3
VPN-Verbindung - DNS Probleme
Folgende Konstellation:
2003 Small Business Server -> AD, Exchange, DNS, DCHP -> IP *.*.*.201
Netscreen ns5xp Firewall -> In der Firewall ist eingestellt, dass eine VPN-Verbindung auf unseren internen "Gateway" mit der IP *.*.*.206 weitergeleitet wird
Interner Gateway -> IP *.*.*.206 -> hat als alternativen DNS unseren SMB2003 (IP *.*.*.201) eingetragen
Netscreen VPN-Client-Software -> Für die Verbindung externer Rechner mittels VPN im Firmennetzwerk
Nun bekomme ich die VPN-Verbindung zwar hin, kann dann aber ausschliesslich mit dem Gateway (IP 206) kommunizieren - bräuchte aber die Netzlaufwerke von der IP 201, Exchange von IP 201 usw.
Wieso funktioniert das nicht mit der Einstellung, das die Firewall VPN's zwar auf 206 weiterleitet, 206 aber als DNS Server den 201er eingetragen hat?
2003 Small Business Server -> AD, Exchange, DNS, DCHP -> IP *.*.*.201
Netscreen ns5xp Firewall -> In der Firewall ist eingestellt, dass eine VPN-Verbindung auf unseren internen "Gateway" mit der IP *.*.*.206 weitergeleitet wird
Interner Gateway -> IP *.*.*.206 -> hat als alternativen DNS unseren SMB2003 (IP *.*.*.201) eingetragen
Netscreen VPN-Client-Software -> Für die Verbindung externer Rechner mittels VPN im Firmennetzwerk
Nun bekomme ich die VPN-Verbindung zwar hin, kann dann aber ausschliesslich mit dem Gateway (IP 206) kommunizieren - bräuchte aber die Netzlaufwerke von der IP 201, Exchange von IP 201 usw.
Wieso funktioniert das nicht mit der Einstellung, das die Firewall VPN's zwar auf 206 weiterleitet, 206 aber als DNS Server den 201er eingetragen hat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114458
Url: https://administrator.de/contentid/114458
Printed on: May 4, 2024 at 07:05 o'clock
3 Comments
Latest comment
Welchen DNS Server die Firewall die als VPN Server arbeitet hat ist doch völlig irrelevant !!!
Wichtig ist was der Client für einen DNS Server bekommen hat oder nutzt denn DER muss ja wohl Namen und Ressourcen auflösen für die Netzlaufwerke, Exchange usw. und nicht die FW selber, denn die macht ja keine Verbindungen dahin auf, oder ??
Kann es sein das du hier was verwechselst ???
Check also mit ipconfig -all was der VPN Client für einen DNS verwendet oder trag ihm den Server in die Datei lmhosts statisch ein !!!
Die Datei findest du unter c:\windows\system32\drivers\etc\ und sie ist selbsterklärend wenn du sie editierst !!
Mit Start -> Ausführen -> \\<ip_adr.201> kannst du auch immer eine Verbindung auf den Server erzwingen !!
Wichtig ist was der Client für einen DNS Server bekommen hat oder nutzt denn DER muss ja wohl Namen und Ressourcen auflösen für die Netzlaufwerke, Exchange usw. und nicht die FW selber, denn die macht ja keine Verbindungen dahin auf, oder ??
Kann es sein das du hier was verwechselst ???
Check also mit ipconfig -all was der VPN Client für einen DNS verwendet oder trag ihm den Server in die Datei lmhosts statisch ein !!!
Die Datei findest du unter c:\windows\system32\drivers\etc\ und sie ist selbsterklärend wenn du sie editierst !!
Mit Start -> Ausführen -> \\<ip_adr.201> kannst du auch immer eine Verbindung auf den Server erzwingen !!
hallo aqui
ja das mit DNS in der FW war wohl ein missverständnis - so war's nicht gemeint. gemeint war es folgendermaßen:
-> Externer Client geht mit dem Netscreen-Remote per VPN in die Firma
-> Kommt da aber nicht direkt auf den SMB2003er (IP 201) sondern auf eine Art vorgeschaltener Server (IP 206)
-> Nach erfolgter VPN-Verbindung kann ich also auf 206 zugreifen - alles tadellos - Nur auf den 201er komme ich nicht (weder ping der ip, noch ping des hostnamen usw)
Meine Frage bzgl. DNS war also, wieso das ganze nicht funktioniert, obwohl ich am 206er unter DNS den 201er angegeben hab (dieser ist ja DNS-Server)
Bzw. wieso ich nicht mal den 201er direkt über die IP pingen kann!?
Nach erfolgter VPN-Verbindung, wo ich den 206er sehe, sehe ich unter ipconfig /all keine zusätzliche IP-Adresse oder DNS-Server die ich von der VPN-Verbindung zugeteilt bekomme!?
ja das mit DNS in der FW war wohl ein missverständnis - so war's nicht gemeint. gemeint war es folgendermaßen:
-> Externer Client geht mit dem Netscreen-Remote per VPN in die Firma
-> Kommt da aber nicht direkt auf den SMB2003er (IP 201) sondern auf eine Art vorgeschaltener Server (IP 206)
-> Nach erfolgter VPN-Verbindung kann ich also auf 206 zugreifen - alles tadellos - Nur auf den 201er komme ich nicht (weder ping der ip, noch ping des hostnamen usw)
Meine Frage bzgl. DNS war also, wieso das ganze nicht funktioniert, obwohl ich am 206er unter DNS den 201er angegeben hab (dieser ist ja DNS-Server)
Bzw. wieso ich nicht mal den 201er direkt über die IP pingen kann!?
Nach erfolgter VPN-Verbindung, wo ich den 206er sehe, sehe ich unter ipconfig /all keine zusätzliche IP-Adresse oder DNS-Server die ich von der VPN-Verbindung zugeteilt bekomme!?
Wenn du den .201er Server IP Adresseitig nicht pingen kannst ist das vermutlich die Firewall des Servers die dich blockt, denn du kommst ja aus einem externen Netz und wenn die Firewall nicht angepasst ist blockt die sämtlichen Traffic.
Damit hast du dann keinerlei Chancen den server zu erreichen.
Der fehlerhafte Ping kann zusätzlich noch die Ursache haben, das ICMP Echo reply Pakete in der Firewall deaktiviert sind.
Dort musst du unter den erweiterten Eigenschaften diesen Haken setzen !!
Das sind Grundvoraussetzungen damit der Zugriff auf den .206er Server klappen. Vermutlich erfüllst du eine oder beide dieser Voraustzungen eben nicht !!
Wenn du ipconfig -all eingibst siehst du folgendes:
Ethernetadapter Network Connect Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Juniper Network Connect Virtual Adapter
Physikalische Adresse . . . . . . : CC-BB-FF-22-11-99
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : x.y.z.x
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : a.z.y.x
DNS-Server. . . . . . . . . . . . : x.x.x.x y.y.y.y
Lease erhalten. . . . . . . . . . : xyz
Lease läuft ab. . . . . . . . . . : xyz
Dort siehst du alle vom Netscreen übermittelten daten mit denen dann dein VPN Client arbeitet !!!
Das MUSST du sehen !! Wenn nicht stimmt grundsätzlich was an deiner VPN Konfig nicht, aber vermutlich hast du wohl einfach nur nicht richtig hingesehen ??!!
Damit hast du dann keinerlei Chancen den server zu erreichen.
Der fehlerhafte Ping kann zusätzlich noch die Ursache haben, das ICMP Echo reply Pakete in der Firewall deaktiviert sind.
Dort musst du unter den erweiterten Eigenschaften diesen Haken setzen !!
Das sind Grundvoraussetzungen damit der Zugriff auf den .206er Server klappen. Vermutlich erfüllst du eine oder beide dieser Voraustzungen eben nicht !!
Wenn du ipconfig -all eingibst siehst du folgendes:
Ethernetadapter Network Connect Adapter:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Juniper Network Connect Virtual Adapter
Physikalische Adresse . . . . . . : CC-BB-FF-22-11-99
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : x.y.z.x
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : a.z.y.x
DNS-Server. . . . . . . . . . . . : x.x.x.x y.y.y.y
Lease erhalten. . . . . . . . . . : xyz
Lease läuft ab. . . . . . . . . . : xyz
Dort siehst du alle vom Netscreen übermittelten daten mit denen dann dein VPN Client arbeitet !!!
Das MUSST du sehen !! Wenn nicht stimmt grundsätzlich was an deiner VPN Konfig nicht, aber vermutlich hast du wohl einfach nur nicht richtig hingesehen ??!!
