speed101
Goto Top

VPN Draytek Windows Server

Hallo liebe Community,

ich habe zwischen zwei Draytek Routern ein funktionierendes VPN eingerichtet (SSL-VPN).

Beide Netzwerke haben unterschiedliche IPs (192.168.25.0/24 mit Windows Server und 192.168.3.0/24).

Leider funktioniert der Zugriff auf Netzwerkfreigaben auf das jeweilige andere Netzwerk nicht.

Ich vermute durch die Ping abfragen, dass eine Einstellung im Windows Server den Netzwerkzugriff blockiert. Anpingen der Router klappt, der Netzwerk Clients leider nicht.

Wer kann mir hier weiterhelfen?

Vielen Dank im Voraus!

Content-ID: 610837

Url: https://administrator.de/contentid/610837

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

IceBeer
IceBeer 07.10.2020 aktualisiert um 19:16:09 Uhr
Goto Top
Hallo,

ist die Windows Firewall für das andere Subnetz freigeschalten!? Im Standard sollte das auf "LocalSubnet" stehen.

Gruß IceBeer
Speed101
Speed101 07.10.2020 um 19:34:54 Uhr
Goto Top
Hallo,

vielen Dank für die Rückmeldung.

Wo kann man das Subnetz eintragen an der Firewall im Windows Server?

Beste Grüße!
aqui
Lösung aqui 07.10.2020 um 20:46:07 Uhr
Goto Top
Wird hier gefühlt 5mal in der Woche gefragt... Windows Firewall mit erweiterter Sicherheit im Suchfenster eingeben und starten.
Dort den Drucker- und Datei Sharing Dienst suchen und den Netzwerk Bereich auf "Beliebig" klicken oder dediziert deine Netze eingeben.
Ist die Winblows Firewall die den Zugang verhindert.
Speed101
Speed101 11.10.2020 um 12:14:50 Uhr
Goto Top
Zitat von @aqui:

Dort den Drucker- und Datei Sharing Dienst suchen und den Netzwerk Bereich auf "Beliebig" klicken oder dediziert deine Netze eingeben.

Vielen Dank für den Input.

Ich habe bei allen eingehenden und ausgehenden Drucker- und Datei Sharing Diensten (etwa 6-8) jeweils unter "Bereich" die Remote-Ip Adresse auf "Beliebige IP-Adresse" gestellt.

Der Zugriff klappt trotzdem nicht. Woran könnte das noch liegen?

Die SSL Verbindung wird über PORT TCP 4430 realisiert.
aqui
aqui 11.10.2020 aktualisiert um 12:55:26 Uhr
Goto Top
Können sie die lokalen Rechner/Server über das VPN pingen ??
Wenn nicht hast du schon ein grundsätzliches Problem.
Entweder hast du vergessen das ICMP Protokoll in der Firewall freizugeben was du unbedingt machen solltest zum Troubleshooting:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Oder dein VPN Tunnel kommt gar nicht erst zustande.

Möglich (aber eher unwahrscheinlich) das die Endgeräte keinen Gateway IP Eintrag auf den jeweiligen lokalen Draytek Router haben ?!
Hast du sonst Geräte im Netz die keine Firewall haben wie NAS, Drucker, WLAN Accesspoints usw. ?? Wenn ja kannst du diese vom jeweils remoten Netz pingen ? Das sollte immer und in jedem Falle klappen.
Speed101
Speed101 11.10.2020 aktualisiert um 15:28:47 Uhr
Goto Top
Zitat von @aqui:

Können sie die lokalen Rechner/Server über das VPN pingen ??
Wenn nicht hast du schon ein grundsätzliches Problem.
Entweder hast du vergessen das ICMP Protokoll in der Firewall freizugeben was du unbedingt machen solltest zum Troubleshooting:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Oder dein VPN Tunnel kommt gar nicht erst zustande.
Das ICMP Protokoll ist auch auf beliebig für Remote IP Adressen eingestellt. Ich habe alle Einträge, welche mit "Datei- und Druckerfreigabe" beginnen auf beliebig gestellt.

Der VPN Tunnel besteht zwischen den beiden Draytek Routern.

Den Netzwerkdrucker kann ich anpingen.

Den Windows Server/andere Clients kann ich leider nicht anpingen.


Möglich (aber eher unwahrscheinlich) das die Endgeräte keinen Gateway IP Eintrag auf den jeweiligen lokalen Draytek Router haben ?!

Das verstehe ich nicht. //Korrektur

Standardgateway ist in dem einen Netzwerk die IP Adresse des Windows Servers.


Hast du sonst Geräte im Netz die keine Firewall haben wie NAS, Drucker, WLAN Accesspoints usw. ?? Wenn ja kannst du diese vom jeweils remoten Netz pingen ? Das sollte immer und in jedem Falle klappen.

Ja, den Netzwerkdrucker kann ich ohne Probleme anpingen.
aqui
aqui 11.10.2020 um 16:32:20 Uhr
Goto Top
Ja, den Netzwerkdrucker kann ich ohne Probleme anpingen.
OK, das zeigt dann das dein VPN grundsätzlich fehlerfrei funktioniert. Das kann man dann also als Fehlerquelle sicher ausschliessen !

Dann ist der Rest einzig und allein nur noch Windows Firewall. Da ist dann vermutlich noch ein Fehler in der Windows Firewall Konfig. Ggf. hast du das auf dem falschen Profil freigegeben, kann das sein ?
Speed101
Speed101 11.10.2020 um 16:51:07 Uhr
Goto Top
Vielen Dank für deine Hilfe erstmal!

Zitat von @aqui:
Dann ist der Rest einzig und allein nur noch Windows Firewall. Da ist dann vermutlich noch ein Fehler in der Windows Firewall Konfig. Ggf. hast du das auf dem falschen Profil freigegeben, kann das sein ?

Ja, das kann sein. Wie wechsel ich das Profil? Oder wo sehe ich die noch nicht freigegebenen Profile?

Hier mal der Screenshot:
https://ibb.co/RgmXSx8
IceBeer
IceBeer 11.10.2020 um 17:16:55 Uhr
Goto Top
Hallo,

zu der Frage der Profile:
Prüfe bei den Netzwerken (ausführen -> ncpa.cpl) zu welchem Profil (Netzwerkkartegorie) die entsprechende NIC gehört und schau dann bei jeder Firewallregel ob das korrekte Profil unter "Erweitert" addressiert ist.

Um sicher zu gehen, ob es an den Firewalls liegt oder nicht, schalte doch mal TEMPORÄR diese an den beteiligten Rechnern aus.

Ich vermute nämlich dass es nicht den Firewalls liegt sondern am Routing, weil du hast im Verlauf geschrieben:
Zitat von @Speed101:
Standardgateway ist in dem einen Netzwerk die IP Adresse des Windows Servers..... Vielen Dank für deine Hilfe erstmal!

Alle beteiligten Rechner sollte "den Weg" auf die andere Seite schon kennen. Hier hast du zwei Möglichkeiten:
- Standard-Gateway ist je der Draytek
- Soll der Draytek nicht das Standard-Gateway sein (mag durchaus Gründe dafür geben), konfigurierst du an jedem System welches das ferne Netz erreichen solle eine Route dass das ferne Netz über den Draytek zu erreichen ist.

Da du die Drucker pingen kannst:
Zitat von @Speed101:
Den Netzwerkdrucker kann ich anpingen.
vermute ich mal, hier ist der Draytek das Standard-Gateway!?

Gruß IceBeer
aqui
aqui 12.10.2020 aktualisiert um 09:18:16 Uhr
Goto Top
Hier mal der Screenshot
Bitte lassen den Unsinn mit externen Bilderlinks und Zwangswerbung hier im Forum ! face-sad
Dir sollte nicht entgangen sein das es hier eine Bilder Upload Funktion gibt um Bilder direkt in Threads einzubinden oder wozu dachtest du ist das kleine Kamerasymbol links am Eingabefeld ?!
FAQs lesen hilft wirklich !
Kann man übrigens nachträglich noch mit dem "Bearbeiten" Knopf (rechts unter "Mehr) korrigieren ! face-wink

Wie wechsel ich das Profil? Oder wo sehe ich die noch nicht freigegebenen Profile?
"Windows Firewall mit erweiterter Sicherheit.." im Winblows Suchfeld eingeben und klicken...
Speed101
Speed101 18.10.2020 um 10:03:31 Uhr
Goto Top
Zitat von @IceBeer:

Hallo,

zu der Frage der Profile:
Prüfe bei den Netzwerken (ausführen -> ncpa.cpl) zu welchem Profil (Netzwerkkartegorie) die entsprechende NIC gehört und schau dann bei jeder Firewallregel ob das korrekte Profil unter "Erweitert" addressiert ist.

Bei den Firewallregeln sind jeweils alle 3 Profile "Domäne" "Privat" "Öffentlich" angewählt.

Ist das korrekt?


Um sicher zu gehen, ob es an den Firewalls liegt oder nicht, schalte doch mal TEMPORÄR diese an den beteiligten Rechnern aus.

Ich habe die Firewall ausgeschaltet. Auch dies hat leider nicht zur Lösung des Problemes beigetragen.


Ich vermute nämlich dass es nicht den Firewalls liegt sondern am Routing, weil du hast im Verlauf geschrieben:
Zitat von @Speed101:
Standardgateway ist in dem einen Netzwerk die IP Adresse des Windows Servers..... Vielen Dank für deine Hilfe erstmal!

Alle beteiligten Rechner sollte "den Weg" auf die andere Seite schon kennen. Hier hast du zwei Möglichkeiten:
- Standard-Gateway ist je der Draytek
- Soll der Draytek nicht das Standard-Gateway sein (mag durchaus Gründe dafür geben), konfigurierst du an jedem System welches das ferne Netz erreichen solle eine Route dass das ferne Netz über den Draytek zu erreichen ist.

Ich glaube mittlerweile auch, dass es am Routing liegt.

Wie genau konfiguriere ich die Route?

Am Hauptstandort ist das Netz 192.168.25./24
Der Draytek am Hauptstandort hat die IP 192.168.2.1
Der Draytek am Nebenstandort hat die IP 192.168.3.1

Wie und wo kann ich die Route eintragen. Ich vermute, dass muss im Windows Server eingetragen werden oder?


Da du die Drucker pingen kannst:
Zitat von @Speed101:
Den Netzwerkdrucker kann ich anpingen.
vermute ich mal, hier ist der Draytek das Standard-Gateway!?

Auf der Netzwerkkarte im Server ist als Standardgateway eine mir nicht bekannte IP eingetragen.


Gruß IceBeer

Vielen Dank!
aqui
aqui 18.10.2020 aktualisiert um 10:28:05 Uhr
Goto Top
Ist das korrekt?
Nein !
Ein Interface kann logischerweise immer nur Mitglied einer Firewall Zone sein ! Niemals in mehreren. Wäre unlogisch und würde das Zonenkonzept ja auch völlig konterkarieren.
Du verwechselst das vermutlich mit dem Regelwerk an sich ?! Das kann man ja einer oder auch mehreren Zonen zuweisen in denen es gelten soll.
Wie genau konfiguriere ich die Route?
Gar nicht, denn die braucht es auch nicht, da mit dem VPN Tunnelaufbau die Routen in die Zielnetze schon automatisch ausgetauscht werden.
Warum siehst du dir nicht einfach mal die Routing Tabelle des jeweiligen Routers an ?! Dort sollten alle erreicbaren IP Netze und ihr Next Hop Gateway zu sehen sein !!
Am Hauptstandort ist das Netz 192.168.25./24 Der Draytek am Hauptstandort hat die IP 192.168.2.1
Da kann irgendwas nicht stimmen !! Diese IP Adressierung ist falsch und fehlerhaft !
Ich vermute, dass muss im Windows Server eingetragen werden oder?
Nein, das wäre ja Blödsinn ! Denke mal bitte selber etwas nach !
Die Router "routen" im Netzwerk, aber doch niemals ein Endgerät wie ein Server ! Es reicht wenn der Server ein Default Gateway auf seinen lokalen Draytek Router eingetragen hat. Alles was der Server an Ziel IPs nicht kennt (also nicht im lokalen IP Netz ist) schickt er dann direkt an diesen Gateway Router in seinem Netz. Der Router "kennt" ja alle IP Zielnetze (siehe seine Routing Tabelle) und auch den Weg dorthin ! Simpelste Grundlage des IP Routing die auch jeder Laie kennt....
Im Zweifel die einfachsten Routing Grundlagen noch einmal nachlesen und verstehen !
Auf der Netzwerkkarte im Server ist als Standardgateway eine mir nicht bekannte IP eingetragen.
Ooohh man... Genau DAS ist doch der Fehler !!!
Wenn dort eine falsche oder nichtexistente IP eingetragen ist kann der Server doch niemals deine VPN Zielnetze erreichen, denn dazu müssten seine IP Pakete ja an den lokalen Draytek in seinem Netz gehen !! (Siehe Erklärung oben !) Wenn das also eine falsche IP ist finden IP Pakte mit Zieladressen in deinen VPN Netzen doch niemals ihren Weg, wie auch mit einem falschen Router ?!

Mache dich also erstmal kundig WAS diese Gateway Adresse für eine ist und ob die gültig ist bzw. wirklich ein Router dahinter steckt. Wenn nein, dann korrigiere diese IP auf deinen Draytek Router.
Sorry, aber auch ein völlige Laie weiss doch wie essentiell wichtig die Gateway IP eines Rechners ist wenn man ein segmentieres IP Netz hat wie bei dir.
Wenn du so dilettantisch vorgehst und nicht einmal die Routing und Gateway IP Adressen abklärst musst du dich ja nicht groß wundern das das völlig in die Hose geht. Das weiss doch auch der Azubi im ersten Lehrjahr !
Das ist jetzt nicht böse gemeint aber ein klein wenig strukturierter und zielgerichteter solltest du als Administrator schon vorgehen bei der Umsetzung.
Die genaue Kentniss der Router Infrastruktur, seiner IPs und das Traceroute Tool ist hier wie immer dein Freund !
Nur mit Handauflegen und Zusamenstecken ist es natürlich nicht getan. face-wink
Speed101
Speed101 18.10.2020 um 10:41:37 Uhr
Goto Top
Auf der Netzwerkkarte im Server ist als Standardgateway eine mir nicht bekannte IP eingetragen.
Ooohh man... Genau DAS ist doch der Fehler !!!
Wenn dort eine falsche oder nichtexistente IP eingetragen ist kann der Server doch niemals deine VPN Zielnetze erreichen, denn dazu müssten seine IP Pakete ja an den lokalen Draytek in seinem Netz gehen !! (Siehe Erklärung oben !) Wenn das also eine falsche IP ist finden IP Pakte mit Zieladressen in deinen VPN Netzen doch niemals ihren Weg, wie auch mit einem falschen Router ?!

Mache dich also erstmal kundig WAS diese Gateway Adresse für eine ist und ob die gültig ist bzw. wirklich ein Router dahinter steckt. Wenn nein, dann korrigiere diese IP auf deinen Draytek Router.
Sorry, aber auch ein völlige Laie weiss doch wie essentiell wichtig die Gateway IP eines Rechners ist wenn man ein segmentieres IP Netz hat wie bei dir.
Wenn du so dilettantisch vorgehst und nicht einmal die Routing und Gateway IP Adressen abklärst musst du dich ja nicht groß wundern das das völlig in die Hose geht. Das weiss doch auch der Azubi im ersten Lehrjahr !
Das ist jetzt nicht böse gemeint aber ein klein wenig strukturierter und zielgerichteter solltest du als Administrator schon vorgehen bei der Umsetzung.
Die genaue Kentniss der Router Infrastruktur, seiner IPs und das Traceroute Tool ist hier wie immer dein Freund !
Nur mit Handauflegen und Zusamenstecken ist es natürlich nicht getan. face-wink

Vielen Dank für die Antwort.

Ich habe herausgefunden, was diese IP ist:

Das ist mein KV SafeNet Router.
Speed101
Speed101 18.10.2020 aktualisiert um 10:49:02 Uhr
Goto Top
Zitat von @aqui:

Ist das korrekt?
Nein !
Ein Interface kann logischerweise immer nur Mitglied einer Firewall Zone sein ! Niemals in mehreren. Wäre unlogisch und würde das Zonenkonzept ja auch völlig konterkarieren.
Du verwechselst das vermutlich mit dem Regelwerk an sich ?! Das kann man ja einer oder auch mehreren Zonen zuweisen in denen es gelten soll.

Ja, das Regelwerk ist gemeint.


Wie genau konfiguriere ich die Route?
Gar nicht, denn die braucht es auch nicht, da mit dem VPN Tunnelaufbau die Routen in die Zielnetze schon automatisch ausgetauscht werden.
Warum siehst du dir nicht einfach mal die Routing Tabelle des jeweiligen Routers an ?! Dort sollten alle erreicbaren IP Netze und ihr Next Hop Gateway zu sehen sein !!
Ok.

Am Hauptstandort ist das Netz 192.168.25./24 Der Draytek am Hauptstandort hat die IP 192.168.2.1
Da kann irgendwas nicht stimmen !! Diese IP Adressierung ist falsch und fehlerhaft !

Wie soll ich die IP Adressierung ändern? Soll der Drayteck am Hauptstandort auf 192.168.25.1? (Die 2.1. hat mir der Support von Draytek so eingerichtet).

Dann stelle ich im DHCP die Start IP Adresse auf 192.168.25.2?


Ich vermute, dass muss im Windows Server eingetragen werden oder?
Nein, das wäre ja Blödsinn ! Denke mal bitte selber etwas nach !
Die Router "routen" im Netzwerk, aber doch niemals ein Endgerät wie ein Server ! Es reicht wenn der Server ein Default Gateway auf seinen lokalen Draytek Router eingetragen hat. Alles was der Server an Ziel IPs nicht kennt (also nicht im lokalen IP Netz ist) schickt er dann direkt an diesen Gateway Router in seinem Netz. Der Router "kennt" ja alle IP Zielnetze (siehe seine Routing Tabelle) und auch den Weg dorthin ! Simpelste Grundlage des IP Routing die auch jeder Laie kennt....
Im Zweifel die einfachsten Routing Grundlagen noch einmal nachlesen und verstehen !

Danke für den Input!
aqui
aqui 18.10.2020 um 10:51:14 Uhr
Goto Top
Das ist mein KV SafeNet Router.
OK !
Dann musst du auf dem KV Safenet Router eine statische Route in deine VPN Netze eintragen mit Next Hop auf den Draytek !
Vermutlich wird das aber nicht gehen weil du da sehr wahrscheinlich keinen Zugriff drauf hast um dort die Konfig zu ändern, oder ?
Die Lösung ist aber kinderleicht, du musst nur dein Routing etwas umstellen.
Der Server bekommt dann den Draytek als Default Gateway und auf dem Draytek trägst du dann die Zielnetze des KV Safenet Netze ein und fertig ist der Lack. Skizze folgt...
Speed101
Speed101 18.10.2020 um 10:53:09 Uhr
Goto Top
Zitat von @aqui:

Das ist mein KV SafeNet Router.
OK !
Dann musst du auf dem KV Safenet Router eine statische Route in deine VPN Netze eintragen mit Next Hop auf den Draytek !
Vermutlich wird das aber nicht gehen weil du da sehr wahrscheinlich keinen Zugriff drauf hast um dort die Konfig zu ändern, oder ?

Doch, Zugriff auf die KocoBox ist verhanden!
Die Lösung ist aber kinderleicht, du musst nur dein Routing etwas umstellen.
Der Server bekommt dann den Draytek als Default Gateway und auf dem Draytek trägst du dann die Zielnetze des KV Safenet Netze ein und fertig ist der Lack. Skizze folgt...
aqui
aqui 18.10.2020 aktualisiert um 11:21:17 Uhr
Goto Top
Perfekt, dann sähe die Lösung so aus:

kvnetz2
Sollte das wider Erwarten nicht klappen (wovon nicht auszugehen ist) kannst du das Routing auch auf deine eigenen lokalen Router Komponenten umstellen, was dann so aussehen würde:

kvnetz
aqui
aqui 18.10.2020 aktualisiert um 12:20:07 Uhr
Goto Top
Mal ganz doof gefragt:
Da du ja in allen Locations eine Router Kaskade mit einer FritzBox betreibst einmal die blöde Frage: WARUM hast du das VPN mit einem überflüssigen Extra Router realisiert wo die FritzBox doch eine VPN Site-to-Site Funktion gleich an Bord hat ??
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
Ist doch sinnlose Geldverschwendung dann mit den Drayteks ?! Aber nundenn...

Dein wahres Design (per PM erhalten) ist nicht gerade Standard konform. Das Design mag man hier gar nicht posten zumal es in einer besonders schützenswerten Umgebung einer medizinischen Praxis betrieben wird ! Sicherheitstechnisch ist es zumindestens in dem Umfeld fragwürdig. Wird aber dennoch funktionieren.

Dadurch das der Server zwei Netzwerkkarten hat musst du zwangsweise statisch auf dem Server routen !!
Der Netzwerk Port am Koppelnetz zum Draytek darf kein Gateway eingeragen haben ! Grundlagen dazu siehe HIER

So sähe die Lösung mit deiner aktuellen Adressierung und Design und dem erforderlichen Routing auf dem Server aus:
kvnetz3
Hättest du das genaue Design oben schon gepostet hätten wir uns die ganze Fragerei und Rumeierei hier ersparen können...! face-sad
Speed101
Speed101 18.10.2020 um 12:22:33 Uhr
Goto Top
Zitat von @aqui:

Mal ganz doof gefragt:
Da du ja in allen Locations eine Router Kaskade mit einer FritzBox betreibst einmal die blöde Frage: WARUM hast du das VPN mit einem überflüssigen Extra Router realisiert wo die FritzBox doch eine VPN Site-to-Site Funktion gleich an Bord hat ??
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
Ist doch sinnlose Geldverschwendung dann mit den Drayteks ?! Aber nundenn...

Wurde mir so empfohlen...450 € für beide Router.

Dein wahres Design (per PM erhalten) ist nicht gerade Standard konform. Das Design mag man hier gar nicht posten zumal es in einer besonders schützenswerten Umgebung einer medizinischen Praxis betrieben wird ! Sicherheitstechnisch ist es zumindestens in dem Umfeld fragwürdig. Wird aber dennoch funktionieren.

Dadurch das der Server zwei Netzwerkkarten hat musst du zwangsweise statisch auf dem Server routen !!

Es wird nur 1 Netzwerkkarte genutzt (siehe PM).
Der Netzwerk Port am Koppelnetz zum Draytek darf kein Gateway eingeragen haben ! Grundlagen dazu siehe HIER

So sähe die Lösung mit deiner aktuellen Adressierung und Design und dem erforderlichen Routing auf dem Server aus:
kvnetz3
Hättest du das genaue Design oben schon gepostet hätten wir uns die ganze Fragerei und Rumeierei hier ersparen können...! face-sad

Entschuldige bitte face-smile
aqui
aqui 18.10.2020 aktualisiert um 13:04:27 Uhr
Goto Top
Wurde mir so empfohlen...450 € für beide Router.
Irrwitzig und falsche Beratung. Eine zenrale kleine Firewall am Hauptstandort wäre sinnvoller gewsen und hätte die Hälfte gekostet !
Eine solche eifache Variante zur Lösung hätte so ausgesehen:
kvnetz4
Es wird nur 1 Netzwerkkarte genutzt (siehe PM).
Passt dann aber nicht zu deiner per PM geposteten Zeichnung. Dort gibt es laut deiner Aussage ja 3 IP Netze .1.0 /24, .2.0 /24 und .25.0 /24.
Dann brauchen wir nochmal einen wirklich genau Skizze von dir wie es denn wirklich aussieht. Ansonsten drehen wir uns hier nur unnütz im Kreis ! face-sad
Mit den oben abgebildeten Varinaten hast du ja nun diverse Lösungswege das sauber und schnell umzusetzen ! Mit FritzBox Bordmitteln wäre das in 10 Minuten erledigt gewesen...
Speed101
Speed101 18.10.2020 um 13:23:19 Uhr
Goto Top
Zitat von @aqui:

Wurde mir so empfohlen...450 € für beide Router.
Irrwitzig und falsche Beratung. Eine zenrale kleine Firewall am Hauptstandort wäre sinnvoller gewsen und hätte die Hälfte gekostet !
Eine solche eifache Variante zur Lösung hätte so ausgesehen:
kvnetz4

Ich bin gerne bereit neu zu investieren (Router/Firewalls). Das wichtigste ist mir die Sicherheit.

Es wird nur 1 Netzwerkkarte genutzt (siehe PM).
Passt dann aber nicht zu deiner per PM geposteten Zeichnung. Dort gibt es laut deiner Aussage ja 3 IP Netze .1.0 /24, .2.0 /24 und .25.0 /24.

Siehe PM
Dann brauchen wir nochmal einen wirklich genau Skizze von dir wie es denn wirklich aussieht. Ansonsten drehen wir uns hier nur unnütz im Kreis ! face-sad
Mit den oben abgebildeten Varinaten hast du ja nun diverse Lösungswege das sauber und schnell umzusetzen ! Mit FritzBox Bordmitteln wäre das in 10 Minuten erledigt gewesen...
aqui
aqui 18.10.2020 aktualisiert um 14:09:31 Uhr
Goto Top
So, final nach deiner Zeichnung sollte es dann so aussehen:

Deine Zeichnung hat übrigens einen Fehler dort hat sowohl der KV Router als auch der Server die Host IP .25.200 was natürlich nicht geht. Vermutlich ein Tippfehler deshalb ist es hier jetzt mal mit .100 für den Server angenommen.

kvvpn
Das ist dann die Option die das Default Gateway des Servers auf dem KV Router belässt.
Wenn du den KV Router abziehst oder ausschaltest kommt der Server nicht mehr ins Internet aber solange der Server rennt greift dort seine statische Route route add 192.168.2.0 mask 255.255.255.0 192.168.25.1 -p (check mit route print in der Eingabeaufforderung !) die dir dann das .2.0er Netz immer auf den Draytek routet und damit das VPN immer erreichbar macht.
Das sollte also auch klappen wenn der KV Router ausgeschaltet oder abgezogen ist.

Sofern du die gesamte Routing Hoheit auf deine eigenen Komponenten legen willst musst du das Default Gateways des Servers natürlich auf den Draytek umstellen und der Draytek braucht dann natürlich eine statische Route auf die remoten KV Netze mit Next Hop Gateway KV Router.
Diese Variante sähe dann so aus:
kvnetz6
Das sollte nun hoffentlich final dann alle Klarheiten beseitgt haben. Such dir die für dich schönste Option aus...
Speed101
Speed101 18.10.2020 aktualisiert um 15:39:58 Uhr
Goto Top
Vielen Dank für den Input!

Klappt leider immer noch nicht face-sad

Den Netzwerkdrucker am Hauptstandort kann ich weiter anpingen.

Nur kann ich den Draytek am Hauptstandort nicht anpingen. Auf das Webinterface kann ich auch nicht zugreifen. Evtl. stimmt hier etwas nicht?
aqui
aqui 18.10.2020 aktualisiert um 16:48:37 Uhr
Goto Top
Klappt leider immer noch nicht. Den Netzwerkdrucker am Hauptstandort kann ich weiter anpingen.
Dann ist das ganz klar ein Problem der lokalen Windows Firewall !
Wenn der Ping von VPN Router LAN Port zu VPN Router sauber klappt und du von remote (.2.0) den Drucker pingen kannst, den Windows Server im gleichen IP Netz aber nicht, dann ist es ganz eindeutig ein Problem der lokalen Windows Firewall des Servers !
Diese blockt dann ICMP (Ping). Ein Problem der VPN Infrastruktur selber kann man dann ganz sicher ausschliessen.
Was sagt denn dein Traceroute ? (tracert unter Winblows)
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Beachte auch das ALLE Endgeräte im .25.0er Netz die fälschlicherweise den KV Router als Default Gateway haben dann NICHT pingbar sind sofern der abgeschaltet ist. Logisch, denn denen fehlt dann die Route ins VPN Netz .2.0.
Auch hier müssen alle Endgeräte im .25.0er Netz den Draytek als Default Gateway haben wie es vermutlich auch der Drucker hat.
Beachte auch das der KV Router und der Draytek im .25.0er Netz NICHT zusammen DHCP spielen können !!
Sollten beide auf dem LAN Port DHCP aktiviert haben kommt es zum Adress Chaos im .25.0er Netz.
Hier darf nur ein einziger ! der Router DHCP spielen oder eben der Server wenn der DHCP aktiviert hat. Im letzteren Fall darf keiner der Router DHCP machen. Auch der DHCP Server sollte auf einem Gerät unter deiner Hoheit laufen.