robythehood
Goto Top

Windows Server Routing und Ras VPN mit IPSec - VPN Clients per Ping nicht erreichbar

Hallo zusammen,
und wieder eine Anfrage,

ich setze einen Routing und Ras VPN auf IPSec, Windows Server 2012r2.

Interne LAN Adress Bereich xxx.xxx.50.0/24
Bereich für VPN Clients xxx.xxx.11.64/26 (11.65 bis 11.126 benutzbar - 64 bis 127 in Container)
VPN Routing und Ras Server auf xxx.xxx.50.185 Konfiguriert auf Ethernet2.
Ethernet 1 ist noch nicht verkabelt, wird aber gemacht mit xxx.xxx.11.64/26 konfiguriert, sobald die COVID-19 Krise vorbei ist (Home Office Arbeit)
inzwischen läuft alles auf Ethernet2
Dazwischen ein Firewall, Regeln angepasst FÜR IPSec L2PT, xxx.xxx.50.0/24 mit xxx.xxx.11.64/26 und umgekehrter Trafik weitergeleitet.
Soweit so gut alles funktioniert, VPN Clients xxx.xxx.11.64/26 können Sie sich per VPN IPSec an Domäne anmelden, Netzordner, Netzdrucker usw. benutzen wie gewohnt.
VPN Clients auf xxx.xxx.11.64/26 können Einwandfrei PCs oder Servern anpingen, nur von xxx.xxx.50.0/24 auf xxx.xxx.11.64/26 wird's nicht.
Routing und Ras Server kann in beiden Richtungen pingen.
Windows Firewall geprüft, auch ausgeschaltet, Externe Firewall sogar mit ICMP freigeschaltet, brachte keine Hilfe.
Ping ist wichtig um Programme per Remote zu installieren., sonst wird nicht

hat jemand Erfahrung damit? wo ist der Fehler?
Für jeder Hilfe wäre ich sehr Dankbar sein... face-smile

Danke im Voraus


MfG

Content-ID: 563733

Url: https://administrator.de/contentid/563733

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

NordicMike
NordicMike 08.04.2020 um 11:09:26 Uhr
Goto Top
Kannst Du das mal entschlüsseln?

VPN Clients auf xxx.xxx.11.64/26 können Einwandfrei PCs oder Servern anpingen, nur von xxx.xxx.50.0/24 wird's nicht.

Wer kann nicht wohin pingen?
RobyTheHood
RobyTheHood 08.04.2020, aktualisiert am 16.04.2020 um 13:46:42 Uhr
Goto Top
Bereich für VPN Clients xxx.xxx.11.64/26 (xxx.xxx.11.65 bis xxx.xxx.11.126 nutzbar - 64 bis 127 in Container).

LAn xxx.xxx.50.0/24 (Also von xxx.xxx.50.1 bis xxx.xxx.50.254 kann nicht auf Bereich xxx.xxx.11.64/26 pingen, nur von Server mit Routing und Ras xxx.xxx.50.185 kann auf beiden pingen.
NordicMike
NordicMike 08.04.2020 um 11:26:02 Uhr
Goto Top
Mach mal einen Trace vom xxx.xxx.50.x Richtung xxx.xxx.11.64 und schau wo es nicht weiter geht.
Und wenn dieser durch geht, mach einen Trace zurück, evtl fehlt ja auch die Rückroute zum xxx.xxx.50.x
RobyTheHood
RobyTheHood 08.04.2020, aktualisiert am 16.04.2020 um 13:44:05 Uhr
Goto Top
also ich habe auf einen PC am xxx.xxx.50.0/24 ausprobiert
Tracert xxx.xxx.11.100 (Laptop läuft gerade mit VPN)
Routenverfolgung zu xxx.xxx.11.100 über maximal 30 Hops
1 <1 MS <1 MS <1 MS xxx.xxx.50.253
2 <1 MS <1 MS <1 MS ServerName.domain.de [xxx.xxx.50.185]
3 bis 30 Zeitüberschreitung der Anforderung

von VPN Client
Tracert xxx.xxx.50.100
Routenverfolgung zu PCName.domain.de [xxx.xxx.50.100] über maximal 30 Hops
1 <26 MS * <26 MS ServerName [xxx.xxx.11.65]
2 * * * Zeitüberschreitung der Anforderung
3 <27 MS <27 MS <27 MS PCName.domain.de [xxx.xxx.50.100]
4 bis 30 wird nicht angezeigt


was ich noch vergessen habe, IP Bereich xxx.xxx.11.64/26 ist eine AdressPool und würde von unsere Rechenzentrum zugewiesen.
DNS Reverselookupzone xxx.xxx.11.64/26 ist auf DC DNS Server (xxx.xxx.50.183) nicht eingetragen.
RobyTheHood
RobyTheHood 18.04.2020 aktualisiert um 08:34:39 Uhr
Goto Top
Eine DNS Reverselookupzone xxx.xxx.11.64/26 hab ich auf DC DNS Server xxx.xxx.50.183 eingerichtet, auf VPN Clients in VPN Einstellung DNS xxx.xxx.50.183 und zusätzlich DNS Suffix angehakt, Verbindung steht ganz gut, wird in DNS Reverselookupzone der VPN Client eingetragen.
trotzdem ich kann immer noch nicht ein VPN Client anpingen.
Wie gesagt, nur von VPN Server xxx.xxx.50.185 mit xxx.xxx.11.65 ich kann in beiden Richtungen 50.0/24 und 11.64/26 pingen.
noch eine kleine Hilfe?
Danke im Voraus