netzlaufwerken. Dieser Rechner hat die IP Adresse 192.168.2.4 und ist von Standort 1 nur eingeschränkt erreichbar.

Ich kann ihn anpingen über Name und IP!
Ich kann nicht mehr auf die Netzwerkfreigaben zugreifen.
Ich kann den Server nicht mehr über RDP ansprechen!
Vom Server aus kann ich ohne Probleme Rechner in Standort 1 (z.B. pe RDP) erreichen.

Vom Standort 2 aus funktioniert alles tadellos! Weiterhin habe ich auch eine RAS Verbindung mittels Advanced VPN Client konfiguriert. Hier funktioniert auch alles ohne Probleme.

Alle anderen Rechner in dem Netz sind ohne Probleme erreichbar (z.B. der Virtualisierungshost)!
Letzte Woche gab es ohne, dass es eine Änderung gab, Probleme mit dem Zertifikat, welches für Exchange Dienste genutzt wurde.
Das Zertifikat war noch gültig. Das Problem konnte ich bisher nicht lösen! Ich vermute hier aber keinen Zusammanhang,
obwohl die Probleme zeitlich zusammenhängen. Kurz danach habe ich dann die Domäne umgezogen, deren A Record auf eine der festen IP Adresse (Standort 2) verwies und auf die auch das Zertifikat ausgestellt war. Den DNS Eintrag für dies Domäne habe ich mittlerweile neu erstellt.

Update wurden auf dem betroffenen Server nicht installiert. Ich habe auch einen trace laufen lassen.

Hat jemand einen Tipp, was ich noch überprüfen kann ??

Vielen Dank
Thomas

Content-Key: 336690

Url: https://administrator.de/contentid/336690

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 02.05.2017 aktualisiert um 20:21:23 Uhr
Goto Top
Die lokale Windows Firewall am Server hast du geprüft ??
Normal blockt sie per Default alles was eingehend aus fremden IP Netzen kommt wie z.B. dein Standort 1. Den Zugriff auf Dienste des Servers mit fremden Absender IPs musst du in der Firewall explizit erlauben. Vermutlich ist das verändert oder überschrieben worden.

An der Infrastruktur (Router, VPN, etc.) selber kann es nicht liegen, denn sonst wäre der gesamte VPN Traffic beeinträchtigt. Es kann nur der Server selber bzw. ein Winblows Problem sein.
Mitglied: lienas
lienas 02.05.2017 um 20:34:43 Uhr
Goto Top
Hallo aqui,

die lokale Firewall am Server ist deaktiviert!

Thomas
Mitglied: 132895
132895 02.05.2017 aktualisiert um 21:01:25 Uhr
Goto Top
Kurz danach habe ich dann die Domäne umgezogen
Was heißt das für dich?? Eine ganz neue Domäne angelegt und Daten migriert, oder Domäne umbenannt oder was??
Dann würde ich nämlich schwer vermuten das sich der Name geändert hat und deswegen RDP sowie SMB nicht mehr funktionieren, da diese ohne Anpassung in der Registry nicht auf andere DNS-Namen reagieren!
http://md3v.com/enable-windows-server-smb-2-0-alias-cname)
Stichwort: StrictNameChecking
Das würde erklären das SMB und RDP nicht, und alles andere schon noch funktionieren.
Ein Blick ins Eventlog sollte das alles ans Licht bringen!
die lokale Firewall am Server ist deaktiviert!
Du weißt hoffentlich das bestimmte Dienste eine aktive Firewall voraussetzen?! Das Deaktivieren ist immer die schlechteste Option und gezieltes Freischalten immer zu bevorzugen!

Gruß
Mitglied: lienas
lienas 02.05.2017 um 21:04:33 Uhr
Goto Top
Hier ist eine externe Domäne gemeint, um einen Namen für die öffentliche IP des Standorts zu haben!

Die hatte ich auch für die Erreichbarkeit des Exchange genutzt und eben für das erforderliche Zertifikat (OWA, ActiveSync)!

Wie bereits erwähnt betrifft es nur den einen Server! 2 weitere Server ein NAS und die Clients kann ich über RDP bzw. http erreichen
Mitglied: 132895
132895 02.05.2017 aktualisiert um 21:10:14 Uhr
Goto Top
Schau ins Eventlog des Servers und mach einen Wireshark Trace und du weißt sofort was das Problem ist.

Und bitte poste hier deine Logs und Fehlermeldungen, so ohne nichts stehen wir hier ziemlich blöde da ...face-sad Danke!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.05.2017 um 06:12:37 Uhr
Goto Top
Moin,

Ich würde mal einen nmap und einen wireshark auf den server loslassen, um zu schauen, ob die pakete schon an der firewall klebenbleiben oder es ein anderes Problem ist. Hast du schon mit dcdiag geschaut, ob das AD in Ordnung ist?

lks
Mitglied: lienas
lienas 03.05.2017 um 12:04:53 Uhr
Goto Top
Ich habe das Netzwerk vom Remotestandort aus mit einem Netzwerk-Scanner gescant: Der Server wurd erkannt (name und ip)- seine Netzwerkfreigaben allerdings nicht!

Mit Wireshark habe ich keine Erfahrung. Wie gehe ich denn am besten vor, um hier das Problem zu identifizieren.

Hier mein Netzwerkaufbau (schematisch)

Client (192.168.1.133) > Switch (cisco SG300 192.168.1.2) > Router (Lancom 1781+ 192.168.1.1) > Router (Lancom 192.168.2.1) > Switch (Cisco SG300 192.168.2.240) > Server (192.168.2.4)

Problem-Wiederholung :
Client kann Server pingen
Client kann Netzwerkfreigaben der Servers nicht mappen
Client kann nicht per RDP auf Server zugreifen
Mitglied: 132895
132895 03.05.2017 um 12:07:07 Uhr
Goto Top
Am Server per Wireshark mitschneiden ob überhaupt Pakete des Clients ankommen. Und nochmal, ins Eventlog schauen.
Mit Wireshark habe ich keine Erfahrung.
Basics die jeder Netzwerker beherrschen sollte!
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 03.05.2017 um 12:21:06 Uhr
Goto Top
Zitat von @lienas:

Ich habe das Netzwerk vom Remotestandort aus mit einem Netzwerk-Scanner gescant: Der Server wurd erkannt (name und ip)- seine Netzwerkfreigaben allerdings nicht!

Welcher netzwerkscanner? Und wie scannt der Freigaben? macht der ein Portscan oder versucht der auch eine verbindung zu etablieren?

Nimm einfach mal einen nmap.


Mit Wireshark habe ich keine Erfahrung. Wie gehe ich denn am besten vor, um hier das Problem zu identifizieren.

Dann wird es höchste Zeit damit erfahrung zu sammeln.

Du installierst Wireshark auf dem Serve roder nimmst die Portable version und läßt einen Dump mitlaufen, während Du vom anderen netz aus einen Scan machst. ggf mußt Du mit den Filtern ein wenig herumspielen, damit Du nur das Interessante siehst.

Dann siehst Du, ob es die Pakete bis zum Serve rschaffen oder vorher von Firewall weggefangen werden.


Problem-Wiederholung :
Client kann Server pingen
Client kann Netzwerkfreigaben der Servers nicht mappen
Client kann nicht per RDP auf Server zugreifen

Du solltest den Wiresharkdurchlauf machen, um zu prüfen, auf welchen Protokollschichten das problem auftritt (Ist es nur die Anmeldung oder schon die TCP-verbindung selbst).

lks
Mitglied: lienas
lienas 03.05.2017 um 21:03:21 Uhr
Goto Top
Danke für die Tipps.

Letzendlich hat mir wireskark gezeigt, dass beim Server und beim anderen Router nichts angekommen ist.
Letztendlich war beim Router des Remotestandorts die IP des Servers als Loopback eingetragen- warum auch immer.

Unverständlicherweise hat es damit aber vorher funktioniert ???
Mitglied: aqui
aqui 04.05.2017 um 09:26:27 Uhr
Goto Top
Oha, die Server IP als Loopback. Wer verzapft denn sowas bei euch ??? So gruselig kann man ja gar nicht denken. Da hat sicher ein Vollprofi versucht den Router zu konfigurieren.
Aber gut das es den Kabelhai gibt... face-wink
Case closed