sebbi87
09.11.2015, aktualisiert am 11.11.2015
view1992
view23
0
Goto Top

VPN durch zwei verschiedene Router in Windows Domäne

gelöstFrageNetzwerkeLAN, WAN, Wireless
Hallo zusammen,

ich habe folgendes Problem mit folgendem Szenario:

Eine Firma möchte VPN durch zwei Router bis ins dahinterliegende Firmennetz aufbauen und per RDP und UNC-Pfade von außen auf Daten zugreifen...

Folgende Eckdaten:

- VDSL
- Haupt-Router Netgear DGND3800B (für Internet) (Router A)
- Zweiter Router TP-LINK TL-ER6120 (für VPN) (Router B)
- Windows Domäne mit Windows Server 2012 R2


Aufgebaut ist das Netzwerk wie folgt:


Internet >> [Router A] >> LAN (192.168.1.1) >> WAN Router B (192.168.1.2) >> LAN Router B (10.0.0.1) verbunden mit Domäne...


- Der IP-Adressbereich für das VPN ist 172.0.0.1 - 172.0.0.10...
- Der Server ist als DC eingerichtet und besitzt die IP 10.0.0.2...
- Der erste Router wird wegen VDSL eingesetzt, da der ER6120 nur ADSL versteht...
- PPTP wird verwendet
- NAT ist auf beiden Routern aktiv. Statische Routen sind nicht vorhanden.


Soweit so gut... Domäne geht soweit ordnungsgemäß... VPN lässt sich aufbauen bis Router B... Danach ist Ende...

Ich komme von außen einfach nicht ins Firmennetz, obwohl der Router im selben Netz hängt wie die gesamte Domäne dahinter. Portweiterleitungen habe ich schon für RDP etc. von Router A auf B und auch mal von B weiter zum Server eingerichtet, alles ohne Erfolg. Es scheint so als hänge der Router B zwar im Firmennetz kann aber nicht mit ihm kommunizieren...


Kann es vielleicht an der Kaskadierung der Router liegen? Bin am verzweifeln face-smile

Besten Dank im Voraus für jegliche Hilfe...

Wenn mehr Daten benötigt werden, jederzeit gerne.

Falls das Thema an die falsche Stelle geraten ist sorry, ist mein erster Beitrag hier ^^

Danke
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 287946

Url: https://administrator.de/contentid/287946

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

23 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 09.11.2015 um 20:39:34 Uhr
Goto Top
Hallo,

Zitat von @Sebbi87:
Eine Firma möchte VPN durch zwei Router bis ins dahinterliegende Firmennetz aufbauen und per RDP und UNC-Pfade von außen auf Daten zugreifen...
Möchtet ihr das denn auch? face-smile

- Haupt-Router Netgear DGND3800B (für Internet) (Router A)
Der kann kein VPN oder?

- Zweiter Router TP-LINK TL-ER6120 (für VPN) (Router B)
Der kann kein vDSL, oder?

Und ein Router der beides kann ist finanziell nicht machbar?

Internet >> [Router A] >> LAN (192.168.1.1) >> WAN Router B (192.168.1.2) >> LAN Router B (10.0.0.1) verbunden mit Domäne...
Brrrr. Und für dein PPTP VPN sind alle nötigen Ports (TCP 1723) und Protokolle (GRE, Nummer 47) jeweils weitergeleitet (durch die ganze kette)?

- NAT ist auf beiden Routern aktiv. Statische Routen sind nicht vorhanden.
Nebenfrage: Was wird denn im 192.168.1.0/24 Netz gemacht? Nichts?

Danach ist Ende...
Bedeutet genau?

Ich komme von außen einfach nicht ins Firmennetz
Bitte erläutern. Wir können nicht alles wissen was bei dir aufleuchtet bzw. am Bildschirm erscheint und vergeht....

obwohl der Router im selben Netz hängt wie die gesamte Domäne dahinter.
Dir ist bekannt ob die Clients in dein Netzwerk eine Firewall haben? Dein Server mit Server 2012 R2 jedenfalss hat eine, und bekanntlich blockt die alles ab was die nicht kennt. Dein VPN Zugang und dessen erteilten Client IPs kennt die vermutlich gar nicht. Ein Wireshark zeigt es dir aber auf.

Portweiterleitungen habe ich schon für RDP etc.
Wenn du noch kein Besuch hattest oder in Zukunft keinen einladen willst, machst du diesen Blödsinn wieder rückgängig. Oder du schaffst dein VPN Tunnel ab da der ja dann überflüssig ist, oder siehst du es anders bzw. warum sonst willst du einen VPN Tunnel nutzen wo eben kein Portforwarding für einzelne Dienste z.B. RDP nötig sind (und zudem noch sicherer, auch wenn von PPTP mittlerweile abgeraten wird)?

aber nicht mit ihm kommunizieren...
Ein Paketmittschnitt an Router B würde es dir sagen, sonst vor Router B eine HUB (kein Switch) und Wireshark oder halt doch ein Switch, aber mit der Möglichkeit eines Portspiegel (Port Mirroring) und Wireshark

Kann es vielleicht an der Kaskadierung der Router liegen? Bin am verzweifeln face-smile
Ja kann es , Nein kann es nicht - will sagen je nach Konfiguration geht es bzw. geht es nicht. Auch sollten deine Router ein Portforwarding erlauben und notfalls auch die benötigten Protokolle (hier TCP Port 1723 und Protokoll (nicht Port) GRE (47)) was deine Router können sagt das Handbuch des Herstellers, den kannst du auch fragen ob er dir sagen kann welche Modell du gekauft hast face-smile Es reicht wenn einer der Router es nicht kann damit es nicht geht.

Gruß,
Peter
Sebbi87
Sebbi87 09.11.2015 aktualisiert um 21:27:11 Uhr
Goto Top
Hallo Peter,

erstmal danke für deine Antwort face-smile

- RDP wird nur bei Bedarf verwendet, bzw. wie in diesem Fall zu Testzwecken...
- Der Netgear DGND3800B kann VPN, hat aber bisher nicht einmal funktioniert, da dieser weit weniger kann als der ER6120 liegt der Fokus auf den zweiten Router
- Der zweite Router (ER6120) kann kein VDSL korrekt.
- Das 192.168.1.0/24 Netz wird derzeit nicht verwendet... Router A dient lediglich zum Aufbau einer Verbindung ins Internet.
- Nachdem zweiten Router ist es nicht möglich irgendwelche Clients / Server zu pingen, per RDP drauf zu kommen oder auf Ressourcen per UNC Pfad zu kommen... Firewalls sind dabei testweise auch deaktiviert gewesen

Im übrigen folgende Konfig zum PPP Adapter wenn die Verbindung aufgebaut ist:

PPP-Adapter [Name]:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : [Name]
Physische Adresse . . . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 172.0.0.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Vielleicht hilft die Info weiter...

Die Firewalls kann ich jedenfalls ausschließen.

Port 47 für GRE habe ich nun auch weitergeleitet, jedoch ohne Erfolg im Ganzen.

Grüße
Sebbi87
Sebbi87 09.11.2015 um 21:55:19 Uhr
Goto Top
... vergessen zu erwähnen, Router A bietet nur IKEv1 und bekam bisher nur INVALID_MAJOR_VERSION... habs dann aus Zeitgründen einfach gelassen...
brammer
brammer 10.11.2015 um 08:52:58 Uhr
Goto Top
Hallo,

arbeiten den beide Seiten des Tunnels mit IKE1?

Wenn du hier schon den Fehler gemeldet bekommst dann wird da auch eines der Probleme liegen...
Wenn du dir den Unterschied zwischen IKEv! und IKEv2 mal ansiehst wirst du feststellen das IKEv2 die bessere Wahl wäre....

Eventuell ist eine Investition in taugliche Geräte hier der bessere Weg...
Weder der TP-Link noch der Netgear haben sich in den letzten Jahren durch Qualität ausgezeichnet.....

brammer
Sebbi87
Sebbi87 10.11.2015 um 09:14:25 Uhr
Goto Top
Hallo Brammer,

genau das ist das Problem mit IKEv1... Auf das Firmennetz wollen überwiegend moderne Clients zugreifen... D.h. IKEv1 ist definitiv keine Option... daher habe ich auch die Lösung mit dem VPN des Netgears nicht weiter verfolgt.

Ich vermute ebenfalls, dass ich hier um andere Hardware nicht herum komme.

Vor allem das Thema zu vereinfachen, also nur einen Router zu verwenden welcher ohne Probleme VDSL und sicheres VPN anbietet, ist mir eigentlich lieber als die bisherige Lösung.

Kennt ihr zufällig für dieses Szenario geeignete Hardware?

Viele Grüße
Pjordorf
Pjordorf 10.11.2015 um 12:26:22 Uhr
Goto Top
Hallo,

Zitat von @Sebbi87:
- Der Netgear DGND3800B kann VPN
Welches VPN? PPTP? Als PPTP Server oder Client oder nur VPN Passthrough? Dieser muss tatsächlich alles an PPTP (TCP Port 1723 und GRE Protokoll) weiterleiten, sonst wird es da schon hapern. Manche Router machen die Protokolle selbst nachdem TCP 1723 erkannt wird als weiterleitung. Dein Handbuch sagt da mehr aus bzw. einen Wireshark nutzen

- Der zweite Router (ER6120) kann kein VDSL korrekt.
Und der kann auch PPTP Passtruogh oder Weiterleiten (1723 und GRE)?
Wer oder was ist jetzt dein PPTP Server, der TP Link Router?

- Nachdem zweiten Router
Ist entweder ein PPTP Server oder du bist schom im Netz drin weil der letzte Router einen PPTP Server machen kann.

sind dabei testweise auch deaktiviert gewesen
Dann einfach per Wireshark am Zielclient schauen ob eine ICMP (Ping) Anfrage ankommt....

PPP-Adapter [Name]:
Am Ziel?
Am Server?
Am startclient?
Wo ist diese Rechner bzw. dieses Interface in deiner kette enthalten?

DHCP aktiviert. . . . . . . . . . : Nein
Warum?

IPv4-Adresse . . . . . . . . . . : 172.0.0.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
What?!?

DNS-Server . . . . . . . . . . . : 10.0.0.1
kann über diesen Adapter nie erreicht werden.

Port 47 für GRE habe ich nun auch weitergeleitet, jedoch ohne Erfolg im Ganzen.
Mit ein Paketmittschnitt deiner Router oder Wireshark kontrolliert das es auch so passiert? Was steht im Log am PPTP Server?

Und noch eine Frage, soll das ein Standort - Standort VPN werden oder ein Client - Standort VPN werden?

Gruß,
Peter
Sebbi87
Sebbi87 10.11.2015 aktualisiert um 13:31:23 Uhr
Goto Top
Hallo Peter,

wie anfangs geschrieben handelt es sich um ein VPN mit PPTP. Weiterhin liegt ein Client to LAN VPN vor. Der zweite Router (TP-LINK) ist hierbei der VPN Server, welcher sich im Netz der Domäne befindet. Von Router B ist z.B. Ping auf den Server (10.0.0.2) möglich umgedreht auch. Sind also fähig miteinander zu kommunizieren.

Der Router A (Netgear) betreibt lediglich VPN Passthrough. Laut Hersteller soll es bei den Geräten ab und an aber auch Probleme dabei geben. Dennoch wird VPN Passthrough von Router A laut Hersteller standardmäßig unterstützt.

Hierbei bin ich nach folgender Anleitung vorgegangen: http://kb.netgear.de/app/answers/detail/a_id/22315/~/fehlerbehebung-bei ...

... leider ohne Erfolg.

Wireshark konnte ich bislang noch nicht einsetzen...


Zur Konfiguration von oben:

Die Konfiguration ist ein Ausschnitt von ipconfig meines Clients, welcher von außen (also über Internet) per VPN verbunden ist. Das ist also die Konfig des virtuellen Adapters.

Wegen der IP 172.0.0.1... Dieser IP Adressbereich (welcher vom VPN-Server, also von Router B vorgegeben wird) darf nicht der selbe sein, wie der Zieladressbereich als das 10.0.0.0 /16 Netz... Das geht nicht einzustellen.

Wie gesagt, die VPN-Verbindung kommt zustande, denn ich kann auf dem Router B sehen, dass mein Client mit seiner öffentlichen IP in der Liste der verbundenen Geräte auftaucht. Ich kann nur nicht auf alle anderen Geräte im selben Netz von Router B zugreifen, obwohl ich m. E. nach schon drinnen bin?!?!?!?!?!?

Die Firewall Access Rules des TP-LINK habe ich bereits so eingestellt (natürlich nur kurzzeitig), dass alles erlaubt wird und die Firewall des Windows 2012 Servers ebenfalls gleichzeitig deaktiviert. Es kommt trotzdem von Router B nichts ins (gleiche) Firmennetz über VPN durch. Pingen kann ich vom Router den Server dahinter jedoch...

Grüße
Pjordorf
Pjordorf 10.11.2015 um 14:45:40 Uhr
Goto Top
Hallo,

Zitat von @Sebbi87:
Der zweite Router (TP-LINK) ist hierbei der VPN Server
OK

Der Router A (Netgear) betreibt lediglich VPN Passthrough.
Das muss der schon sauber tun, per Wireshark und einer HUB oder Switch mit Port Mirror oder ein paketmittschnitt direkt von dein TP Link....

... leider ohne Erfolg.
Vermutlich weil nichts kaputt ist?

Wireshark konnte ich bislang noch nicht einsetzen...
Dann bleibt weiterhin raten angesagt face-smile

Die Konfiguration ist ein Ausschnitt
Eben, Ausschnitt...

von ipconfig meines Clients
OK.

Das ist also die Konfig des virtuellen Adapters.
Dir ist schon klar das Windows auch PPTP kann (schon immer) oder was anderes als irgendeine Software soll dein Virtueller Adapter sonst sein? Mir sagt das nichts.

als das 10.0.0.0 /16 Netz... Das geht nicht einzustellen.
Ziemlich großes LAN was du betreibst.

denn ich kann auf dem Router B sehen
Wir aber nicht. Wir wissen auch nicht was du dort sehen kannst.

Ich kann nur nicht auf alle anderen Geräte im selben Netz von Router B zugreifen, obwohl ich m. E. nach schon drinnen bin?!?!?!?!?!?
Ein "IPConfig /all" sowie ein "Route Print" deines Clients würde doch sehr viel helfen....

Die Firewall Access Rules des TP-LINK
Könntest du auch getrost ausschalten

Es kommt trotzdem von Router B nichts ins (gleiche) Firmennetz über VPN durch
?!? oder willst du sagen das dein Client mit sein Client VPN am TP-Link Terminiert nicht auf das am TP-Link angebundene (LAN) Firmennetz (10.0.0.0/16) kommt? Gar nichts?

Pingen kann ich vom Router den Server dahinter jedoch...
Sonst würde ja dein Internet und alles was über den TP-Link läuft eben auch nicht gehen.

Wie gesagt ein "IPConfig /all" sowie ein "Route Print" wären hilfreich, sonst bleibt alles so dunkel wie in dein Keller, aber ohne Licht und ohne Fenster....

Gruß,
Peter
brammer
brammer 10.11.2015 um 14:45:40 Uhr
Goto Top
Hallo,

dass mein Client mit seiner öffentlichen IP in der Liste der verbundenen Geräte auftaucht.

Wieso taucht deine öffentliche IP da auf?
Wenn du Traffic durch den Tunnel schickst geht das mit der lokalen IP des Rechners und die ist vermutlich eine Private IP .....

Wie verbindest du dich den auf Router B ? Webinterface?
Mach doch mal ein traceroute auf die IP auf die du dich verbindest... dann solltest du ja sehen ob du druch den Tunnel gehst....
Oder aussen rum ....

brammer
Pjordorf
Pjordorf 10.11.2015 um 14:47:27 Uhr
Goto Top
Hi,

Zitat von @brammer:
Wieso taucht deine öffentliche IP da auf?
Weil sein TP der PPTP VPN Server für die Clients ist... ?

Gruß,
Peter
Phalanx82
Phalanx82 10.11.2015 um 17:37:33 Uhr
Goto Top
Zitat von @Sebbi87:

Wegen der IP 172.0.0.1... Dieser IP Adressbereich (welcher vom VPN-Server, also von Router B vorgegeben wird) darf nicht der selbe sein, wie der Zieladressbereich als das 10.0.0.0 /16 Netz... Das geht nicht einzustellen.

Wie gesagt, die VPN-Verbindung kommt zustande, denn ich kann auf dem Router B sehen, dass mein Client mit seiner öffentlichen IP in der Liste der verbundenen Geräte auftaucht. Ich kann nur nicht auf alle anderen Geräte im selben Netz von Router B zugreifen, obwohl ich m. E. nach schon drinnen bin?!?!?!?!?!?

Ich darf mal an dieser Stelle einen kleinen Auszug einschieben mit den Bereichen für Private Netzwerke, ja?:

Netzadressbereich CIDR-Notation Verkürzte CIDR-Notation Anzahl Adressen Anzahl Netze gemäß Netzklasse (historisch)
10.0.0.0 bis 10.255.255.255 10.0.0.0/8 10/8 224 = 16.777.216 Klasse A: 1 privates Netz mit 16.777.216 Adressen; 10.0.0.0/8

172.16.0.0 bis 172.31.255.255 172.16.0.0/12 172.16/12 220 = 1.048.576 Klasse B: 16 private Netze mit jeweils 65.536 Adressen;
172.16.0.0/16 bis 172.31.0.0/16

192.168.0.0 bis 192.168.255.255 192.168.0.0/16 192.168/16 216 = 65.536 Klasse C: 256 private Netze mit jeweils 256 Adressen;
192.168.0.0/24 bis 192.168.255.0/24

Und an dieser Stelle darfst Du Dir jetzt mal anschauen wo Dein 172.0.0.1er Netz liegt... Kleiner Tip: es ist ein öffentlicher IP-Bereich.


nur meine 20cent ;)
Sebbi87
Sebbi87 10.11.2015 um 19:52:35 Uhr
Goto Top
Hab den Adressbereich nun auf 172.16.0.1 - 172.16.0.10 festgelegt... Danke für den kleinen Exkurs @ Phalanx82...

Hat aber, wer hätte das gedacht, nichts am Problem verändert ;)

Im TP LINK ist folgendes zu finden

List of Tunnel:

No. Protocol Account Mode Tunnel ID Session ID Peer IP Peer Name Status Action
1 PPTP XYZ Server 0,0 5,56004 [91.X.X.X] --- Connected


Route Print (bei verbundenem VPN):

C:\Users\XYZ>route print
Schnittstellenliste
16...bc 5f f4 49 8a a9 ......Broadcom NetLink (TM) Gigabit Ethernet #2
31...........................VPN PE
1...........................Software Loopback Interface 1
6...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
20...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
32...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.38 10
0.0.0.0 0.0.0.0 Auf Verbindung 172.16.0.1 11
87.X.X.X 255.255.255.255 192.168.0.1 192.168.0.38 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
172.16.0.0 255.255.0.0 192.168.1.2 172.16.0.1 11
172.16.0.1 255.255.255.255 Auf Verbindung 172.16.0.1 266
192.168.0.0 255.255.255.0 Auf Verbindung 192.168.0.38 266
192.168.0.38 255.255.255.255 Auf Verbindung 192.168.0.38 266
192.168.0.255 255.255.255.255 Auf Verbindung 192.168.0.38 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.0.38 266
224.0.0.0 240.0.0.0 Auf Verbindung 172.16.0.1 11
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.0.38 266
255.255.255.255 255.255.255.255 Auf Verbindung 172.16.0.1 266
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 Auf Verbindung 1

Die öffentliche IP des Ziels habe ich aus Sicherheitsgründen hier nicht vollständig angezeigt....


Im Netgear ist außerdem laut LOG auch zu sehen, dass erfolgreich eine Verbindung meiner öffentlichen IP an 192.168.1.2:1723 geleitet wurde:

[LAN access from remote] from 91.X.X.X:61211 to 192.168.1.2:1723

Alles in allem funktioniert VPN mit PPTP ja auch super... Bin mit dem TP-LINK verbunden... Ich steh aufm Schlauch...

Viele Grüße
Sebbi87
Sebbi87 10.11.2015 um 20:01:32 Uhr
Goto Top
Bin mittlerweile am überlegen, beide Router durch diesen zu ersetzen: LANCOM 1781VA

Der scheint alle meine Bedürfnisse zu decken... Hat dafür halt auch seinen Preis ;)
Sebbi87
Sebbi87 10.11.2015 um 20:59:40 Uhr
Goto Top
Soooo... Problem erkannt und gelöst... Es war leider ein simpler Denkfehler...

Ich komme nun (testweise per RDP Port 3389) auf den Server hinter dem zweiten Router...

Es fehlt also nur noch der Zugriff auf die Dateifreigaben, welche auf dem Server liegen...

Hierfür habe ich ebenfalls nur testweise, die Firewall des Servers und meines Rechners kurz deaktiviert, VPN dann aktiviert...

Leider kann ich den Server mit IP 10.0.0.2 nicht per UNC \\10.0.0.2\freigabe\... ansprechen. "Netzwerkpfad nicht gefunden"

Auch mit Port 445 (SMB) weiterleiten an 10.0.0.2 hat nicht geklappt...
Pjordorf
Pjordorf 11.11.2015 um 00:35:37 Uhr
Goto Top
Hallo,

Zitat von @Sebbi87:
Problem erkannt und gelöst
Und neben der Denke, was war denn dein Fehler das nun alles läuft?

Ich komme nun (testweise per RDP Port 3389) auf den Server hinter dem zweiten Router...
Per IP oder FQDN oder beides?

Leider kann ich den Server mit IP 10.0.0.2 nicht per UNC \\10.0.0.2\freigabe\... ansprechen. "Netzwerkpfad nicht gefunden"
Per IP Klappt es?
Was sagt den ein "Ping servername.deine.domäne" oder soll es nur per NetBios Name gehen?

Auch mit Port 445 (SMB) weiterleiten an 10.0.0.2 hat nicht geklappt...
Warum willst du das tun und was soll die Weiterleitung bringen?

Dann, wo kommt deine Ständige Route her?
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 Auf Verbindung 1

Und da du noch immer kein IPConfig /all geliefert hast, bleibt uns wieder nur Rätselraten über dein Netz übrig und wir müssen raten was jetzt deine Schnittstellen an IPs haben. Auch sehe ich keine (direkte) Route in dein 10.0.0.0/16 Netz wo vermutlich dein DNS Server auf ein DC läuft und dir die Internen DNS Namen auflösen könnte/würde/tut. Und ob an deiner VPN Schnittstelle (Ob diese irgendeine Software oder Windows eigen ist, ist auch ungeklärt) ein DNS Suffix hängt - können wir nur vermuten (was es vielleicht ist). Da wird es einfach nur mehr als erschwert dir zu helfen solange du permanent alle Information erfolgreich für dich behältst.

Was du aber permanent wiederholst ist "Es geht aber nicht".

Gruß,
Peter
122990
122990 11.11.2015 aktualisiert um 00:46:18 Uhr
Goto Top
Moin,
ganz einfach, das hier besagt
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.38 10
0.0.0.0 0.0.0.0 Auf Verbindung 172.16.0.1 11
Das in deiner Routing-Tabelle "zwei" Default-GWs eingetragen sind, wovon jedoch deine LAN-Verbindung eine niedrigere Metrik (10) hat, also bevorzugt genutzt wird.
D.h. nun also das wenn du versuchst das Netz 10.0.x.x/16 zu erreichen das dein Rechner dein Default GW auf dem LAN-Adapter (welches dein eigener Router ist) gefragt wird um das Netz zu kontaktieren. Das wird dann jedoch fehlschlagen weil es ein privates Netz ist das im Internet nicht existiert, du bekommst also als Antwort von deinem Router einen Timeout weil er das Netz nicht finden kann !!
D.h. also das du auf deinem Rechner entweder das Default GW des VPN-Tunnels mit einer niedrigeren Metrik Versehen musst (dann läuft jedoch sämtlicher Traffic, auch Internetverkehr über den Tunnel) oder du für das 10.0.x.x/16 Netz auf dem Rechner eine statische Route anlegst die auf die Tunnel-Endpunkt-IP als Gateway zeigt !
Dann und nur dann wird das Vorhaben Erfolgreich sein, simple Routing-Grundlagen.

Und noch zur Info zur Firewall. Falls du sie hinterher wieder einschaltest musst du in der erweiterten Firewall alle Subnetze oder nur die verwendeten freigeben, denn per Default blockt die Windows-Firewall ICMP und SMB Traffic aus fremden Subnetzen.

Gruß grexit
Sebbi87
Sebbi87 11.11.2015 um 08:28:45 Uhr
Goto Top
Hallo,

ja leider hatte ich mich zu früh gefreut face-smile ich kam zwar auf den Server, jedoch weil auf beiden Routern RDP weitergeleitet wurde...

@ Grexit:

Verstehe das macht Sinn! Wie müsste dann die Route aussehen? Die Endpunkt-IP ist dann der, der das VPN terminiert also Router B?

Viele Grüße
122990
122990 11.11.2015 aktualisiert um 09:33:53 Uhr
Goto Top
Zitat von @Sebbi87:
@ Grexit:

Verstehe das macht Sinn! Wie müsste dann die Route aussehen? Die Endpunkt-IP ist dann der, der das VPN terminiert also Router B?
Müsste so aussehen
route add 10.0.0.0 MASK 255.255.0.0 172.16.0.1

p.s. woher kommt die 192.168.1.2 ????
Sebbi87
Sebbi87 11.11.2015 um 09:35:32 Uhr
Goto Top
@ grexit:

probiere ich gleich heute mittag oder abend aus! besten dank!

aber was ich nicht verstanden habe: VPN Router IP im 172er Netz???

Der VPN Router ist mit einem Bein mit Router A verbunden und hat die IP 192.168.1.2. Das andere Bein hängt im Netz der Windows Domäne und hat die IP 10.0.0.1. Der DC hat dort IP 10.0.0.2... Eine IP aus dem Adressbereich des VPN, die zum Router gehört, kann ich nicht erkennen und nirgends finden oO

Oder hab ich da was falsch verstanden...

Grüße
122990
Lösung 122990 11.11.2015 aktualisiert um 19:22:49 Uhr
Goto Top
In dem Fall musst du oben im Route Befehl die letzte Adresse eventuell in 192.168.1.2 ändern, probier's aber einfach aus ...

Zur Info wenn die Route dann erfolgreich ist, musst du sie erneut mit dem Parameter /p aufrufen, erst dann überlebt sie einen Neustart.
Sebbi87
Sebbi87 11.11.2015 um 09:38:51 Uhr
Goto Top
@ Peter:

Sorry für die geringen Infos... ipconfig /all liefere ich heute abend nach.

VPN baue ich von meinem Client via Windows auf.

Das Netz meines Clients ist 192.168.0.0 /24... Die IP meine LAN-Adapters ist 192.168.0.38

Der Ausschnitt (ganz oben) zeigt den virtuellen Adapter von Windows (PPP) der auftaucht sobald VPN aufgebaut ist/wird...

also:

PPP-Adapter [Name]:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : [Name]
Physische Adresse . . . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 172.16.0.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Hier hat sich im Vergleich zu oben nur die IP die mir der VPN-Server (Router B) zuteilt geändert... Und bei DNS steht nun noch der Server aus der Domäne mit drinnen...

also Primary DNS = 10.0.0.1 und Sec. DNS = 10.0.0.2

Des weiteren ist nebenbei noch ein 6to4 Tunnel Adapter von Microsoft (virtuell) aktiv sobald VPN steht... da habe ich aber die Daten nicht im Kopf, außer dass er als DNS die gleiche IP wie der PPP-Adapter besitzt. Daten kommen heute Abend nach...

6to4 ist doch ein Adapter der IPv6 in IPv4 umwandelt oder nich?

Beide virtuellen Adapter verschwinden jedenfalls, sobald ich VPN deaktiviere....
Pjordorf
Pjordorf 11.11.2015 aktualisiert um 12:58:29 Uhr
Goto Top
Hallo,

Zitat von @Sebbi87:
Das Netz meines Clients ist 192.168.0.0 /24... Die IP meine LAN-Adapters ist 192.168.0.38
OK

Verbindungsspezifisches DNS-Suffix:
Da hast du nichts hinterlegt? Du könntest dort das DNS Suffix deiner Firmen Domäne hinterlegen.

DNS-Server . . . . . . . . . . . : 10.0.0.1
Warum steht hier dein Router B als DNS Server drin? Du willst doch eine Domäne der deiner Firma nutzen, also kommt dessen DNS rein. Und das ist die 10.0.0.2 oder habt ihr mehrere DNS?

also Primary DNS = 10.0.0.1 und Sec. DNS = 10.0.0.2
Nur dein DC = DNS deiner Domäne hat dort zu stehen, sofern ihr nur einen DNS betreibt.

Gruß,
Peter
Sebbi87
Sebbi87 11.11.2015 um 19:24:46 Uhr
Goto Top
Hallo zusammen,

ganz großes Dankeschön für eure Hilfe!!!

@ Grexit:

Deine Aussage war goldrichtig ;)

route add -4 -p 10.0.0.0 mask 255.255.0.0 192.168.1.2 metric 2 if 33

das war alles!!!

Besten Dank an alle!!!

Hiermit gelöst ;)

Viele Grüße
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von Sebbi87Sebbi87Fritzbox 7490 und Zyxel USG20 - Zugriff auf LAN der USG20Sebbi87 - 52 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare