VPN nicht bidirektional
Hallo zusammen!
Eigentlich trivial, aber es will nicht gelingen: VM, Windows Server 2012 mit Routing / RAS. Er soll später auch als RAS-Router zwischen den Clients fungieren. Die Anbindung von zunächst 2 Test-Clients über PPTP (Sicherheits-Defizit ist mir bekannt) war in ein paar Minuten eingerichtet.
RAS-Einwahladapter 192.168.9.90, Clients ab 192.168.9.91, alles feste IP's und Routen:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 81.169.142.1 81.169.xxx.xxx 276
81.169.xxx.xxx 255.255.255.255 Auf Verbindung 81.169.xxx.xxx 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 192.168.9.91 192.168.9.90 30
192.168.2.0 255.255.255.0 192.168.9.92 192.168.9.90 30
192.168.9.90 255.255.255.255 Auf Verbindung 192.168.9.90 286
192.168.9.91 255.255.255.255 192.168.9.91 192.168.9.90 31
192.168.9.92 255.255.255.255 192.168.9.92 192.168.9.90 31
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 81.169.xxx.xxx 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.9.90 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 81.169.xxx.xxx 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.9.90 286
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 81.169.xxx.x Standard
Der Zugriff von den Clients auf den Server funktioniert, nur vom Server komme ich nicht auf die Clients. Firewall ist an beiden Seiten aus, Paketfilter gibt es keine.
Ein Ping vom Server auf 192.168.9.91 und .92 funktioniert, ein Ping in das nächste Netz auf 192.168.1.1 wird zwar geroutet, läuft aber nur bis 192.168.9.90:
C:\Windows\System32>pathping 192.168.1.1
Routenverfolgung zu "192.168.1.1" über maximal 30 Hops
0 h2620202 [192.168.9.90]
1 Allgemeiner Fehler.
Als Client habe ich sowohl Windows PPTP Clients, wie auch einen Lancom-Router getestet (Firewall und Filter ebenfalls aus). Das Resultat ist absolut identisch, sollte also serverseitig sein. Ich krig es aber mit meinen Grundkenntnissen einfach nicht in den Griff!
Freue mich über jede Idee!
Kicker-Klaus
Eigentlich trivial, aber es will nicht gelingen: VM, Windows Server 2012 mit Routing / RAS. Er soll später auch als RAS-Router zwischen den Clients fungieren. Die Anbindung von zunächst 2 Test-Clients über PPTP (Sicherheits-Defizit ist mir bekannt) war in ein paar Minuten eingerichtet.
RAS-Einwahladapter 192.168.9.90, Clients ab 192.168.9.91, alles feste IP's und Routen:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 81.169.142.1 81.169.xxx.xxx 276
81.169.xxx.xxx 255.255.255.255 Auf Verbindung 81.169.xxx.xxx 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 192.168.9.91 192.168.9.90 30
192.168.2.0 255.255.255.0 192.168.9.92 192.168.9.90 30
192.168.9.90 255.255.255.255 Auf Verbindung 192.168.9.90 286
192.168.9.91 255.255.255.255 192.168.9.91 192.168.9.90 31
192.168.9.92 255.255.255.255 192.168.9.92 192.168.9.90 31
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 81.169.xxx.xxx 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.9.90 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 81.169.xxx.xxx 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.9.90 286
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 81.169.xxx.x Standard
Der Zugriff von den Clients auf den Server funktioniert, nur vom Server komme ich nicht auf die Clients. Firewall ist an beiden Seiten aus, Paketfilter gibt es keine.
Ein Ping vom Server auf 192.168.9.91 und .92 funktioniert, ein Ping in das nächste Netz auf 192.168.1.1 wird zwar geroutet, läuft aber nur bis 192.168.9.90:
C:\Windows\System32>pathping 192.168.1.1
Routenverfolgung zu "192.168.1.1" über maximal 30 Hops
0 h2620202 [192.168.9.90]
1 Allgemeiner Fehler.
Als Client habe ich sowohl Windows PPTP Clients, wie auch einen Lancom-Router getestet (Firewall und Filter ebenfalls aus). Das Resultat ist absolut identisch, sollte also serverseitig sein. Ich krig es aber mit meinen Grundkenntnissen einfach nicht in den Griff!
Freue mich über jede Idee!
Kicker-Klaus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219542
Url: https://administrator.de/forum/vpn-nicht-bidirektional-219542.html
Ausgedruckt am: 12.05.2025 um 13:05 Uhr
2 Kommentare
Neuester Kommentar
Nur nochmal dumm nachgefragt: IPv4 Forwarding ist auf dem Server aktiviert ? Siehe:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Und das Default Gateway zeigt auf "81.169.142.1" ???
Ist das jetzt ein Fake oder ist der Server Rechner wirklich direkt im Internet exponiert ??
Riecht aber in jedem Fall nach einem Firewall Problem ! Sollte es ein generelles Routing Problem sein würde schon der Aufbau des GRE Tunnels scheitern und damit keinerlei VPN Daten fleissen können. Das sagst du aber ja funktioniert fehlerlos. Folglich ist es also ein FW oder ggf. Routing Problem was den Client Traffic betrifft.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Und das Default Gateway zeigt auf "81.169.142.1" ???
Ist das jetzt ein Fake oder ist der Server Rechner wirklich direkt im Internet exponiert ??
Riecht aber in jedem Fall nach einem Firewall Problem ! Sollte es ein generelles Routing Problem sein würde schon der Aufbau des GRE Tunnels scheitern und damit keinerlei VPN Daten fleissen können. Das sagst du aber ja funktioniert fehlerlos. Folglich ist es also ein FW oder ggf. Routing Problem was den Client Traffic betrifft.
1
Hallo aqui,
die IP ist kein Fake, die VM läuft bei Strato.
Das Forwarding habe ich nochmal explizit angegeben:
C:\Windows\System32>netsh interface ipv4 show interfaces
Idx Met MTU State Name
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
24 30 1400 connected RAS (Dial In) Interface
12 20 1500 connected LAN-Verbindung
C:\Windows\System32>netsh interface ipv4 set interface "24" forwarding=enabled
OK.
oder auch
C:\Windows\System32>netsh interface ipv4 set interface "RAS (Dial In) Interface" forwarding=enabled
OK.
Leider ohne Resultat:
C:\Windows\System32>pathping 192.168.1.1
Routenverfolgung zu "192.168.1.1" über maximal 30 Hops
0 h2620202 [192.168.9.90]
1 Allgemeiner Fehler.
Ablaufverfolgung beendet.
Ich hab' zuerst auch die Firewall im Visier gehabt. Zum testen habe ich PPTP, GRE, ICMPv4 geöffnet, danach noch die Firewall ganz deaktiviert, leider ohne Resultat. Den Firewall Dienst selbst kann ich allerdings nicht stoppen, weil sonst die Verbindung zur VM getrennt wird.
Wo lassen sich mit Trace oder Telnet relevante Details ausgraben? Irgendwie muß ich hier weiterkommen...
die IP ist kein Fake, die VM läuft bei Strato.
Das Forwarding habe ich nochmal explizit angegeben:
C:\Windows\System32>netsh interface ipv4 show interfaces
Idx Met MTU State Name
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
24 30 1400 connected RAS (Dial In) Interface
12 20 1500 connected LAN-Verbindung
C:\Windows\System32>netsh interface ipv4 set interface "24" forwarding=enabled
OK.
oder auch
C:\Windows\System32>netsh interface ipv4 set interface "RAS (Dial In) Interface" forwarding=enabled
OK.
Leider ohne Resultat:
C:\Windows\System32>pathping 192.168.1.1
Routenverfolgung zu "192.168.1.1" über maximal 30 Hops
0 h2620202 [192.168.9.90]
1 Allgemeiner Fehler.
Ablaufverfolgung beendet.
Ich hab' zuerst auch die Firewall im Visier gehabt. Zum testen habe ich PPTP, GRE, ICMPv4 geöffnet, danach noch die Firewall ganz deaktiviert, leider ohne Resultat. Den Firewall Dienst selbst kann ich allerdings nicht stoppen, weil sonst die Verbindung zur VM getrennt wird.
Wo lassen sich mit Trace oder Telnet relevante Details ausgraben? Irgendwie muß ich hier weiterkommen...
