fc2011
Goto Top

VPN steht - kein Zugriff auf Server (SBS2011)

Hallo zusammen,

habe aktuell ein Problem beim Einrichten eines Routers, der per VPN an das Firmennetz angebunden werden soll.
Haben einige Mitarbeiter, die unterwegs per VPN auf den Server zugreifen können - funktioniert auch soweit.
Ein Mitarbeiter arbeitet aber nun von einem externen Standort und soll deshalb eine dauerhafte VPN-Leitung bekommen. Chef arbeitet so ebenfalls schon von Zuhause und dort funktioniert es auch ohne Probleme.

Im Firmennetzt hängt ein DrayTek Vigor2860n Router - am neuen Standort ein DrayTek Vigor 2710Vn. Die VPN-Verbindung sollte über die LAN to LAN Konfiguration stattfinden. Habe ich anhand der Config bei meinem Chef (hat ein DrayTek Vigor 2700) eingerichtet. Hat auch sofort geklappt und er zeigt mir die Verbindung an beiden Routern an. Jetzt zum eigentlichen Problem:
VPN Verbindung steht aber habe kein Zugriff auf den Server (SBS 2011) und somit auch kein Zugriff auf Exchange. Pingtest auf den Server (192.168.2.2) kommt nicht an (Zeitüberschreitung). Andere Geräte (Drucker / NAS) aus diesem Netz kann ich jedoch anpingen?
Router des externen Mitarbeiters hängt im Netz 192.168.3.1, sein Laptop bekommt demenstprechend auch eine 192.168.3.X Adresse. Nslookup hat zunächst den Draytek Router angezeigt, nachdem ich in den IPV4 Einstellungen den DNS Server des SBS angegeben hatte, wird hier nun der SBS angezeigt und die korrekte Domäne beim Netzwerk.

Wieso lässt er mich nicht auf den Server zugreifen? Ports, Firewall, Router Firma, Router extern, DNS? Wo soll ich ansetzen?
Wenn der Mitarbeiter sich z.B. über eine UMTS Stick einwählt, funktioniert es. Nur wenn er an dem Router hängt wird geblockt. Bin über jeden Tipp dankbar und hoffe man verzeiht mir meine beschränkten Kenntnisse ;)

Viele Grüße
Patrick

Content-ID: 247583

Url: https://administrator.de/contentid/247583

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

aqui
Lösung aqui 27.08.2014 aktualisiert um 21:23:38 Uhr
Goto Top
Pingtest auf den Server (192.168.2.2) kommt nicht an (Zeitüberschreitung). Andere Geräte (Drucker / NAS) aus diesem Netz kann ich jedoch anpingen?
Da ist die Diagnose doch eindeutig, oder ? Der Buhmann ist logischerweise der Server selber bzw. dessen lokale Firewall die Pakete mit der Client Netz Absender IP blockiert.
Ein normales Verhalten der Windows Firewall die generell nur Pakete des eigenen lokalen Netzwerks zulässt.
Customize also die Firewall das sie ICMP Pakete (Ping) und auch alles andere was auf Serverdienste zugreift von dieser Absender IP passieren lässt und dann klappt das auch !

Was nch für uns zum Troubleshooten relevant ist:
  • Wie ist die Anbindung auf Mitarbeiterseite passiert ?? Betreibst du da einen Routerkaskade mit 2 Routern oder ist der Draytek dort der einzige Router direkt am Internet ?
  • Wenn es eine Routerkaskade ist hast du entsprechend das Port Forwarding für IPsec VPN (was du wohl hoffentlich verwendest auf dem Draytk ?!) entsprechend eingerichtet ?
Zu 98% aber die Server Firewall. Das VPN technisch alles OK ist siehst du ja an der Tatsache das du alles weitere im Netz erreichen kannst mit einziger Ausnahme des Servers.
Folglich solltest du dich also rein auf den Server konzentrieren.
fc2011
fc2011 27.08.2014 um 21:27:02 Uhr
Goto Top
Jaaaa das wars!!
ICMP Pakete für den Adressbereich freigegeben und nun funktioniert es ohne Probleme.
Tausend Dank! face-smile