2
Windows Server 2008 R2 hinter ISA 2006 - kein Ping und RDP über VPN möglich
Vermutlich ein Problem mit 2008 R2 Firewall und/oder Richtlinien?
Hallo zusammen,
als Langezeitleser dieses Forums, das mir schon viele Problemlösungen beschert hat, möchte ich mich jetzt mit einem Problem an Euch wenden,
auf das ich im Netz über die letzten Tage keine wirkliche Antwort fand.
Folgende Situation:
Ein lokales Netzwerk mit DC, ISA 2006(Gateway), Exchange und 2 Terminalservern soll von außen mit RDP über VPN (PPtP) zugänglich sein.
internes Netz: 192.168.0.xxx / 255.255.255.0
(externes) VPN-Netz: 169.254.12.xxx / 255.255.255.255
Der ISA ist konfiguriert, Traffic von extern in das interne Netz zu lassen - und umgekehrt. Die Regeln umfassen unter anderem ICMP und RDP, Routing
und RAS ist konfiguriert. Die gesamte Konfiguration war und ist erfolgreich im Einsatz; die Server laufen auf Windows Server 2003. Beide Terminalserver
sind VMs auf einem ESXi 4.1. Jeder Server lässt sich nach Herstellen der VPN-Verbindung anpingen und mit RDP ansteuern. Alles läuft wie gewünscht.
Außer dem zweiten TS - der kam kürzlich dazu und läuft mit Windows Server 2008 R2. Kein Ping, kein RDP, nicht für Geld dabei. Im internen Netz ist beides
kein Problem - nur über VPN (von extern). Firewallfunktionen sind auf das Nötigste beschränkt. Zur Klarstellung: der 2008er ist NICHT der ISA, er routet nicht
selbst. Datei- und Druckerfreigabe, Netzwerkerkennung, ICMP und RDP sind in der Windowseigenen Firewall nochmals explizit eingerichtet.
Was mich hier wurmt, ist die Tatsache, dass es aus dem internen Netz einwandfrei klappt, aber nicht über VPN, obwohl doch der ISA die Verbindung
durchstellen sollte. Es gibt ja für den 2008er faktisch kein anderes Netz als das interne.
Sollte jemand einen Hinweis für mich haben, was da faul ist, wäre ich auf ewig dankbar - ich knabbere seit einer Woche an dem Kram herum, für mich leider
noch relatives Neuland, und habe nichts zu speziell dieser Zusammenstellung gefunden. Selbstverständlich nehme ich an, dass die Infos hier eventuell
nicht ausreichen, bin aber für jeden Denkanstoß dankbar, und werde auf Nachfrage sehr gerne Details liefern.
als Langezeitleser dieses Forums, das mir schon viele Problemlösungen beschert hat, möchte ich mich jetzt mit einem Problem an Euch wenden,
auf das ich im Netz über die letzten Tage keine wirkliche Antwort fand.
Folgende Situation:
Ein lokales Netzwerk mit DC, ISA 2006(Gateway), Exchange und 2 Terminalservern soll von außen mit RDP über VPN (PPtP) zugänglich sein.
internes Netz: 192.168.0.xxx / 255.255.255.0
(externes) VPN-Netz: 169.254.12.xxx / 255.255.255.255
Der ISA ist konfiguriert, Traffic von extern in das interne Netz zu lassen - und umgekehrt. Die Regeln umfassen unter anderem ICMP und RDP, Routing
und RAS ist konfiguriert. Die gesamte Konfiguration war und ist erfolgreich im Einsatz; die Server laufen auf Windows Server 2003. Beide Terminalserver
sind VMs auf einem ESXi 4.1. Jeder Server lässt sich nach Herstellen der VPN-Verbindung anpingen und mit RDP ansteuern. Alles läuft wie gewünscht.
Außer dem zweiten TS - der kam kürzlich dazu und läuft mit Windows Server 2008 R2. Kein Ping, kein RDP, nicht für Geld dabei. Im internen Netz ist beides
kein Problem - nur über VPN (von extern). Firewallfunktionen sind auf das Nötigste beschränkt. Zur Klarstellung: der 2008er ist NICHT der ISA, er routet nicht
selbst. Datei- und Druckerfreigabe, Netzwerkerkennung, ICMP und RDP sind in der Windowseigenen Firewall nochmals explizit eingerichtet.
Was mich hier wurmt, ist die Tatsache, dass es aus dem internen Netz einwandfrei klappt, aber nicht über VPN, obwohl doch der ISA die Verbindung
durchstellen sollte. Es gibt ja für den 2008er faktisch kein anderes Netz als das interne.
Sollte jemand einen Hinweis für mich haben, was da faul ist, wäre ich auf ewig dankbar - ich knabbere seit einer Woche an dem Kram herum, für mich leider
noch relatives Neuland, und habe nichts zu speziell dieser Zusammenstellung gefunden. Selbstverständlich nehme ich an, dass die Infos hier eventuell
nicht ausreichen, bin aber für jeden Denkanstoß dankbar, und werde auf Nachfrage sehr gerne Details liefern.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161270
Url: https://administrator.de/contentid/161270
Printed on: April 16, 2024 at 17:04 o'clock
2 Comments
Latest comment
VPN-Netz: 169.254.12.xxx / 255.255.255.255
APIPA IPs sind eigentlich nicht routebar und sollten hier nicht benutzt werden!
Davon ab nimm dir Wireshark und teste ob der Server 2008 erstmal den Traffic empfängt und ob er dann auch antwortet.
EDIT:
Um Himmels Willen, es war tatsächlich einzig und allein eine Frage des VPN-Subnetzes. Sobald ich DHCP deaktiviert hatte, einen festen Adresspool und DNS/WINS definiert hatte,
klappte alles auf Anhieb. Dog, vielen Dank, dass Du mich auf die APIPA-Sache hingewiesen hast, darauf wäre ich so rasch nicht gekommen (weil ja der Rest vorher funktionierte)!
Vielen Dank schonmal für Deine Antwort! Ich komme leider erst jetzt dazu, etwas zu schreiben, da nach Entnahme meiner Weisheitszähne... bah, wen interessiert das.
Die APIPA IPs sind eher ein Relikt der Bequemlichkeit meines Kollegen, der das Netz vor mir betreut hat - ich bekam es quasi auf's Auge gedrückt, und werde zumindest das heute
nach Dienstschluss erledigen. Wobei mich immer noch wundert, dass es ja scheinbar für den Rest der Server funktioniert.
Wireshark ist für mich komplettes Neuland (tolles Tool übrigens!). Allerdings konnte ich der Kurzeinführung entnehmen, dass rot erstmal schlecht ist.
2008 R2 TS: 192.168.0.60
2003 DC2: 192.168.0.50
2003 DC1: 192.168.0.10
Verkehr und Anfragen auf 192.168.0.60 geben scheinbar keine Probleme. Allerdings, sobald 192.168.0.60 auf Anfragen von z.B. 192.168.0.50 oder 192.168.0.10 reagiert, gibt es
Header Checksum [incorrect] Fehler. Das gilt (laut meinem ersten kurzen Capture) für:
IGMP: V3 Membership Report
TPKT Continuation
TCP (49233) > epmap
TCP (49236) > blackjack
SMB
EPM
DCERP
LDAP
Ich sitze momentan noch daran, Hand und Fuß daraus zu machen - vielleicht hat ja jemand eine Idee. Sollte ich ein ganzes Capture posten sollen, nur zu, ich werde es dann hochladen.
Die Pings vom internen Netz gehen alle ohne einen einzigen Fehler durch und werden beantwortet. Der Ping von außen (über VPN) liefert durchgängig dies hier:
169.254.111.213 192.168.0.60 ICMP Echo (ping) request
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Das heißt, dass der 2008er TS mich nicht kennt, und auch keine Antwort auf seinen Broadcast bekommt. Woran kann das liegen? Ich seh mich mal weiter um, danke nochmal!
Um Himmels Willen, es war tatsächlich einzig und allein eine Frage des VPN-Subnetzes. Sobald ich DHCP deaktiviert hatte, einen festen Adresspool und DNS/WINS definiert hatte,
klappte alles auf Anhieb. Dog, vielen Dank, dass Du mich auf die APIPA-Sache hingewiesen hast, darauf wäre ich so rasch nicht gekommen (weil ja der Rest vorher funktionierte)!
Vielen Dank schonmal für Deine Antwort! Ich komme leider erst jetzt dazu, etwas zu schreiben, da nach Entnahme meiner Weisheitszähne... bah, wen interessiert das.
Die APIPA IPs sind eher ein Relikt der Bequemlichkeit meines Kollegen, der das Netz vor mir betreut hat - ich bekam es quasi auf's Auge gedrückt, und werde zumindest das heute
nach Dienstschluss erledigen. Wobei mich immer noch wundert, dass es ja scheinbar für den Rest der Server funktioniert.
Wireshark ist für mich komplettes Neuland (tolles Tool übrigens!). Allerdings konnte ich der Kurzeinführung entnehmen, dass rot erstmal schlecht ist.
2008 R2 TS: 192.168.0.60
2003 DC2: 192.168.0.50
2003 DC1: 192.168.0.10
Verkehr und Anfragen auf 192.168.0.60 geben scheinbar keine Probleme. Allerdings, sobald 192.168.0.60 auf Anfragen von z.B. 192.168.0.50 oder 192.168.0.10 reagiert, gibt es
Header Checksum [incorrect] Fehler. Das gilt (laut meinem ersten kurzen Capture) für:
IGMP: V3 Membership Report
TPKT Continuation
TCP (49233) > epmap
TCP (49236) > blackjack
SMB
EPM
DCERP
LDAP
Ich sitze momentan noch daran, Hand und Fuß daraus zu machen - vielleicht hat ja jemand eine Idee. Sollte ich ein ganzes Capture posten sollen, nur zu, ich werde es dann hochladen.
Die Pings vom internen Netz gehen alle ohne einen einzigen Fehler durch und werden beantwortet. Der Ping von außen (über VPN) liefert durchgängig dies hier:
169.254.111.213 192.168.0.60 ICMP Echo (ping) request
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Vmware_fd:b0:f5 Broadcast ARP Who has 169.254.111.213? Tell 192.168.0.60
Das heißt, dass der 2008er TS mich nicht kennt, und auch keine Antwort auf seinen Broadcast bekommt. Woran kann das liegen? Ich seh mich mal weiter um, danke nochmal!
