6
VPN-Routing/W2k3
Keine Routen von Gegenseite
Hallo zusammen,
seite einiger Zeit bastel ich an einem "winzigen" Problem mit VPN. FAkt ist, dass ich einen W2k3 Server (Standort Schweiz) bei mir einloggen kann. Dafür habe ich einen Extra User eingerichtet. Diese Verbindung wird an unsere Firewall (Astaro 6.1) verifiziert und auch akzeptiert. Also so weit, so gut.
Dieser User bekommt an der Firewall beim Anmelden eine IP (aus meinem hiesigen Netz) verpaßt, da er sonst immer abgelehnt wird. Warum das so ist habe ich nicht verstanden, vielleicht weiß jemand eine Antwort. Aber das ist nicht das Problem.
Wenn der Server angemeldet ist, mache ich ein Ping auf einen Server bei mir im Netzwerk und das endet mit 100% verlorenen Paketen. Fakt ist, wenn ich mich von Zuhause per VPN anmelde (mit dem selben Schweizer User und auch über DSL) dann bekomme ich auf Pings Antworten.
Ich habe natürlich das Routing (es läuft ein RAS/Routing auf dem Schweizer Server) geprüft und es so wie es läuft, sollte es klappen. Auch das Routing auf meiner Seite ist geprüft und funktioniert, da es mit meinem PC von Zuhause klappt.
Mache ich ein route print, bekomme ich auf dem schweizer Server KEINE Routen angezeigt. Auf dem heimischen Pc JA.
Wo (zum Henker) habe ich den Denkfehler, bzw. wo bleibt das Ping/Routing bei der Server-Server Verbindung hängen? Natürlich habe ich Logs mitlaufen lassen (war nix zu sehen drin) und das einzige was mir noch einfällt ist, dass die W2k3 Firewall (ausgeschaltet auf dem schw. Server) mir noch einen Strich durch die Rechnung macht. Aber wie kann sie noch die ICMP-Pakete/Routing fressen?
Konfig Schweiz:
W2k3 Server SP1
Firewall Astaro 6.1
DSL von Bluewin
Konfig DE
Astaro 6.1
W2k Server
SDSL QSC
Noch eine Gemeinsamkeit: beide Internetanschlüsse laufen zwangsläufig durch ein Transfernetz.
Beide Firewalls sind so konfiguriert, dass sie auch VPN durchlassen, bzw. das Routing zulassen.
MfG
eine entnervte Admina
Sabine
Hallo zusammen,
seite einiger Zeit bastel ich an einem "winzigen" Problem mit VPN. FAkt ist, dass ich einen W2k3 Server (Standort Schweiz) bei mir einloggen kann. Dafür habe ich einen Extra User eingerichtet. Diese Verbindung wird an unsere Firewall (Astaro 6.1) verifiziert und auch akzeptiert. Also so weit, so gut.
Dieser User bekommt an der Firewall beim Anmelden eine IP (aus meinem hiesigen Netz) verpaßt, da er sonst immer abgelehnt wird. Warum das so ist habe ich nicht verstanden, vielleicht weiß jemand eine Antwort. Aber das ist nicht das Problem.
Wenn der Server angemeldet ist, mache ich ein Ping auf einen Server bei mir im Netzwerk und das endet mit 100% verlorenen Paketen. Fakt ist, wenn ich mich von Zuhause per VPN anmelde (mit dem selben Schweizer User und auch über DSL) dann bekomme ich auf Pings Antworten.
Ich habe natürlich das Routing (es läuft ein RAS/Routing auf dem Schweizer Server) geprüft und es so wie es läuft, sollte es klappen. Auch das Routing auf meiner Seite ist geprüft und funktioniert, da es mit meinem PC von Zuhause klappt.
Mache ich ein route print, bekomme ich auf dem schweizer Server KEINE Routen angezeigt. Auf dem heimischen Pc JA.
Wo (zum Henker) habe ich den Denkfehler, bzw. wo bleibt das Ping/Routing bei der Server-Server Verbindung hängen? Natürlich habe ich Logs mitlaufen lassen (war nix zu sehen drin) und das einzige was mir noch einfällt ist, dass die W2k3 Firewall (ausgeschaltet auf dem schw. Server) mir noch einen Strich durch die Rechnung macht. Aber wie kann sie noch die ICMP-Pakete/Routing fressen?
Konfig Schweiz:
W2k3 Server SP1
Firewall Astaro 6.1
DSL von Bluewin
Konfig DE
Astaro 6.1
W2k Server
SDSL QSC
Noch eine Gemeinsamkeit: beide Internetanschlüsse laufen zwangsläufig durch ein Transfernetz.
Beide Firewalls sind so konfiguriert, dass sie auch VPN durchlassen, bzw. das Routing zulassen.
MfG
eine entnervte Admina
Sabine
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 26026
Url: https://administrator.de/contentid/26026
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
das schreit förmlich nach fehlerhafter konfig der FW in schweiz, kommt hier definitiv eine verbindung zu stande ?
ansosnten würde ich mir das portforwarding in der schweiz anschauen !
der nutzer für die vpn verbindungen wo ist der überall angelegt?
wenn du in der schweiz ein verbindung aufbaust per isdn oder sonstwas ohne die fw geht das?
gib doch bitte ncohmal feedback !
ansosnten würde ich mir das portforwarding in der schweiz anschauen !
der nutzer für die vpn verbindungen wo ist der überall angelegt?
wenn du in der schweiz ein verbindung aufbaust per isdn oder sonstwas ohne die fw geht das?
gib doch bitte ncohmal feedback !
Hallo,
zu Frage 1: ja, eine Verbindung kommt zustande. Zumindest kann sich der User authentifizieren. Ich sehe hier in der Firewall (Logs) ihn ankommen und das er ein auth. User ist, der "rein" darf.
zu Frage 2: Portforwarding ist auf dem DSL-Moden (Schweiz) eingerichtet (Muß, sonst geht gar nichts - also die VPN-Ports werden weitergeleitet) Portforwarding auf meiner Seite: alle Ports werden an die FW weitergegeben und dort "sortiert"
zu Frage 3: der User ist sowohl auf meiner heimischen Firewall eingetragen, wie auch in meinem AD (beide prüfen gegenseititg, ob es den User gibt, wenn ja, ob das Passwort korrekt ist)
zu Frage 4: ohne Firewall ging es. Das hatte ich schon beim Aufbau des NW dort getestet, um dann dieses Portforwarding im Modem (Schweiz) einzustellen. Danach konnte ich eine VPN-Verbindung vom Server zu meinem System hier (Bochum) herstellen. Routen kamen bis heute (trotz vieler strukturierter Versuche) keine zustande.
Noch was: ich habe auch versucht, das Routing schon auf dem schw. Server vorzugeben, damit er weiß, wo die anderen Server zu finden sind. (Also Routing zur WAN-Schnittstelle etc.) Interessiert den Server herzlich wenig, er stellt sich auf dumm oder stur ;)
MfG
Sabine
zu Frage 1: ja, eine Verbindung kommt zustande. Zumindest kann sich der User authentifizieren. Ich sehe hier in der Firewall (Logs) ihn ankommen und das er ein auth. User ist, der "rein" darf.
zu Frage 2: Portforwarding ist auf dem DSL-Moden (Schweiz) eingerichtet (Muß, sonst geht gar nichts - also die VPN-Ports werden weitergeleitet) Portforwarding auf meiner Seite: alle Ports werden an die FW weitergegeben und dort "sortiert"
zu Frage 3: der User ist sowohl auf meiner heimischen Firewall eingetragen, wie auch in meinem AD (beide prüfen gegenseititg, ob es den User gibt, wenn ja, ob das Passwort korrekt ist)
zu Frage 4: ohne Firewall ging es. Das hatte ich schon beim Aufbau des NW dort getestet, um dann dieses Portforwarding im Modem (Schweiz) einzustellen. Danach konnte ich eine VPN-Verbindung vom Server zu meinem System hier (Bochum) herstellen. Routen kamen bis heute (trotz vieler strukturierter Versuche) keine zustande.
Noch was: ich habe auch versucht, das Routing schon auf dem schw. Server vorzugeben, damit er weiß, wo die anderen Server zu finden sind. (Also Routing zur WAN-Schnittstelle etc.) Interessiert den Server herzlich wenig, er stellt sich auf dumm oder stur ;)
MfG
Sabine
welchen gw hat die vpn verbindung ind er schweiz?
die route nach draussen sollte auf jeden fall vorhanden sein wenn du connectet bist ansosnten kann das mit dem ping nciht funktionieren der benutzt dann seinen standart gw der ans inet geht und dort im inet gibt es die ip natürlich nciht die du versuchst anzupingen, wenn du also nun deen gw der vpn auf den gw des deutschen netztes stellst oder den dns vom deutschen netz nimmst, da fällt mir ein hast du ipp oder namen angepingt?
sollte es gehen ansosnten trag dioe route im schweizer server mit permanent ein die muss er anlegen und dann auch nutzen!!!!
die route nach draussen sollte auf jeden fall vorhanden sein wenn du connectet bist ansosnten kann das mit dem ping nciht funktionieren der benutzt dann seinen standart gw der ans inet geht und dort im inet gibt es die ip natürlich nciht die du versuchst anzupingen, wenn du also nun deen gw der vpn auf den gw des deutschen netztes stellst oder den dns vom deutschen netz nimmst, da fällt mir ein hast du ipp oder namen angepingt?
sollte es gehen ansosnten trag dioe route im schweizer server mit permanent ein die muss er anlegen und dann auch nutzen!!!!
Hallo,
gute Idee mit dem GW ins dt. Netz.... Jetzt muß ich nur noch den Server wieder dazu bringen, wieder mit mir zu sprechen ;) Irgendwie mag er zur Zeit nicht.
Das mit dem GW ist mir heute auch in Auge gehüpft. Mal sehn wie es läuft, wenn der Server wieder online ist und dieses zusätzliche GW für dieses NW eingetragen ist.
LG
Sabine
gute Idee mit dem GW ins dt. Netz.... Jetzt muß ich nur noch den Server wieder dazu bringen, wieder mit mir zu sprechen ;) Irgendwie mag er zur Zeit nicht.
Das mit dem GW ist mir heute auch in Auge gehüpft. Mal sehn wie es läuft, wenn der Server wieder online ist und dieses zusätzliche GW für dieses NW eingetragen ist.
LG
Sabine
die Lösung müsste zwar funktioneiren aber ist nicht so ganz schön!
eigentlich währe eine statische Route besser!
je nach os unterschiedliche schriebweise aber ungefähr so
auf dem schweizer server:
route add (deutsche Net ID) (subnet) (gw deustches netz) (metric) (interface)
eigentlich währe eine statische Route besser!
je nach os unterschiedliche schriebweise aber ungefähr so
auf dem schweizer server:
route add (deutsche Net ID) (subnet) (gw deustches netz) (metric) (interface)
Hallo,
jetzt endlich war ich vor Ort in Zürich. Jetzt geht alles wieder. Was habe ich getan?
a.) den Routing&RAS-Dienst ausgestellt
b.) dem DNS-Server gesagt, er soll sich beim DNS des Providers Infos holen (was irgendwie krumm war)
c.) 3 fixe Routen per route add -p eingebaut. Routen zu den Servern in Bochum
Zeitaufwand: ca. 20 Minuten. Danach hatte ich noch einen schönen Tag in Zürich.
Ich danke denen die mich auf die Spur gebracht haben.
LG
Sabine *wieder eine glückliche Admina ist*
jetzt endlich war ich vor Ort in Zürich. Jetzt geht alles wieder. Was habe ich getan?
a.) den Routing&RAS-Dienst ausgestellt
b.) dem DNS-Server gesagt, er soll sich beim DNS des Providers Infos holen (was irgendwie krumm war)
c.) 3 fixe Routen per route add -p eingebaut. Routen zu den Servern in Bochum
Zeitaufwand: ca. 20 Minuten. Danach hatte ich noch einen schönen Tag in Zürich.
Ich danke denen die mich auf die Spur gebracht haben.
LG
Sabine *wieder eine glückliche Admina ist*
