14
Terminalserver vom VPN-Client nicht erreichbar
Hallo,
wir nutzen ein bintec be.ip plus als Router und VPN-Zugangspunkt.
Im lokalen Netz befindet sich ein Terminalserver.
Wir haben das Problem, dass die VPN-Clients den Terminalserver manchmal (aber nicht immer) nicht erreichen können.
Zur Diagnose habe ich auf dem Router einen Netzwerkmitschnitt gestartet und parallel Pings an den Terminalserver gesendet.
Folgendes Ergebnis:
Ping VPN-Client --> Terminalserver: kommt beim Router an, wird aber vom Terminalserver nicht beantwortet
Ping Router --> Terminalserver: wird immer beantwortet
Da der Ping vom Router --> Terminalserver immer erfolgreich ist, schließe ich ein Problem im lokalen Netzwerk aus.
Hat jemand eine Idee, wie ich herausfinden kann, weshalb die Pings vom VPN-Client beim Router, aber nicht beim Terminalserver ankommen?
Ich vermute Probleme beim Routing, ARP, etc., weiß aber nicht, wie ich das näher eingrenzen kann.
LG
P.S.: zu diesem Thema gibt es bereits einen Thread in einem anderen Forum, aber da kommen wir irgendwie nicht weiter.
wir nutzen ein bintec be.ip plus als Router und VPN-Zugangspunkt.
Im lokalen Netz befindet sich ein Terminalserver.
Wir haben das Problem, dass die VPN-Clients den Terminalserver manchmal (aber nicht immer) nicht erreichen können.
Zur Diagnose habe ich auf dem Router einen Netzwerkmitschnitt gestartet und parallel Pings an den Terminalserver gesendet.
Folgendes Ergebnis:
Ping VPN-Client --> Terminalserver: kommt beim Router an, wird aber vom Terminalserver nicht beantwortet
Ping Router --> Terminalserver: wird immer beantwortet
Da der Ping vom Router --> Terminalserver immer erfolgreich ist, schließe ich ein Problem im lokalen Netzwerk aus.
Hat jemand eine Idee, wie ich herausfinden kann, weshalb die Pings vom VPN-Client beim Router, aber nicht beim Terminalserver ankommen?
Ich vermute Probleme beim Routing, ARP, etc., weiß aber nicht, wie ich das näher eingrenzen kann.
LG
P.S.: zu diesem Thema gibt es bereits einen Thread in einem anderen Forum, aber da kommen wir irgendwie nicht weiter.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1672799757
Url: https://administrator.de/contentid/1672799757
Printed on: April 24, 2024 at 16:04 o'clock
14 Comments
Latest comment
Wenn schon der reine ping nicht funktioniert brauchst du da rdp noch gar nicht mit einbeziehen
Welches VPN Protokoll ? Welches Client OS ? Welcher VPN Client ? Log Auszug der Routers bei Unterbrechung ? Log des Clients ? Fragen über Fragen...
Möglich auch das du ICMP (Ping) in der Firewall rein nur lokale IPs zugelassen hast nicht aber für andere Netze. Eine weitere Frage die sich da auftut !
Ping VPN-Client --> Terminalserver: kommt beim Router an, wird aber vom Terminalserver nicht beantwortet
Könnte normal sein ! Das ist dann, wie immer, die lokale Windows Firewall die Zugriffe aus fremden IP Netzen (wie dein VPN Netz) generell nicht zulässt. In diesem Falle dann das ICMP Protokoll.Möglich auch das du ICMP (Ping) in der Firewall rein nur lokale IPs zugelassen hast nicht aber für andere Netze. Eine weitere Frage die sich da auftut !
Moin,
Ja, kein Wunder das es dort, im Forum, nicht voran geht.
Das einzige, was du lieferst ist "Geht nicht". Weder Config noch Logs!
Und das es im den anderen Thread um "Probleme" mit "Terminalservern" geht, ist auch nicht ersichtlich.
Als erste Hilfe könnte man den zuständigen Administrator austauschen. Eventuell gegen einen Praktikanten, der Handbücher und Logs lesen kann.
How to correctly ask a question
Gruß
C.C.
Ja, kein Wunder das es dort, im Forum, nicht voran geht.
Das einzige, was du lieferst ist "Geht nicht". Weder Config noch Logs!
Und das es im den anderen Thread um "Probleme" mit "Terminalservern" geht, ist auch nicht ersichtlich.
Als erste Hilfe könnte man den zuständigen Administrator austauschen. Eventuell gegen einen Praktikanten, der Handbücher und Logs lesen kann.
How to correctly ask a question
Gruß
C.C.
Kommt der Ping denn auch am TS an?
Wie ist der IP Bereich vom internen und vom VPN Netz? Wird zwischen denen geroutet ? Gibt es eine Firewall an der noch was erlaubt werden muss?
Kann der Router denn sowas wie einen flow debug/trace ?
Wie ist der IP Bereich vom internen und vom VPN Netz? Wird zwischen denen geroutet ? Gibt es eine Firewall an der noch was erlaubt werden muss?
Kann der Router denn sowas wie einen flow debug/trace ?
Hi,
zusätzlich zu den Fragen von @aqui.
Wie testest du die Verbindung zum TS ?
per IP Adresse, short Name oder FQDN ?
Gruß
CH
zusätzlich zu den Fragen von @aqui.
Wie testest du die Verbindung zum TS ?
per IP Adresse, short Name oder FQDN ?
Gruß
CH
Wie baut ihr denn VPN auf? Feste IP oder DynDNS?
Gruß Looser
Gruß Looser
Weiter unten Antworten auf die Fragen. Mit Logs kann ich z.Zt. nicht dienen, da es gerade wieder funktioniert. Das Log ist ja nur im Fehlerfall interessant.
Möglich auch das du ICMP (Ping) in der Firewall rein nur lokale IPs zugelassen hast nicht aber für andere Netze.
Das schließe ich aus, dann würde der Ping übers VPN ja nie gehen. Es funktioniert aber nur manchmal nicht, eine Stunde später geht es wieder.
Über DynDNS. Da es oft zeitgleich bei einem Client geht, beim anderen nicht, scheint das nicht die Ursache zu sein.
Auf dem TS läuft immer ein Netzwerk-Mitschnitt. Mein Problem ist: ich habe zwei gespeicherte Traces (Router und TS) in Wireshark offen und weiß nicht, wie ich das Ping-Paket auf der Sendeseite (=Router) dem Ping-Paket auf der Empfangsseite (=TS) eindeutig zuordne. Die Pakete haben keine ID und auch keinen Zeitstempel.
Zitat von @aqui:
Welches VPN Protokoll ? Welches Client OS ? Welcher VPN Client ? Log Auszug der Routers bei Unterbrechung ? Log des Clients ? Fragen über Fragen...
Protokoll: IKEv2 - Client: MacOS, iOS, Windows 10 - Logs: siehe oben.Welches VPN Protokoll ? Welches Client OS ? Welcher VPN Client ? Log Auszug der Routers bei Unterbrechung ? Log des Clients ? Fragen über Fragen...
Ping VPN-Client --> Terminalserver: kommt beim Router an, wird aber vom Terminalserver nicht beantwortet
Könnte normal sein ! Das ist dann, wie immer, die lokale Windows Firewall die Zugriffe aus fremden IP Netzen (wie dein VPN Netz) generell nicht zulässt. In diesem Falle dann das ICMP Protokoll.Möglich auch das du ICMP (Ping) in der Firewall rein nur lokale IPs zugelassen hast nicht aber für andere Netze.
Über DynDNS. Da es oft zeitgleich bei einem Client geht, beim anderen nicht, scheint das nicht die Ursache zu sein.
Zitat von @ChriBo:
Hi,
zusätzlich zu den Fragen von @aqui.
Wie testest du die Verbindung zum TS ?
per IP Adresse, short Name oder FQDN ?
IP-Adresse des Terminalservers.Hi,
zusätzlich zu den Fragen von @aqui.
Wie testest du die Verbindung zum TS ?
per IP Adresse, short Name oder FQDN ?
Auf dem TS läuft immer ein Netzwerk-Mitschnitt. Mein Problem ist: ich habe zwei gespeicherte Traces (Router und TS) in Wireshark offen und weiß nicht, wie ich das Ping-Paket auf der Sendeseite (=Router) dem Ping-Paket auf der Empfangsseite (=TS) eindeutig zuordne. Die Pakete haben keine ID und auch keinen Zeitstempel.
Wie ist der IP Bereich vom internen und vom VPN Netz? Wird zwischen denen geroutet ? Gibt es eine Firewall an der noch was erlaubt werden muss?
Sind beide im selben Subnetz (192.168.73.0/24). Wenn es die Firewall wäre, würde es nie gehen - es funktioniert aber manchmal.Kann der Router denn sowas wie einen flow debug/trace ?
Weiß nicht, was Du damit meinst.
Nachtrag: die Probleme treten bisher dann auf, wenn die Clients sich in einem Hotel-WLAN befinden. Übers Mobilfunknetz geht es.
Die VPN-Verbindung wird zwar in beiden Fällen erfolgreich aufgebaut. Aber aus dem Hotel-WLAN ist der TS oft nicht erreichbar.
Die VPN-Verbindung wird zwar in beiden Fällen erfolgreich aufgebaut. Aber aus dem Hotel-WLAN ist der TS oft nicht erreichbar.
und weiß nicht, wie ich das Ping-Paket auf der Sendeseite (=Router) dem Ping-Paket auf der Empfangsseite (=TS) eindeutig zuordne.
Indem du schlicht und einfach mal auf die Absender und Empfangs IP Adresse siehst ! 😉wenn die Clients sich in einem Hotel-WLAN befinden.
Da wird dann vermutlich die WLAN Feldstärke abreissen weil zu schwaches Signal und dann die IP Verbindung gekappt...
Ich tippe mal auf Restriktionen seitens des WLAN, z.B. Speedlimit. Gepaart mit schlechter Latenz das Todesurteil.
1Zitat von @ahussain:
Nachtrag: die Probleme treten bisher dann auf, wenn die Clients sich in einem Hotel-WLAN befinden. Übers Mobilfunknetz geht es.
Die VPN-Verbindung wird zwar in beiden Fällen erfolgreich aufgebaut. Aber aus dem Hotel-WLAN ist der TS oft nicht erreichbar.
Nachtrag: die Probleme treten bisher dann auf, wenn die Clients sich in einem Hotel-WLAN befinden. Übers Mobilfunknetz geht es.
Die VPN-Verbindung wird zwar in beiden Fällen erfolgreich aufgebaut. Aber aus dem Hotel-WLAN ist der TS oft nicht erreichbar.
Jo dann ist halt das Hotel WLAN ###e.
Einfach Mal parallel einen Ping auf den TS und einen auf 8.8.8.8 laufen lassen. Dann wirst du wahrscheinlich sehen das beide parallel zusammenbrechen.
Zitat von @aqui:
Darauf wäre ich gar nicht gekommen und weiß nicht, wie ich das Ping-Paket auf der Sendeseite (=Router) dem Ping-Paket auf der Empfangsseite (=TS) eindeutig zuordne.
Indem du schlicht und einfach mal auf die Absender und Empfangs IP Adresse siehst ! 😉
Aber was machst Du wenn du auf dem TS einen Trace hast, bei dem mehrere Stunden aufgezeichnet wurde. Gleichzeitig hast Du einen Trace vom Router, manche Pings waren erfolgreich, manche nicht. Wie stelle ich fest, ob ein einzelnes Ping-Paket, der vom Router an den TS geschickt wurde, beim TS überhaupt angekommen ist, ohne dass im Paket ein Zeitstempel o.ä. enthalten ist?
Beide traces werden ja ihre eigenen timestamps haben. Jetzt musst du doch nur noch einen finden der zur gleichen Zeit durch ist.
Aber das bringt doch alles nichts... Wenn das nur aus ranzigem Hotel WLAN aus passiert, dann liegt das am ranzigen
Hotel WLAN
Aber das bringt doch alles nichts... Wenn das nur aus ranzigem Hotel WLAN aus passiert, dann liegt das am ranzigen
Hotel WLAN
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
