VPN Zugriff auf Netzlaufwerke aus anderem IP Bereich geht nicht
Habe folgendes Problem.
Die VPN Clients mit den Adressen 192.168.10.x sollen auf Freigaben und exchangeserver in einem 192.168.100.x Netz zugreifen.
Die VPN Clients haben einen anderen Adressbereich, weil das VPN Gateway nicht das Standardgateway ist. Deshalb wurde auf den Servern eine statische route für den Weg der pakete zurück in den tunnel gesetzt.
per ping kann ich auch die Server erreichen nur bei dem zugriff auf Freigaben poppt das anmeldefenster für den Benutzer auf. auch die computer in der Netzwerkumgebung werden nicht angezeigt.
Muss ich irgendwo auf den servern das andere Netz 192.168.10.x bekanntgeben das es wie das eigene behandelt wird?
oder liegt das Problem woanders?
Alle server sind 2003er und die Clients XP. Der VPN Tunnel ist einer mit IPSec Verschlüsselung.
Für Tipps bin ich dankbar
Gruß
joe
Die VPN Clients mit den Adressen 192.168.10.x sollen auf Freigaben und exchangeserver in einem 192.168.100.x Netz zugreifen.
Die VPN Clients haben einen anderen Adressbereich, weil das VPN Gateway nicht das Standardgateway ist. Deshalb wurde auf den Servern eine statische route für den Weg der pakete zurück in den tunnel gesetzt.
per ping kann ich auch die Server erreichen nur bei dem zugriff auf Freigaben poppt das anmeldefenster für den Benutzer auf. auch die computer in der Netzwerkumgebung werden nicht angezeigt.
Muss ich irgendwo auf den servern das andere Netz 192.168.10.x bekanntgeben das es wie das eigene behandelt wird?
oder liegt das Problem woanders?
Alle server sind 2003er und die Clients XP. Der VPN Tunnel ist einer mit IPSec Verschlüsselung.
Für Tipps bin ich dankbar
Gruß
joe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 54626
Url: https://administrator.de/forum/vpn-zugriff-auf-netzlaufwerke-aus-anderem-ip-bereich-geht-nicht-54626.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
10 Kommentare
Neuester Kommentar
Tach auch,
Die VPN Clients müssen einen anderen Adressbereich haben, weil sonst VPN nicht funktioniert.
VPN beruht auf Routing was im selben Adressbereich nicht möglich ist.
Die verschiedenen Netze deshalb, weil VPN dadurch erkennt, ob er Pakete durch den Tunnel schicken muß, um einen Client
zu erreichen oder das StandartGW nutzen kann.
per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.
Das könnte auf ein Problem mit den MTU-Werten im Tunnel sein.
Fragmentierte Pakete (bedingt durch den MTU) werden per IPSec als ungültig erklärt
wenn sie nach dem VPN-GW aufgeteilt wurden (z.B. durch einen weiteren Router).
Der Ping ist sozusagen "Klein" und muß nicht unbedingt fragmentiert werden.
Pakete die große Nutzdaten haben, könnten fragmentiert werden.
Kann auch vom MTU her kommen
Setz Testweise den MTU der VPN-GWs herrunter
Habs hiermit versucht.
Gruß
joe
CU,
TBW
Die VPN Clients haben einen anderen
Adressbereich, weil das VPN Gateway nicht das
Standardgateway ist.
Adressbereich, weil das VPN Gateway nicht das
Standardgateway ist.
Die VPN Clients müssen einen anderen Adressbereich haben, weil sonst VPN nicht funktioniert.
VPN beruht auf Routing was im selben Adressbereich nicht möglich ist.
Die verschiedenen Netze deshalb, weil VPN dadurch erkennt, ob er Pakete durch den Tunnel schicken muß, um einen Client
zu erreichen oder das StandartGW nutzen kann.
per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.
Das könnte auf ein Problem mit den MTU-Werten im Tunnel sein.
Fragmentierte Pakete (bedingt durch den MTU) werden per IPSec als ungültig erklärt
wenn sie nach dem VPN-GW aufgeteilt wurden (z.B. durch einen weiteren Router).
Der Ping ist sozusagen "Klein" und muß nicht unbedingt fragmentiert werden.
Pakete die große Nutzdaten haben, könnten fragmentiert werden.
auch die computer in der Netzwerkumgebung
werden nicht angezeigt.
werden nicht angezeigt.
Kann auch vom MTU her kommen
Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?
oder liegt das Problem woanders?
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?
oder liegt das Problem woanders?
Setz Testweise den MTU der VPN-GWs herrunter
Für Tipps bin ich dankbar
Habs hiermit versucht.
Gruß
joe
CU,
TBW
per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.
Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?
oder liegt das Problem woanders?
Alle server sind 2003er und die Clients XP.
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.
Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?
oder liegt das Problem woanders?
Alle server sind 2003er und die Clients XP.
Hi Joe,
also wenn der PING geht, steht ja die Verbindung zum Server in beide Richtungen. Das ist gut so.
Die Sache mit den Freigaben läuft normalerweise nicht über IP, sondern NetBIOS, oder gar NetBIOSoverTCP/IP.
auch die computer in der Netzwerkumgebung
werden nicht angezeigt.
Das ist eindeutig ein NetBIOS-Problem, da diese Informatione nicht geroutet werden.werden nicht angezeigt.
Da eine Benutzerabfrage auftaucht, ist aber auch das nicht das Problem.
Die Sache ist sicherlich so, dass die Clients in einer anderen Windows- und somit BenutzerDomäne stecken als die Server.
Der Server sollte aber doch anhand des Benutzernamens des VPN Clients erkennen, dass er schon das @domänname.local besitzt. Lokal muss ich es ja auch nicht angeben.
Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.
Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.
Das wäre mir neu, dass das automatisch geht !
Melden sich die Clients am Server mit der Client-Domäne oder der Server-Domäne an ?
Vermutlich mit der Client-Domäne, deshalb die Rückfrage vom Server !!!
Lösungsansatz1: Welche Berechtigungen sind den auf der
a) Freigabe
b) NTFS
gesetzt ?
Lösungsansatz2:
Die Server-Domäne benötigt eine VERTAUENSSTELLUNG zur Client-Domäne, d.h. die Server-domäne muss der Client-Domäne vertrauen. Somit sind alle Clients VERTAUENSWÜRDIG. Berechtigungen auf Freigabe- und NTFS-Ebene vorausgesetzt, sollte kein zusätzlicher Login mehr notwendig sein.
Gruss
Frank