VPN Draytek Windows Server
Hallo liebe Community,
ich habe zwischen zwei Draytek Routern ein funktionierendes VPN eingerichtet (SSL-VPN).
Beide Netzwerke haben unterschiedliche IPs (192.168.25.0/24 mit Windows Server und 192.168.3.0/24).
Leider funktioniert der Zugriff auf Netzwerkfreigaben auf das jeweilige andere Netzwerk nicht.
Ich vermute durch die Ping abfragen, dass eine Einstellung im Windows Server den Netzwerkzugriff blockiert. Anpingen der Router klappt, der Netzwerk Clients leider nicht.
Wer kann mir hier weiterhelfen?
Vielen Dank im Voraus!
ich habe zwischen zwei Draytek Routern ein funktionierendes VPN eingerichtet (SSL-VPN).
Beide Netzwerke haben unterschiedliche IPs (192.168.25.0/24 mit Windows Server und 192.168.3.0/24).
Leider funktioniert der Zugriff auf Netzwerkfreigaben auf das jeweilige andere Netzwerk nicht.
Ich vermute durch die Ping abfragen, dass eine Einstellung im Windows Server den Netzwerkzugriff blockiert. Anpingen der Router klappt, der Netzwerk Clients leider nicht.
Wer kann mir hier weiterhelfen?
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 610837
Url: https://administrator.de/contentid/610837
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
24 Kommentare
Neuester Kommentar
Wird hier gefühlt 5mal in der Woche gefragt... Windows Firewall mit erweiterter Sicherheit im Suchfenster eingeben und starten.
Dort den Drucker- und Datei Sharing Dienst suchen und den Netzwerk Bereich auf "Beliebig" klicken oder dediziert deine Netze eingeben.
Ist die Winblows Firewall die den Zugang verhindert.
Dort den Drucker- und Datei Sharing Dienst suchen und den Netzwerk Bereich auf "Beliebig" klicken oder dediziert deine Netze eingeben.
Ist die Winblows Firewall die den Zugang verhindert.
Können sie die lokalen Rechner/Server über das VPN pingen ??
Wenn nicht hast du schon ein grundsätzliches Problem.
Entweder hast du vergessen das ICMP Protokoll in der Firewall freizugeben was du unbedingt machen solltest zum Troubleshooting:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Oder dein VPN Tunnel kommt gar nicht erst zustande.
Möglich (aber eher unwahrscheinlich) das die Endgeräte keinen Gateway IP Eintrag auf den jeweiligen lokalen Draytek Router haben ?!
Hast du sonst Geräte im Netz die keine Firewall haben wie NAS, Drucker, WLAN Accesspoints usw. ?? Wenn ja kannst du diese vom jeweils remoten Netz pingen ? Das sollte immer und in jedem Falle klappen.
Wenn nicht hast du schon ein grundsätzliches Problem.
Entweder hast du vergessen das ICMP Protokoll in der Firewall freizugeben was du unbedingt machen solltest zum Troubleshooting:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Oder dein VPN Tunnel kommt gar nicht erst zustande.
Möglich (aber eher unwahrscheinlich) das die Endgeräte keinen Gateway IP Eintrag auf den jeweiligen lokalen Draytek Router haben ?!
Hast du sonst Geräte im Netz die keine Firewall haben wie NAS, Drucker, WLAN Accesspoints usw. ?? Wenn ja kannst du diese vom jeweils remoten Netz pingen ? Das sollte immer und in jedem Falle klappen.
Ja, den Netzwerkdrucker kann ich ohne Probleme anpingen.
OK, das zeigt dann das dein VPN grundsätzlich fehlerfrei funktioniert. Das kann man dann also als Fehlerquelle sicher ausschliessen !Dann ist der Rest einzig und allein nur noch Windows Firewall. Da ist dann vermutlich noch ein Fehler in der Windows Firewall Konfig. Ggf. hast du das auf dem falschen Profil freigegeben, kann das sein ?
Hallo,
zu der Frage der Profile:
Prüfe bei den Netzwerken (ausführen -> ncpa.cpl) zu welchem Profil (Netzwerkkartegorie) die entsprechende NIC gehört und schau dann bei jeder Firewallregel ob das korrekte Profil unter "Erweitert" addressiert ist.
Um sicher zu gehen, ob es an den Firewalls liegt oder nicht, schalte doch mal TEMPORÄR diese an den beteiligten Rechnern aus.
Ich vermute nämlich dass es nicht den Firewalls liegt sondern am Routing, weil du hast im Verlauf geschrieben:
Alle beteiligten Rechner sollte "den Weg" auf die andere Seite schon kennen. Hier hast du zwei Möglichkeiten:
- Standard-Gateway ist je der Draytek
- Soll der Draytek nicht das Standard-Gateway sein (mag durchaus Gründe dafür geben), konfigurierst du an jedem System welches das ferne Netz erreichen solle eine Route dass das ferne Netz über den Draytek zu erreichen ist.
Da du die Drucker pingen kannst:
vermute ich mal, hier ist der Draytek das Standard-Gateway!?
Gruß IceBeer
zu der Frage der Profile:
Prüfe bei den Netzwerken (ausführen -> ncpa.cpl) zu welchem Profil (Netzwerkkartegorie) die entsprechende NIC gehört und schau dann bei jeder Firewallregel ob das korrekte Profil unter "Erweitert" addressiert ist.
Um sicher zu gehen, ob es an den Firewalls liegt oder nicht, schalte doch mal TEMPORÄR diese an den beteiligten Rechnern aus.
Ich vermute nämlich dass es nicht den Firewalls liegt sondern am Routing, weil du hast im Verlauf geschrieben:
Zitat von @Speed101:
Standardgateway ist in dem einen Netzwerk die IP Adresse des Windows Servers..... Vielen Dank für deine Hilfe erstmal!
Standardgateway ist in dem einen Netzwerk die IP Adresse des Windows Servers..... Vielen Dank für deine Hilfe erstmal!
Alle beteiligten Rechner sollte "den Weg" auf die andere Seite schon kennen. Hier hast du zwei Möglichkeiten:
- Standard-Gateway ist je der Draytek
- Soll der Draytek nicht das Standard-Gateway sein (mag durchaus Gründe dafür geben), konfigurierst du an jedem System welches das ferne Netz erreichen solle eine Route dass das ferne Netz über den Draytek zu erreichen ist.
Da du die Drucker pingen kannst:
vermute ich mal, hier ist der Draytek das Standard-Gateway!?
Gruß IceBeer
Hier mal der Screenshot
Bitte lassen den Unsinn mit externen Bilderlinks und Zwangswerbung hier im Forum ! Dir sollte nicht entgangen sein das es hier eine Bilder Upload Funktion gibt um Bilder direkt in Threads einzubinden oder wozu dachtest du ist das kleine Kamerasymbol links am Eingabefeld ?!
FAQs lesen hilft wirklich !
Kann man übrigens nachträglich noch mit dem "Bearbeiten" Knopf (rechts unter "Mehr) korrigieren !
Wie wechsel ich das Profil? Oder wo sehe ich die noch nicht freigegebenen Profile?
"Windows Firewall mit erweiterter Sicherheit.." im Winblows Suchfeld eingeben und klicken...Ist das korrekt?
Nein !Ein Interface kann logischerweise immer nur Mitglied einer Firewall Zone sein ! Niemals in mehreren. Wäre unlogisch und würde das Zonenkonzept ja auch völlig konterkarieren.
Du verwechselst das vermutlich mit dem Regelwerk an sich ?! Das kann man ja einer oder auch mehreren Zonen zuweisen in denen es gelten soll.
Wie genau konfiguriere ich die Route?
Gar nicht, denn die braucht es auch nicht, da mit dem VPN Tunnelaufbau die Routen in die Zielnetze schon automatisch ausgetauscht werden.Warum siehst du dir nicht einfach mal die Routing Tabelle des jeweiligen Routers an ?! Dort sollten alle erreicbaren IP Netze und ihr Next Hop Gateway zu sehen sein !!
Am Hauptstandort ist das Netz 192.168.25./24 Der Draytek am Hauptstandort hat die IP 192.168.2.1
Da kann irgendwas nicht stimmen !! Diese IP Adressierung ist falsch und fehlerhaft !Ich vermute, dass muss im Windows Server eingetragen werden oder?
Nein, das wäre ja Blödsinn ! Denke mal bitte selber etwas nach !Die Router "routen" im Netzwerk, aber doch niemals ein Endgerät wie ein Server ! Es reicht wenn der Server ein Default Gateway auf seinen lokalen Draytek Router eingetragen hat. Alles was der Server an Ziel IPs nicht kennt (also nicht im lokalen IP Netz ist) schickt er dann direkt an diesen Gateway Router in seinem Netz. Der Router "kennt" ja alle IP Zielnetze (siehe seine Routing Tabelle) und auch den Weg dorthin ! Simpelste Grundlage des IP Routing die auch jeder Laie kennt....
Im Zweifel die einfachsten Routing Grundlagen noch einmal nachlesen und verstehen !
Auf der Netzwerkkarte im Server ist als Standardgateway eine mir nicht bekannte IP eingetragen.
Ooohh man... Genau DAS ist doch der Fehler !!!Wenn dort eine falsche oder nichtexistente IP eingetragen ist kann der Server doch niemals deine VPN Zielnetze erreichen, denn dazu müssten seine IP Pakete ja an den lokalen Draytek in seinem Netz gehen !! (Siehe Erklärung oben !) Wenn das also eine falsche IP ist finden IP Pakte mit Zieladressen in deinen VPN Netzen doch niemals ihren Weg, wie auch mit einem falschen Router ?!
Mache dich also erstmal kundig WAS diese Gateway Adresse für eine ist und ob die gültig ist bzw. wirklich ein Router dahinter steckt. Wenn nein, dann korrigiere diese IP auf deinen Draytek Router.
Sorry, aber auch ein völlige Laie weiss doch wie essentiell wichtig die Gateway IP eines Rechners ist wenn man ein segmentieres IP Netz hat wie bei dir.
Wenn du so dilettantisch vorgehst und nicht einmal die Routing und Gateway IP Adressen abklärst musst du dich ja nicht groß wundern das das völlig in die Hose geht. Das weiss doch auch der Azubi im ersten Lehrjahr !
Das ist jetzt nicht böse gemeint aber ein klein wenig strukturierter und zielgerichteter solltest du als Administrator schon vorgehen bei der Umsetzung.
Die genaue Kentniss der Router Infrastruktur, seiner IPs und das Traceroute Tool ist hier wie immer dein Freund !
Nur mit Handauflegen und Zusamenstecken ist es natürlich nicht getan.
Das ist mein KV SafeNet Router.
OK !Dann musst du auf dem KV Safenet Router eine statische Route in deine VPN Netze eintragen mit Next Hop auf den Draytek !
Vermutlich wird das aber nicht gehen weil du da sehr wahrscheinlich keinen Zugriff drauf hast um dort die Konfig zu ändern, oder ?
Die Lösung ist aber kinderleicht, du musst nur dein Routing etwas umstellen.
Der Server bekommt dann den Draytek als Default Gateway und auf dem Draytek trägst du dann die Zielnetze des KV Safenet Netze ein und fertig ist der Lack. Skizze folgt...
Mal ganz doof gefragt:
Da du ja in allen Locations eine Router Kaskade mit einer FritzBox betreibst einmal die blöde Frage: WARUM hast du das VPN mit einem überflüssigen Extra Router realisiert wo die FritzBox doch eine VPN Site-to-Site Funktion gleich an Bord hat ??
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
Ist doch sinnlose Geldverschwendung dann mit den Drayteks ?! Aber nundenn...
Dein wahres Design (per PM erhalten) ist nicht gerade Standard konform. Das Design mag man hier gar nicht posten zumal es in einer besonders schützenswerten Umgebung einer medizinischen Praxis betrieben wird ! Sicherheitstechnisch ist es zumindestens in dem Umfeld fragwürdig. Wird aber dennoch funktionieren.
Dadurch das der Server zwei Netzwerkkarten hat musst du zwangsweise statisch auf dem Server routen !!
Der Netzwerk Port am Koppelnetz zum Draytek darf kein Gateway eingeragen haben ! Grundlagen dazu siehe HIER
So sähe die Lösung mit deiner aktuellen Adressierung und Design und dem erforderlichen Routing auf dem Server aus:
Hättest du das genaue Design oben schon gepostet hätten wir uns die ganze Fragerei und Rumeierei hier ersparen können...!
Da du ja in allen Locations eine Router Kaskade mit einer FritzBox betreibst einmal die blöde Frage: WARUM hast du das VPN mit einem überflüssigen Extra Router realisiert wo die FritzBox doch eine VPN Site-to-Site Funktion gleich an Bord hat ??
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
Ist doch sinnlose Geldverschwendung dann mit den Drayteks ?! Aber nundenn...
Dein wahres Design (per PM erhalten) ist nicht gerade Standard konform. Das Design mag man hier gar nicht posten zumal es in einer besonders schützenswerten Umgebung einer medizinischen Praxis betrieben wird ! Sicherheitstechnisch ist es zumindestens in dem Umfeld fragwürdig. Wird aber dennoch funktionieren.
Dadurch das der Server zwei Netzwerkkarten hat musst du zwangsweise statisch auf dem Server routen !!
Der Netzwerk Port am Koppelnetz zum Draytek darf kein Gateway eingeragen haben ! Grundlagen dazu siehe HIER
So sähe die Lösung mit deiner aktuellen Adressierung und Design und dem erforderlichen Routing auf dem Server aus:
Hättest du das genaue Design oben schon gepostet hätten wir uns die ganze Fragerei und Rumeierei hier ersparen können...!
Wurde mir so empfohlen...450 € für beide Router.
Irrwitzig und falsche Beratung. Eine zenrale kleine Firewall am Hauptstandort wäre sinnvoller gewsen und hätte die Hälfte gekostet !Eine solche eifache Variante zur Lösung hätte so ausgesehen:
Es wird nur 1 Netzwerkkarte genutzt (siehe PM).
Passt dann aber nicht zu deiner per PM geposteten Zeichnung. Dort gibt es laut deiner Aussage ja 3 IP Netze .1.0 /24, .2.0 /24 und .25.0 /24.Dann brauchen wir nochmal einen wirklich genau Skizze von dir wie es denn wirklich aussieht. Ansonsten drehen wir uns hier nur unnütz im Kreis !
Mit den oben abgebildeten Varinaten hast du ja nun diverse Lösungswege das sauber und schnell umzusetzen ! Mit FritzBox Bordmitteln wäre das in 10 Minuten erledigt gewesen...
So, final nach deiner Zeichnung sollte es dann so aussehen:
Deine Zeichnung hat übrigens einen Fehler dort hat sowohl der KV Router als auch der Server die Host IP .25.200 was natürlich nicht geht. Vermutlich ein Tippfehler deshalb ist es hier jetzt mal mit .100 für den Server angenommen.
Das ist dann die Option die das Default Gateway des Servers auf dem KV Router belässt.
Wenn du den KV Router abziehst oder ausschaltest kommt der Server nicht mehr ins Internet aber solange der Server rennt greift dort seine statische Route route add 192.168.2.0 mask 255.255.255.0 192.168.25.1 -p (check mit route print in der Eingabeaufforderung !) die dir dann das .2.0er Netz immer auf den Draytek routet und damit das VPN immer erreichbar macht.
Das sollte also auch klappen wenn der KV Router ausgeschaltet oder abgezogen ist.
Sofern du die gesamte Routing Hoheit auf deine eigenen Komponenten legen willst musst du das Default Gateways des Servers natürlich auf den Draytek umstellen und der Draytek braucht dann natürlich eine statische Route auf die remoten KV Netze mit Next Hop Gateway KV Router.
Diese Variante sähe dann so aus:
Das sollte nun hoffentlich final dann alle Klarheiten beseitgt haben. Such dir die für dich schönste Option aus...
Deine Zeichnung hat übrigens einen Fehler dort hat sowohl der KV Router als auch der Server die Host IP .25.200 was natürlich nicht geht. Vermutlich ein Tippfehler deshalb ist es hier jetzt mal mit .100 für den Server angenommen.
Das ist dann die Option die das Default Gateway des Servers auf dem KV Router belässt.
Wenn du den KV Router abziehst oder ausschaltest kommt der Server nicht mehr ins Internet aber solange der Server rennt greift dort seine statische Route route add 192.168.2.0 mask 255.255.255.0 192.168.25.1 -p (check mit route print in der Eingabeaufforderung !) die dir dann das .2.0er Netz immer auf den Draytek routet und damit das VPN immer erreichbar macht.
Das sollte also auch klappen wenn der KV Router ausgeschaltet oder abgezogen ist.
Sofern du die gesamte Routing Hoheit auf deine eigenen Komponenten legen willst musst du das Default Gateways des Servers natürlich auf den Draytek umstellen und der Draytek braucht dann natürlich eine statische Route auf die remoten KV Netze mit Next Hop Gateway KV Router.
Diese Variante sähe dann so aus:
Das sollte nun hoffentlich final dann alle Klarheiten beseitgt haben. Such dir die für dich schönste Option aus...
Klappt leider immer noch nicht. Den Netzwerkdrucker am Hauptstandort kann ich weiter anpingen.
Dann ist das ganz klar ein Problem der lokalen Windows Firewall !Wenn der Ping von VPN Router LAN Port zu VPN Router sauber klappt und du von remote (.2.0) den Drucker pingen kannst, den Windows Server im gleichen IP Netz aber nicht, dann ist es ganz eindeutig ein Problem der lokalen Windows Firewall des Servers !
Diese blockt dann ICMP (Ping). Ein Problem der VPN Infrastruktur selber kann man dann ganz sicher ausschliessen.
Was sagt denn dein Traceroute ? (tracert unter Winblows)
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Beachte auch das ALLE Endgeräte im .25.0er Netz die fälschlicherweise den KV Router als Default Gateway haben dann NICHT pingbar sind sofern der abgeschaltet ist. Logisch, denn denen fehlt dann die Route ins VPN Netz .2.0.
Auch hier müssen alle Endgeräte im .25.0er Netz den Draytek als Default Gateway haben wie es vermutlich auch der Drucker hat.
Beachte auch das der KV Router und der Draytek im .25.0er Netz NICHT zusammen DHCP spielen können !!
Sollten beide auf dem LAN Port DHCP aktiviert haben kommt es zum Adress Chaos im .25.0er Netz.
Hier darf nur ein einziger ! der Router DHCP spielen oder eben der Server wenn der DHCP aktiviert hat. Im letzteren Fall darf keiner der Router DHCP machen. Auch der DHCP Server sollte auf einem Gerät unter deiner Hoheit laufen.