45455
04.08.2008, aktualisiert am 07.08.2008
5741
7
0
VPN über Hardware-Router an SBS 2003
Hab schon etwas gesucht, aber keine wirklich passende Lösung gefunden:
Ich habe einen Hardware-VPN-Router (Draytek 2950), der via PPTP oder L2TP VPN-Verbindungen annimmt. Die Clients bekommen auch ihre IP-Adresse. Der Teil ist weitgehend unproblematisch.
Aber wie komme ich jetzt beim SBS 2003 an die LAN-Verbindung (LAN1)?
Der Router hängt ja MS-konform an der Netzwerkverbindung (LAN2).
Raus ist klar, das macht er ja selbst, rein ist mir unklar.
Auf LAN2 bekomme ich kein ping von LAN1, umgekehrt sehr wohl. Dementsprechend dann auch keine Netzverbindung.
VPN-Client --- Internet --- Draytek --- LAN2 --- SBS-Netzwerkverbindung --- LAN1 --- SBS-LAN-Verbindung --- Clients
EINE Möglichkeit besteht ja darin, auf der Netzwerkverbindung ebenfalls DNS ansprechen zu lassen sowie MS-Dateifreigaben zu öffnen, und die VPN-Clients auf die LAN2-Adresse des Servers zu verbinden.
Das unterhölt ja aber die Funktion der Netzwerktrennung völlig und ermöglicht auch nicht die wechselnde Verwendung der VPN-Clients als interne Clients innerhalb LAN1 (oder erschwert es zumindest)
Wie bekomme ich das hin? Eventuell über statische Routen? (Hab ich schon versucht, aber wohl falsch)
Ich habe einen Hardware-VPN-Router (Draytek 2950), der via PPTP oder L2TP VPN-Verbindungen annimmt. Die Clients bekommen auch ihre IP-Adresse. Der Teil ist weitgehend unproblematisch.
Aber wie komme ich jetzt beim SBS 2003 an die LAN-Verbindung (LAN1)?
Der Router hängt ja MS-konform an der Netzwerkverbindung (LAN2).
Raus ist klar, das macht er ja selbst, rein ist mir unklar.
Auf LAN2 bekomme ich kein ping von LAN1, umgekehrt sehr wohl. Dementsprechend dann auch keine Netzverbindung.
VPN-Client --- Internet --- Draytek --- LAN2 --- SBS-Netzwerkverbindung --- LAN1 --- SBS-LAN-Verbindung --- Clients
EINE Möglichkeit besteht ja darin, auf der Netzwerkverbindung ebenfalls DNS ansprechen zu lassen sowie MS-Dateifreigaben zu öffnen, und die VPN-Clients auf die LAN2-Adresse des Servers zu verbinden.
Das unterhölt ja aber die Funktion der Netzwerktrennung völlig und ermöglicht auch nicht die wechselnde Verwendung der VPN-Clients als interne Clients innerhalb LAN1 (oder erschwert es zumindest)
Wie bekomme ich das hin? Eventuell über statische Routen? (Hab ich schon versucht, aber wohl falsch)
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93564
Url: https://administrator.de/forum/vpn-ueber-hardware-router-an-sbs-2003-93564.html
Ausgedruckt am: 26.04.2025 um 18:04 Uhr
7 Kommentare
Neuester Kommentar
Hier steht genau wie es geht:
So hatte ich mir das eigentlich gedacht, aber der SBS reagiert nicht auf ein Ping ins innere Netz.
LANx statische Route von y.0 Mask 255.255.255.0 auf x.253 (äussere Adresse des Servers, in LANx)
ping auf x.253 funktioniert, auf y.... nicht.
Der SBS hat aber Standardkonfig, also eben die zwei NICs mit IP-Forwarding.
Laut dem Tutorial sollte es also gehen! ??
LANx statische Route von y.0 Mask 255.255.255.0 auf x.253 (äussere Adresse des Servers, in LANx)
ping auf x.253 funktioniert, auf y.... nicht.
Der SBS hat aber Standardkonfig, also eben die zwei NICs mit IP-Forwarding.
Laut dem Tutorial sollte es also gehen! ??
Der Server benötigt KEINE statische Route denn alle Netze kennt er da sie an ihm direkt angeschlossen sind !!!
Etwaige Routen musst du also entfernen.
Routing und RAS musst du bei 2k3 einschalten wie es auch im Tutorial steht !!! Mit der Standardkonfig geht es NICHT !!
Etwaige Routen musst du also entfernen.
Routing und RAS musst du bei 2k3 einschalten wie es auch im Tutorial steht !!! Mit der Standardkonfig geht es NICHT !!
Routing und RAS ist bei SBS in der Standardkonfiguration aktiviert, der verlangt das so.
Anders würde ja die Lösung mit den zwei unterschiedlichen NICs nicht gehen.
Auf dem Server IST keine statische Route, sondern wie beschrieben auf dem Router.
An sich hab ich das umgesetzt, was im Tutorial steht.
- Routing und RAS IST aktiv und als IP-Forwarding konfiguriert
- statische Route im Router für Adressen im internen Netz auf sicht- und pingbare IP des SBS im äusseren Netz als Gateway IST eingerichtet.
Ich hab sogar den DNS für das äussere Netzwerksegment angeschaltet.
Trotzdem tut sich nichts, die Adressen bleiben unerreichbar.
DNS-Auflösung funktioniert ebenfalls nur für den Server mit der äusseren NIC
Ich denke halt, das der SBS das IP-Forwarding einwärts blockiert
Anders würde ja die Lösung mit den zwei unterschiedlichen NICs nicht gehen.
Auf dem Server IST keine statische Route, sondern wie beschrieben auf dem Router.
An sich hab ich das umgesetzt, was im Tutorial steht.
- Routing und RAS IST aktiv und als IP-Forwarding konfiguriert
- statische Route im Router für Adressen im internen Netz auf sicht- und pingbare IP des SBS im äusseren Netz als Gateway IST eingerichtet.
Ich hab sogar den DNS für das äussere Netzwerksegment angeschaltet.
Trotzdem tut sich nichts, die Adressen bleiben unerreichbar.
DNS-Auflösung funktioniert ebenfalls nur für den Server mit der äusseren NIC
Ich denke halt, das der SBS das IP-Forwarding einwärts blockiert
Folgenden Ping Test solltest du machen:
Aus dem Client Netz: (Client hat IP des Servers als Gateway !)
Ping auf das Client Interface des Servers -> muss klappen !
Ping auf das externe Interface des Servers -> muss klappen !
Ping auf das Router Interface -> muss klappen !
Wenn die beiden letzten Pings nicht funktionieren (insbesondere der mittlere) dann macht dein Server de facto KEIN Routing bzw. ist Routing im Server NICHT aktiviert !!!
Es ist auch möglich das da im Server eine Firewall läuft die das verhindert !!!
Bevor du das Problem nicht löst brauchst du gar nicht erst weiterzumachen !
Das ist ein absolutes Standardszenario und funktioniert fehlerfrei wenn man es richtig aufsetzt !!!
Aus dem Client Netz: (Client hat IP des Servers als Gateway !)
Ping auf das Client Interface des Servers -> muss klappen !
Ping auf das externe Interface des Servers -> muss klappen !
Ping auf das Router Interface -> muss klappen !
Wenn die beiden letzten Pings nicht funktionieren (insbesondere der mittlere) dann macht dein Server de facto KEIN Routing bzw. ist Routing im Server NICHT aktiviert !!!
Es ist auch möglich das da im Server eine Firewall läuft die das verhindert !!!
Bevor du das Problem nicht löst brauchst du gar nicht erst weiterzumachen !
Das ist ein absolutes Standardszenario und funktioniert fehlerfrei wenn man es richtig aufsetzt !!!
Alle 3 Pings funktionieren
Ping Router auf externes Server-Interface klappt
Ping Router auf Client-Interface des Servers klappt NICHT.
Firewall im SBS läuft nicht, auch nicht die Basisfirewall des Routing und RAS
Ping Router auf externes Server-Interface klappt
Ping Router auf Client-Interface des Servers klappt NICHT.
Firewall im SBS läuft nicht, auch nicht die Basisfirewall des Routing und RAS
Ha, dann hast du keine statische Route im Router selber konfiguriert, denn dann findet der das Client Segment nicht !!!
Auf den Router muss eine statische Route:
(Beispiel hier: Router: 172.16.1.1, Server: 172.16.1.253, 24 Bit Maske, Client Netz: 172.16.2.0)
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 172.16.1.253
Die statische Route auf dem Router muss immer nach dem Schema:
Zielnetz: <client_zielnetz>, Maske: <maske_zielnetz>, Gateway: <next_hop_im_routerLAN>
auf dem Router eingetragen werden !
Vom Router aus muss ein Ping auf das interne (Client) und externe Segment möglich sein ! Dies muss ebenfalls auch sauber vom Server aus funktionieren !
Entweder stimmt da was mit deiner Adressierung (Maske etc.) nicht auf dem externen Segment, die Route im Router fehlt wie gesagt, oder es ist doch eine Firewall aktiv... !
Eins von den 3 Dingen ist es, denn das ist ein absolutes Standardszenario was in 5 Minuten aufzusetzen ist und einwandfrei funktioniert !!
Auf den Router muss eine statische Route:
(Beispiel hier: Router: 172.16.1.1, Server: 172.16.1.253, 24 Bit Maske, Client Netz: 172.16.2.0)
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 172.16.1.253
Die statische Route auf dem Router muss immer nach dem Schema:
Zielnetz: <client_zielnetz>, Maske: <maske_zielnetz>, Gateway: <next_hop_im_routerLAN>
auf dem Router eingetragen werden !
Vom Router aus muss ein Ping auf das interne (Client) und externe Segment möglich sein ! Dies muss ebenfalls auch sauber vom Server aus funktionieren !
Entweder stimmt da was mit deiner Adressierung (Maske etc.) nicht auf dem externen Segment, die Route im Router fehlt wie gesagt, oder es ist doch eine Firewall aktiv... !
Eins von den 3 Dingen ist es, denn das ist ein absolutes Standardszenario was in 5 Minuten aufzusetzen ist und einwandfrei funktioniert !!
