6
VPN zwischen drei zyxel zywal 10
Hallo, bei einem Bekannten in der Firma läuft seit jahren ein kleines Firmennetz, was aus einem hauptstandort mit server und client und zwei remotearbeitsplätzen mit jeweils einem client besteht. es sind insgesammt 3 zyxel zywall w10 router im einsatz.
damit jeder versteht wie der laden aufgebaut war, jeder client hat eine vmware player verknüpfung auf seinem desktop. startet er diese vm, so meldet er sich an die firmendomäne an. bei den remote clients ist es genau so. der server ist jedoch schon uralt und diente nur diesem zweck, also als terminalserver. der it-spezialist der das alles administriert und aufgebaut hat is nicht mehr da und daher wurde ich gefragt ob ich mich mal drum kümmern könnte. der bekannte hat sich nun einen windows home server geholt, "bitte nicht weiter nachfragen wieso".
nun soll das vpn weiterhin eingesetzt werden und die freigaben bzw. ordner für die remotemitarbeitern über das vpn zugägnlich gemacht werden.
jetz kommt aber das problem. vom remote rechner kann ich den home server am hauptstandort nicht pingen.
die vpn´s sind wie folgt:
hauptstandort: 192.168.1.xxx
remotearbeit1: 192.168.2.xxx
remotearbeit2: 192.168.3.xxx
der windows home server lässt sich auf dem windows heraus nicht pingen. worauf muss ich achten?nach meinem verständnis für vpn müssen die vpn ip adressen doch in unterschiedlichen subnetzen sein?!?!
ich verstehe nicht warum sich die rechner nicht pingen lassen, obwohl die gateways ja quasi immer miteinander verbunden sind.
ver vmware client kann pingen, und hat auch zugriff, jedoch soll das ja abschaltet werden. kann es sein dass ich die ip adressen von den remote clients ändern muss? bzw. die standardrouten ändern muss?
irgendwo liegt doch da ein denkfehler bei mir. es wurde leider keine doku gemacht.
nun soll das vpn weiterhin eingesetzt werden und die freigaben bzw. ordner für die remotemitarbeitern über das vpn zugägnlich gemacht werden.
jetz kommt aber das problem. vom remote rechner kann ich den home server am hauptstandort nicht pingen.
die vpn´s sind wie folgt:
hauptstandort: 192.168.1.xxx
remotearbeit1: 192.168.2.xxx
remotearbeit2: 192.168.3.xxx
der windows home server lässt sich auf dem windows heraus nicht pingen. worauf muss ich achten?nach meinem verständnis für vpn müssen die vpn ip adressen doch in unterschiedlichen subnetzen sein?!?!
ich verstehe nicht warum sich die rechner nicht pingen lassen, obwohl die gateways ja quasi immer miteinander verbunden sind.
ver vmware client kann pingen, und hat auch zugriff, jedoch soll das ja abschaltet werden. kann es sein dass ich die ip adressen von den remote clients ändern muss? bzw. die standardrouten ändern muss?
irgendwo liegt doch da ein denkfehler bei mir. es wurde leider keine doku gemacht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140363
Url: https://administrator.de/contentid/140363
Printed on: April 26, 2024 at 02:04 o'clock
6 Comments
Latest comment
Dein Problem ist wie immer die lokale Windows Firewall im Server (und wohl auch Client) die du vermutlich, wie fast alle hier bei VPN problemen, nicht angepasst hast ?! 
Diese blockt bekanntlich Pakete aus remoten Netzen und lässt nur Pakete aus dem lokalen LAN zu.
Wenn du nun also von remote aus dem 192.168.3.0 /24er Netz den Server im lokalen 192.168.1.0 /24er Netz anpingst schlägt die Firewall zu !! Logisch....
Gehe also in die erweiterten Eigenschaften der Firewall und erweitere das ICMP Protokoll (Ping) und auch die Datei- und Druckerdienste (und/oder alle anderen Dienste die du remote nutzen willst) um diese Netzwerke oder mit dem Schrotschuss Klick "Alle Computer inklusive Internet".
Dann funktioniert auch das Pingen und der ganze Rest problemlos !!
P.S.: Deine Shift Taste ist defekt !!
Diese blockt bekanntlich Pakete aus remoten Netzen und lässt nur Pakete aus dem lokalen LAN zu.
Wenn du nun also von remote aus dem 192.168.3.0 /24er Netz den Server im lokalen 192.168.1.0 /24er Netz anpingst schlägt die Firewall zu !! Logisch....
Gehe also in die erweiterten Eigenschaften der Firewall und erweitere das ICMP Protokoll (Ping) und auch die Datei- und Druckerdienste (und/oder alle anderen Dienste die du remote nutzen willst) um diese Netzwerke oder mit dem Schrotschuss Klick "Alle Computer inklusive Internet".
Dann funktioniert auch das Pingen und der ganze Rest problemlos !!
P.S.: Deine Shift Taste ist defekt !!
Okay vielen Dank schonmal für deinen Tip. Erkläre mich bitte jetzt nicht für dumm, aber meinst du jetzt die Router-Firewall-Settings oder in der Windows-Firewall?
Also müsste ich beispielsweise im 192.168.1.xxx Netz auch die beiden anderen Subnetze als Ausnahmen hinzufügen und dann sollte auch die Freigabe von Netzlaufwerken etc. klappen?
Also müsste ich beispielsweise im 192.168.1.xxx Netz auch die beiden anderen Subnetze als Ausnahmen hinzufügen und dann sollte auch die Freigabe von Netzlaufwerken etc. klappen?
Lies dir die Antwort bitte genau durch...das steht alles: "...Dein Problem ist wie immer die lokale Windows Firewall im Server..." !!!
Es geht hier NUR um Windows und dessen Firewall, nichts anderes ! Das die Zywalls fürs VPN korrekt konfiguriert sind setzen wir hier mal voraus...!!!
Mit den Routern hat das nichts zu tun, denn die lokalen LAN Interface IP Adressen der Router wirst du ja wohl problemlos pingen können, oder ??
Das zeigt dir dann das dein VPN enerell funktioniert. Wenn nicht, hast du ein Problem im VPN selber und musst erstmal logischerweise hier ansetzen..!!
Es geht hier NUR um Windows und dessen Firewall, nichts anderes ! Das die Zywalls fürs VPN korrekt konfiguriert sind setzen wir hier mal voraus...!!!
Mit den Routern hat das nichts zu tun, denn die lokalen LAN Interface IP Adressen der Router wirst du ja wohl problemlos pingen können, oder ??
Das zeigt dir dann das dein VPN enerell funktioniert. Wenn nicht, hast du ein Problem im VPN selber und musst erstmal logischerweise hier ansetzen..!!
Okay Danke für die Antworten. Werde heute nochmal zu der Firma fahren und das alles testen.
Vielen Dank!
Vielen Dank!
So also das Pingen funktionert perfekt. Die Router können sich untereinander pingen und auch die Clients lassen sich anpingen. Das VPN steht!
Ich hab es auch so eingerichtet, dass ich per Remotedesktop den Server konfigurieren kann. Ein Problem gibt es allerdings, manchmal ist die Dyndns vom Router im Servernetz einfach nicht mehr erreichbar, tritt dies ein, dann ist natürlich auch keine Remotedesktop möglich, das macht mich etwas stutzig.
Trotzdem vielen Dank für die Tips aqui!!!!
Ich hab es auch so eingerichtet, dass ich per Remotedesktop den Server konfigurieren kann. Ein Problem gibt es allerdings, manchmal ist die Dyndns vom Router im Servernetz einfach nicht mehr erreichbar, tritt dies ein, dann ist natürlich auch keine Remotedesktop möglich, das macht mich etwas stutzig.
Trotzdem vielen Dank für die Tips aqui!!!!
Die DynDNS kannst du nur von außen erreichen, den der Agent sollte immer nur auf dem Router laufen der das Interface zum provider hat.
Die meisten Router supporten kein Hairpin NAT, deshalb ist das verhalten mehr oder weniger normal...
Die meisten Router supporten kein Hairpin NAT, deshalb ist das verhalten mehr oder weniger normal...
