VPN Draytek Windows Server

Wird hier gefühlt 5mal in der Woche gefragt... Windows Firewall mit erweiterter Sicherheit im Suchfenster eingeben und starten.
Dort den Drucker- und Datei Sharing Dienst suchen und den Netzwerk Bereich auf "Beliebig" klicken oder dediziert deine Netze eingeben.
Ist die Winblows Firewall die den Zugang verhindert.

Können sie die lokalen Rechner/Server über das VPN pingen ??
Wenn nicht hast du schon ein grundsätzliches Problem.
Entweder hast du vergessen das ICMP Protokoll in der Firewall freizugeben was du unbedingt machen solltest zum Troubleshooting:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Oder dein VPN Tunnel kommt gar nicht erst zustande.

Möglich (aber eher unwahrscheinlich) das die Endgeräte keinen Gateway IP Eintrag auf den jeweiligen lokalen Draytek Router haben ?!
Hast du sonst Geräte im Netz die keine Firewall haben wie NAS, Drucker, WLAN Accesspoints usw. ?? Wenn ja kannst du diese vom jeweils remoten Netz pingen ? Das sollte immer und in jedem Falle klappen.

OK, das zeigt dann das dein VPN grundsätzlich fehlerfrei funktioniert. Das kann man dann also als Fehlerquelle sicher ausschliessen !

Dann ist der Rest einzig und allein nur noch Windows Firewall. Da ist dann vermutlich noch ein Fehler in der Windows Firewall Konfig. Ggf. hast du das auf dem falschen Profil freigegeben, kann das sein ?

Hallo,

zu der Frage der Profile:
Prüfe bei den Netzwerken (ausführen -> ncpa.cpl) zu welchem Profil (Netzwerkkartegorie) die entsprechende NIC gehört und schau dann bei jeder Firewallregel ob das korrekte Profil unter "Erweitert" addressiert ist.

Um sicher zu gehen, ob es an den Firewalls liegt oder nicht, schalte doch mal TEMPORÄR diese an den beteiligten Rechnern aus.

Ich vermute nämlich dass es nicht den Firewalls liegt sondern am Routing, weil du hast im Verlauf geschrieben:

Alle beteiligten Rechner sollte "den Weg" auf die andere Seite schon kennen. Hier hast du zwei Möglichkeiten:
- Standard-Gateway ist je der Draytek
- Soll der Draytek nicht das Standard-Gateway sein (mag durchaus Gründe dafür geben), konfigurierst du an jedem System welches das ferne Netz erreichen solle eine Route dass das ferne Netz über den Draytek zu erreichen ist.

Da du die Drucker pingen kannst:
vermute ich mal, hier ist der Draytek das Standard-Gateway!?

Gruß IceBeer

Bitte lassen den Unsinn mit externen Bilderlinks und Zwangswerbung hier im Forum !
Dir sollte nicht entgangen sein das es hier eine Bilder Upload Funktion gibt um Bilder direkt in Threads einzubinden oder wozu dachtest du ist das kleine Kamerasymbol links am Eingabefeld ?!
FAQs lesen hilft wirklich !
Kann man übrigens nachträglich noch mit dem "Bearbeiten" Knopf (rechts unter "Mehr) korrigieren !

"Windows Firewall mit erweiterter Sicherheit.." im Winblows Suchfeld eingeben und klicken...

Nein !
Ein Interface kann logischerweise immer nur Mitglied einer Firewall Zone sein ! Niemals in mehreren. Wäre unlogisch und würde das Zonenkonzept ja auch völlig konterkarieren.
Du verwechselst das vermutlich mit dem Regelwerk an sich ?! Das kann man ja einer oder auch mehreren Zonen zuweisen in denen es gelten soll.
Gar nicht, denn die braucht es auch nicht, da mit dem VPN Tunnelaufbau die Routen in die Zielnetze schon automatisch ausgetauscht werden.
Warum siehst du dir nicht einfach mal die Routing Tabelle des jeweiligen Routers an ?! Dort sollten alle erreicbaren IP Netze und ihr Next Hop Gateway zu sehen sein !!
Da kann irgendwas nicht stimmen !! Diese IP Adressierung ist falsch und fehlerhaft !
Nein, das wäre ja Blödsinn ! Denke mal bitte selber etwas nach !
Die Router "routen" im Netzwerk, aber doch niemals ein Endgerät wie ein Server ! Es reicht wenn der Server ein Default Gateway auf seinen lokalen Draytek Router eingetragen hat. Alles was der Server an Ziel IPs nicht kennt (also nicht im lokalen IP Netz ist) schickt er dann direkt an diesen Gateway Router in seinem Netz. Der Router "kennt" ja alle IP Zielnetze (siehe seine Routing Tabelle) und auch den Weg dorthin ! Simpelste Grundlage des IP Routing die auch jeder Laie kennt....
Im Zweifel die einfachsten Routing Grundlagen noch einmal nachlesen und verstehen !
Ooohh man... Genau DAS ist doch der Fehler !!!
Wenn dort eine falsche oder nichtexistente IP eingetragen ist kann der Server doch niemals deine VPN Zielnetze erreichen, denn dazu müssten seine IP Pakete ja an den lokalen Draytek in seinem Netz gehen !! (Siehe Erklärung oben !) Wenn das also eine falsche IP ist finden IP Pakte mit Zieladressen in deinen VPN Netzen doch niemals ihren Weg, wie auch mit einem falschen Router ?!

Mache dich also erstmal kundig WAS diese Gateway Adresse für eine ist und ob die gültig ist bzw. wirklich ein Router dahinter steckt. Wenn nein, dann korrigiere diese IP auf deinen Draytek Router.
Sorry, aber auch ein völlige Laie weiss doch wie essentiell wichtig die Gateway IP eines Rechners ist wenn man ein segmentieres IP Netz hat wie bei dir.
Wenn du so dilettantisch vorgehst und nicht einmal die Routing und Gateway IP Adressen abklärst musst du dich ja nicht groß wundern das das völlig in die Hose geht. Das weiss doch auch der Azubi im ersten Lehrjahr !
Das ist jetzt nicht böse gemeint aber ein klein wenig strukturierter und zielgerichteter solltest du als Administrator schon vorgehen bei der Umsetzung.
Die genaue Kentniss der Router Infrastruktur, seiner IPs und das Traceroute Tool ist hier wie immer dein Freund !
Nur mit Handauflegen und Zusamenstecken ist es natürlich nicht getan.

OK !
Dann musst du auf dem KV Safenet Router eine statische Route in deine VPN Netze eintragen mit Next Hop auf den Draytek !
Vermutlich wird das aber nicht gehen weil du da sehr wahrscheinlich keinen Zugriff drauf hast um dort die Konfig zu ändern, oder ?
Die Lösung ist aber kinderleicht, du musst nur dein Routing etwas umstellen.
Der Server bekommt dann den Draytek als Default Gateway und auf dem Draytek trägst du dann die Zielnetze des KV Safenet Netze ein und fertig ist der Lack. Skizze folgt...

Perfekt, dann sähe die Lösung so aus:

Sollte das wider Erwarten nicht klappen (wovon nicht auszugehen ist) kannst du das Routing auch auf deine eigenen lokalen Router Komponenten umstellen, was dann so aussehen würde:

Mal ganz doof gefragt:
Da du ja in allen Locations eine Router Kaskade mit einer FritzBox betreibst einmal die blöde Frage: WARUM hast du das VPN mit einem überflüssigen Extra Router realisiert wo die FritzBox doch eine VPN Site-to-Site Funktion gleich an Bord hat ??
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zwischen-zwei-fri ...
Ist doch sinnlose Geldverschwendung dann mit den Drayteks ?! Aber nundenn...

Dein wahres Design (per PM erhalten) ist nicht gerade Standard konform. Das Design mag man hier gar nicht posten zumal es in einer besonders schützenswerten Umgebung einer medizinischen Praxis betrieben wird ! Sicherheitstechnisch ist es zumindestens in dem Umfeld fragwürdig. Wird aber dennoch funktionieren.

Dadurch das der Server zwei Netzwerkkarten hat musst du zwangsweise statisch auf dem Server routen !!
Der Netzwerk Port am Koppelnetz zum Draytek darf kein Gateway eingeragen haben ! Grundlagen dazu siehe HIER

So sähe die Lösung mit deiner aktuellen Adressierung und Design und dem erforderlichen Routing auf dem Server aus:
Hättest du das genaue Design oben schon gepostet hätten wir uns die ganze Fragerei und Rumeierei hier ersparen können...!

Irrwitzig und falsche Beratung. Eine zenrale kleine Firewall am Hauptstandort wäre sinnvoller gewsen und hätte die Hälfte gekostet !
Eine solche eifache Variante zur Lösung hätte so ausgesehen:
Passt dann aber nicht zu deiner per PM geposteten Zeichnung. Dort gibt es laut deiner Aussage ja 3 IP Netze .1.0 /24, .2.0 /24 und .25.0 /24.
Dann brauchen wir nochmal einen wirklich genau Skizze von dir wie es denn wirklich aussieht. Ansonsten drehen wir uns hier nur unnütz im Kreis !
Mit den oben abgebildeten Varinaten hast du ja nun diverse Lösungswege das sauber und schnell umzusetzen ! Mit FritzBox Bordmitteln wäre das in 10 Minuten erledigt gewesen...

So, final nach deiner Zeichnung sollte es dann so aussehen:

Deine Zeichnung hat übrigens einen Fehler dort hat sowohl der KV Router als auch der Server die Host IP .25.200 was natürlich nicht geht. Vermutlich ein Tippfehler deshalb ist es hier jetzt mal mit .100 für den Server angenommen.

Das ist dann die Option die das Default Gateway des Servers auf dem KV Router belässt.
Wenn du den KV Router abziehst oder ausschaltest kommt der Server nicht mehr ins Internet aber solange der Server rennt greift dort seine statische Route route add 192.168.2.0 mask 255.255.255.0 192.168.25.1 -p (check mit route print in der Eingabeaufforderung !) die dir dann das .2.0er Netz immer auf den Draytek routet und damit das VPN immer erreichbar macht.
Das sollte also auch klappen wenn der KV Router ausgeschaltet oder abgezogen ist.

Sofern du die gesamte Routing Hoheit auf deine eigenen Komponenten legen willst musst du das Default Gateways des Servers natürlich auf den Draytek umstellen und der Draytek braucht dann natürlich eine statische Route auf die remoten KV Netze mit Next Hop Gateway KV Router.
Diese Variante sähe dann so aus:
Das sollte nun hoffentlich final dann alle Klarheiten beseitgt haben. Such dir die für dich schönste Option aus...