Windows site-to-site VPN nur einseitig erreichbar
Hallo zusammen,
ich habe ein Problem, welches mich schon einige Wochen beschäftigt.
Und zwar geht es um eine Windows site-to-site VPN Verbindung die nur einseitig die Netzwerkkommunikation zwischen den VPN Servern ermöglicht.
Ausgangssituation:
Standort 1:
Windows 2008 R2 (DC1, DNS, DHCP, RRAS)
Windows 2008 (DC 2)
Internet via VDSL und FritzBox (aktivierte Kindersicherung, Server sind uneingeschränkt für das Internet freigegeben.)
Standort 2:
ein Windows 2012 R2 (DC 3, DNS, DHCP, RRAS)
Internet via LTE und FritzBox (ohne Kindersicherung)
Die Routen in die jeweiligen Netze sind vorhanden, Standorte sind öffentlich per IPv4 Adresse erreichbar.
Die VPN Verbindung wird erfolgreich aufgebaut und kann von beiden Standorten aus von den Clients uneingeschränkt benutzt werden.
Das Problem ist die Server Kommunikation selbst.
Wenn ich von dem DC1 einen ping zum DC3 sende, wird dieser sofort beantwortet. per nslookup wird der Servername korrekt aufgelöst.
Anders herum klappt die Kommunikation nicht. Der DC3 bekommt keine Antwort vom ping und der DNS Server des DC3 löst den DC1 Namen nicht auf. (Es erscheint ein DNS request time out, reverse lookup vorhanden)
Die DC Replikation klappt nicht vom DC1 zum DC3, jedoch vom DC2 zum DC3.
Die Clients im Standort 1 bekommen ping Antworten vom Standort 2, und umgekehrt genauso.
Für mich sieht es nach einem Routing Problem aus, konnte aber keine Lösung bislang finden.
Ich hoffe mir kann jemand weiterhelfen.
LG Chris
ich habe ein Problem, welches mich schon einige Wochen beschäftigt.
Und zwar geht es um eine Windows site-to-site VPN Verbindung die nur einseitig die Netzwerkkommunikation zwischen den VPN Servern ermöglicht.
Ausgangssituation:
Standort 1:
Windows 2008 R2 (DC1, DNS, DHCP, RRAS)
Windows 2008 (DC 2)
Internet via VDSL und FritzBox (aktivierte Kindersicherung, Server sind uneingeschränkt für das Internet freigegeben.)
Standort 2:
ein Windows 2012 R2 (DC 3, DNS, DHCP, RRAS)
Internet via LTE und FritzBox (ohne Kindersicherung)
Die Routen in die jeweiligen Netze sind vorhanden, Standorte sind öffentlich per IPv4 Adresse erreichbar.
Die VPN Verbindung wird erfolgreich aufgebaut und kann von beiden Standorten aus von den Clients uneingeschränkt benutzt werden.
Das Problem ist die Server Kommunikation selbst.
Wenn ich von dem DC1 einen ping zum DC3 sende, wird dieser sofort beantwortet. per nslookup wird der Servername korrekt aufgelöst.
Anders herum klappt die Kommunikation nicht. Der DC3 bekommt keine Antwort vom ping und der DNS Server des DC3 löst den DC1 Namen nicht auf. (Es erscheint ein DNS request time out, reverse lookup vorhanden)
Die DC Replikation klappt nicht vom DC1 zum DC3, jedoch vom DC2 zum DC3.
Die Clients im Standort 1 bekommen ping Antworten vom Standort 2, und umgekehrt genauso.
Für mich sieht es nach einem Routing Problem aus, konnte aber keine Lösung bislang finden.
Ich hoffe mir kann jemand weiterhelfen.
LG Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280479
Url: https://administrator.de/forum/windows-site-to-site-vpn-nur-einseitig-erreichbar-280479.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
wenn die Clients untereinander pingen können wie sie wollen und die Verbindung auch steht, warum soll es ein routingproblem sein?
Hat der DC03 auch das gleiche Gateway wie die Clients? (Kann DC3 die Clients von DC1 erreichen?)
Sind die beiden Standorte auch mit den IP-Netzen in Standorte aufgeteilt?
Was sagt Pathping/tracert in beide Richtungen?
Ich vermute mal der DC01 kann das IP-Netz von DC3 nicht leiden und blockt.
Können die Clients vom DC3 Netz denn den DC01 anpingen und so?
Wenn die Clietns alles können gibt es dafür evtl eine Firewall GPO die auf die DC nicht angewendet wird (und auch nicht sollte, di esollten ihre eigene Bekommen)
Gruß
Chonta
wenn die Clients untereinander pingen können wie sie wollen und die Verbindung auch steht, warum soll es ein routingproblem sein?
Hat der DC03 auch das gleiche Gateway wie die Clients? (Kann DC3 die Clients von DC1 erreichen?)
Sind die beiden Standorte auch mit den IP-Netzen in Standorte aufgeteilt?
Was sagt Pathping/tracert in beide Richtungen?
Ich vermute mal der DC01 kann das IP-Netz von DC3 nicht leiden und blockt.
Können die Clients vom DC3 Netz denn den DC01 anpingen und so?
Wenn die Clietns alles können gibt es dafür evtl eine Firewall GPO die auf die DC nicht angewendet wird (und auch nicht sollte, di esollten ihre eigene Bekommen)
Gruß
Chonta
Hallo,
Machen die beiden Server das VPN selber über Routing und RAS?
Die Server machen aber kein Nat oder sowas?
Zumindest das VPN-Gateway muss auftauchen. Was ist das überhaupt für ein VPN? Gerutet, Gebridget, eigenes VPN-Netz?
Sollten aber bald.
Gruß
Chonta
Oder meinst Du die Clients können aus dem DC3 netz zwar pingen aber kein nslookup?
Wenn Ping von DC3 nach DC1 geht, kann es kein Routingproblem sein, zumal der DC3 ja alle Clients durchs VPN routet...?
Die beiden Standort haben unterschiedliche IP-Netze sind im AD aber nicht als eigenständige Standort eingetragen.
Sind die Netze denn wenigstens dem selben zugeordnet?Der DC03 ist als Gateway für die Clients eingetragen und leitet auf die FritzBox um.
Bitte wie meinen?Machen die beiden Server das VPN selber über Routing und RAS?
Die Server machen aber kein Nat oder sowas?
von DC03 zu DC01 gibt es kein ziel.
Bis wohnin gehts denn?Zumindest das VPN-Gateway muss auftauchen. Was ist das überhaupt für ein VPN? Gerutet, Gebridget, eigenes VPN-Netz?
anpingen klappt ohne Probleme per IP, die Namensauflösung hingegen klappt nicht.
Ich denke Ping geht auch noch von DC1 nach DC3 abe rnicht von DC3 nach DC1..?GPO Richtlinien sind keine vorhanden.
Sollten aber bald.
Die Firewalls wurden auch zum Testen deaktiviert.
Hab ich auchmal versucht, aber die Firewall hat reotzdem geblockt bis ich die richtige Regel hatte.Gruß
Chonta
Oder meinst Du die Clients können aus dem DC3 netz zwar pingen aber kein nslookup?
Wenn Ping von DC3 nach DC1 geht, kann es kein Routingproblem sein, zumal der DC3 ja alle Clients durchs VPN routet...?
Hallo,
PPTP sollte übrigens nicht mehr verwendet werden.
Man kann so ein VPN so einrichten das dann zwangsweise der Gesammte Trafik durch den Tunnel geht und das wäre blöd.
Ist das VPN-Netz ein eigenes Netz über das die Server in ihre eigenen Netze dann routen? Stimmen die Routen?
Kann der DC3 die Clienst mit tracert erreichen?
Können die Clients von DC3 die Clients von DC1 mit tracert erreichen und umgekehrt?
Zeigt DC3 mit route print dirichtigen Routen an?
Gruß
Chonta
Die Server nutzen Routing und RAS um eine zweiseitige VPN Verbindung per PPTP aufzubauen.
Mehr infos bitte. wie das VPN eingerichtet ist.PPTP sollte übrigens nicht mehr verwendet werden.
Man kann so ein VPN so einrichten das dann zwangsweise der Gesammte Trafik durch den Tunnel geht und das wäre blöd.
Ist das VPN-Netz ein eigenes Netz über das die Server in ihre eigenen Netze dann routen? Stimmen die Routen?
Kann der DC3 die Clienst mit tracert erreichen?
Können die Clients von DC3 die Clients von DC1 mit tracert erreichen und umgekehrt?
Zeigt DC3 mit route print dirichtigen Routen an?
Gruß
Chonta