10
VPN aufgebaut - RDP möglich - Zugriff auf Webinterface schlägt fehl
Hallo,
ich wähle mich auf unser Firmennetz per FEC Secure IPsec Client ein. Die Verbindung wird aufgebaut und ich komme auf sämtliche RDP-Verbindungen.
Auch der Zugriff auf die wichtigsten Webinterfaces klappt ohne Probleme.
Jetzt gibt es allerdings ein paar Ausnahmen:
- 1 Router von Netgear R6300 mit der internen Adresse 192.168.40.189: auf diesen komme ich im Browser nicht drauf, wenn ich ihn von einem internen Client ansurfe, klappt das ganze.
- 1 Managementkonsole "vSphere Web Client" im Managementnetz 192.168.240.200: hier dasselbe wie beim Netgear Router.
- 1 mal unseren internen Bintec Router und deren 4 Access Points. Mit den IPs 192.168.40.10 und 192.168.40.250-253: hier komme ich auf die Anmeldemaske, authentifiziere ich mich, sieht es so aus als ob er sich einwählt. Allerdings werde ich direkt wieder auf die Anmeldemaske zurück geschmissen und darf erneut eingeben. Von einem internen Client funktioniert es wiederum.
Ich habe die beiden Browser, Internet Explorer 11 und Firefox 31 verwendet.
Also sieht es so aus, als ob diese Adressen von mir Zuhause über die VPN-Verbindung nicht erreicht werden können. Diese Adressen kann ich allerdings auch nicht anpingen. Zeitüberschreitung der Anforderung. Von einem internen Client wiederum, kann ich anpingen.
Wie kann ich vorgehen? Vielen Dank
Gruß
ich wähle mich auf unser Firmennetz per FEC Secure IPsec Client ein. Die Verbindung wird aufgebaut und ich komme auf sämtliche RDP-Verbindungen.
Auch der Zugriff auf die wichtigsten Webinterfaces klappt ohne Probleme.
Jetzt gibt es allerdings ein paar Ausnahmen:
- 1 Router von Netgear R6300 mit der internen Adresse 192.168.40.189: auf diesen komme ich im Browser nicht drauf, wenn ich ihn von einem internen Client ansurfe, klappt das ganze.
- 1 Managementkonsole "vSphere Web Client" im Managementnetz 192.168.240.200: hier dasselbe wie beim Netgear Router.
- 1 mal unseren internen Bintec Router und deren 4 Access Points. Mit den IPs 192.168.40.10 und 192.168.40.250-253: hier komme ich auf die Anmeldemaske, authentifiziere ich mich, sieht es so aus als ob er sich einwählt. Allerdings werde ich direkt wieder auf die Anmeldemaske zurück geschmissen und darf erneut eingeben. Von einem internen Client funktioniert es wiederum.
Ich habe die beiden Browser, Internet Explorer 11 und Firefox 31 verwendet.
Also sieht es so aus, als ob diese Adressen von mir Zuhause über die VPN-Verbindung nicht erreicht werden können. Diese Adressen kann ich allerdings auch nicht anpingen. Zeitüberschreitung der Anforderung. Von einem internen Client wiederum, kann ich anpingen.
Wie kann ich vorgehen? Vielen Dank
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 245580
Url: https://administrator.de/contentid/245580
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
"Wie kann ich vorgehen? Vielen Dank"
Ganz ehrlich - sei froh dass es so ist wie es ist
Du schreibst was von einem Netz 192.168.40.x und einem anderen 192.168.240.x
Aber nicht von deinen Routen usw.
Per RDP kommst du drauf - ergo nimm die RDP Session um die Geräte zu verwalten (so oft macht man das ja nun auch wieder nicht) die du verwalten willst anstatt da jetzt mit routen von nach das ganze Sicherheitskonzept zu durchlöchern.
Nimms mir nicht übel, aber manchmal ist weniger mehr (vor allem bei der Fragestellung)
"Wie kann ich vorgehen? Vielen Dank"
Ganz ehrlich - sei froh dass es so ist wie es ist
Du schreibst was von einem Netz 192.168.40.x und einem anderen 192.168.240.x
Aber nicht von deinen Routen usw.
Per RDP kommst du drauf - ergo nimm die RDP Session um die Geräte zu verwalten (so oft macht man das ja nun auch wieder nicht) die du verwalten willst anstatt da jetzt mit routen von nach das ganze Sicherheitskonzept zu durchlöchern.
Nimms mir nicht übel, aber manchmal ist weniger mehr (vor allem bei der Fragestellung)
Nun gut. Es ist ja wie gesagt über einen internen Client möglich. Somit also nicht schlimm, wenn es so bleibt.
Aber mich beschäftigt die Frage schon seit einer Weile, deshalb würde ich doch gerne wissen woran das liegen kann.
Weil wenn, dann sollten doch idealerweise alle Webinterfaces nicht ansurfbar sein, damit die Sicherheit stimmt, oder?
Aber mich beschäftigt die Frage schon seit einer Weile, deshalb würde ich doch gerne wissen woran das liegen kann.
Weil wenn, dann sollten doch idealerweise alle Webinterfaces nicht ansurfbar sein, damit die Sicherheit stimmt, oder?
Wie wärs mal mit Firewall Logs zu checken, ob da irgendwas geblockt wird am Firmengateway?
Möglich, das der Aufruf von IP Adressen via Webbrowser gesperrt ist mit dem VPN.
Möglich, das der Aufruf von IP Adressen via Webbrowser gesperrt ist mit dem VPN.
Das werde ich mal ausprobieren.
Aber wenn der Aufruf von IP-Adressen allgemein gesperrt ist, könnte ich ja auch nicht auf die anderen Webinterfaces zugreifen.
Aber wenn der Aufruf von IP-Adressen allgemein gesperrt ist, könnte ich ja auch nicht auf die anderen Webinterfaces zugreifen.
Check mal die Logs, ob du mit deiner IP Sec Client IP überhaupt durch kommst. Dann sehen wir weiter 
Schritt für Schritt vorzugehen ist immer am Besten!
Schritt für Schritt vorzugehen ist immer am Besten!
Also auf das Firmennetz an sich komme ich drauf. Kann ja RDP-Verbindungen aufbauen und die meisten IPs auch ansurfen. Im Logbuch meines IPsec Clients steht, dass die Verbindung erfolgreich aufgebaut wurde. Oder meintest du was Anderes?
dazu müsste man dein Netzwerk / deine Netzwerke besser kennen.
Was z.b viele Firewalls nicht mögen (kann - sollte man aber nicht abschalten) ist die Verwaltung der Appliance über VPN aus.
Ergo ich komme auf die Kiste drauf und kann mir dann ein eigenes Hintertürchen bauen.
Was Kollege dannyxz meint ist ein Tracert ziel aus der VPN Session heraus auf deine Ziele.
Damit würdest du sehen, wo du ankommst und wer dich nicht mehr weiterleitet.
Eine (mit Absicht?) fehlende Gatewayadresse oder eine (absichtlich) fehlende route wären da meine ersten Gedanken.
Was z.b viele Firewalls nicht mögen (kann - sollte man aber nicht abschalten) ist die Verwaltung der Appliance über VPN aus.
Ergo ich komme auf die Kiste drauf und kann mir dann ein eigenes Hintertürchen bauen.
Was Kollege dannyxz meint ist ein Tracert ziel aus der VPN Session heraus auf deine Ziele.
Damit würdest du sehen, wo du ankommst und wer dich nicht mehr weiterleitet.
Eine (mit Absicht?) fehlende Gatewayadresse oder eine (absichtlich) fehlende route wären da meine ersten Gedanken.
1
Ich habe ein Tracert auf die 192.168.40.189 (Netgear Router) gemacht und es scheint ab dem "Hauptrouter (Standardgateway)" 192.168.40.10 nichts mehr zu gehen.
Siehst du wenn du im Routerlog schaust die versuchten Zugriffe (also wenn du dich mal mit einem internen Client auf den Router schaltest?) ?
Ich hätte auch auf fehlende Routen getippt, dann ist es aber verwunderlich, dass du bei einigen Geräten zumindest die Anmeldemaske siehst. Daher wäre interessant zu wissen, ob du etwas im router Log findest.
Was hängt für eine Firewall am Gateway eurer Firma?
Ich hätte auch auf fehlende Routen getippt, dann ist es aber verwunderlich, dass du bei einigen Geräten zumindest die Anmeldemaske siehst. Daher wäre interessant zu wissen, ob du etwas im router Log findest.
Was hängt für eine Firewall am Gateway eurer Firma?
Ich habe ein Tracert auf die 192.168.40.189
Ist ja überflüssig wenn ein Ping auch schon fehlschlägt ! Gut, man sieht so wenigstens wo die Routinginformation fehlt !Vermutlich bist du wieder mal ein Opfer des klassischen Anfängerfehlers ?!
Bedenke das du via VPN mit einer fremden Absender IP ankommst wenn also die Geräte auf die du nicht raufkommst kein oder ein falsches Gateway eingetragen haben klappt das logischerweise auch nicht, denn diese Geräte wissen dann ja nicht wohin mit den Antwortpaketen.
Die Kardinlasfrage dazu ist WO ist der VPN Server auf den du dich einwählst ??
- Ist das der Internet Router / Firewall ?
- Ist das ein VPN Server hinter dem Router oder Firewall ?
Das es lokal geht ist ja vollkommen logisch.
Checke also als erstes ob der NetGear Router und der vCenter Rechner ein Gateway konfiguriert haben und...
für uns zum Troubleshooting wichtig: Ist das Gateway dann auch der VPN Server oder ist das noch wieder ein anderes Gerät ?!
Wichtig ist hier das der VPN Server und der Internet Router sich routingtechnisch "kennen".
Erst wenn auch ein Traceroute und ein Ping klappt und damit die reine IP Connectivity gegeben ist, klappt auch der Rest.
1
