chris-fi
Goto Top

Windows site-to-site VPN nur einseitig erreichbar

Hallo zusammen,

ich habe ein Problem, welches mich schon einige Wochen beschäftigt.
Und zwar geht es um eine Windows site-to-site VPN Verbindung die nur einseitig die Netzwerkkommunikation zwischen den VPN Servern ermöglicht.

Ausgangssituation:

Standort 1:
Windows 2008 R2 (DC1, DNS, DHCP, RRAS)
Windows 2008 (DC 2)
Internet via VDSL und FritzBox (aktivierte Kindersicherung, Server sind uneingeschränkt für das Internet freigegeben.)

Standort 2:
ein Windows 2012 R2 (DC 3, DNS, DHCP, RRAS)
Internet via LTE und FritzBox (ohne Kindersicherung)

Die Routen in die jeweiligen Netze sind vorhanden, Standorte sind öffentlich per IPv4 Adresse erreichbar.
Die VPN Verbindung wird erfolgreich aufgebaut und kann von beiden Standorten aus von den Clients uneingeschränkt benutzt werden.

Das Problem ist die Server Kommunikation selbst.

Wenn ich von dem DC1 einen ping zum DC3 sende, wird dieser sofort beantwortet. per nslookup wird der Servername korrekt aufgelöst.
Anders herum klappt die Kommunikation nicht. Der DC3 bekommt keine Antwort vom ping und der DNS Server des DC3 löst den DC1 Namen nicht auf. (Es erscheint ein DNS request time out, reverse lookup vorhanden)
Die DC Replikation klappt nicht vom DC1 zum DC3, jedoch vom DC2 zum DC3.

Die Clients im Standort 1 bekommen ping Antworten vom Standort 2, und umgekehrt genauso.

Für mich sieht es nach einem Routing Problem aus, konnte aber keine Lösung bislang finden.

Ich hoffe mir kann jemand weiterhelfen.

LG Chris

Content-ID: 280479

Url: https://administrator.de/forum/windows-site-to-site-vpn-nur-einseitig-erreichbar-280479.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Chonta
Chonta 18.08.2015 aktualisiert um 10:19:15 Uhr
Goto Top
Hallo,

wenn die Clients untereinander pingen können wie sie wollen und die Verbindung auch steht, warum soll es ein routingproblem sein?

Hat der DC03 auch das gleiche Gateway wie die Clients? (Kann DC3 die Clients von DC1 erreichen?)
Sind die beiden Standorte auch mit den IP-Netzen in Standorte aufgeteilt?
Was sagt Pathping/tracert in beide Richtungen?
Ich vermute mal der DC01 kann das IP-Netz von DC3 nicht leiden und blockt.
Können die Clients vom DC3 Netz denn den DC01 anpingen und so?
Wenn die Clietns alles können gibt es dafür evtl eine Firewall GPO die auf die DC nicht angewendet wird (und auch nicht sollte, di esollten ihre eigene Bekommen)

Gruß

Chonta
Chris-Fi
Chris-Fi 18.08.2015 um 11:15:41 Uhr
Goto Top
Hallo Chonta,

Hat der DC03 auch das gleiche Gateway wie die Clients? (Kann DC3 die Clients von DC1 erreichen?)
Der DC03 ist als Gateway für die Clients eingetragen und leitet auf die FritzBox um.

Sind die beiden Standorte auch mit den IP-Netzen in Standorte aufgeteilt?
Die beiden Standort haben unterschiedliche IP-Netze sind im AD aber nicht als eigenständige Standort eingetragen.

Was sagt Pathping/tracert in beide Richtungen?
tracert klappt von DC01 zu DC03 ohne Probleme.
von DC03 zu DC01 gibt es kein ziel.

Ich vermute mal der DC01 kann das IP-Netz von DC3 nicht leiden und blockt.
Können die Clients vom DC3 Netz denn den DC01 anpingen und so?
anpingen klappt ohne Probleme per IP, die Namensauflösung hingegen klappt nicht.

Wenn die Clietns alles können gibt es dafür evtl eine Firewall GPO die auf die DC nicht angewendet wird (und auch nicht
sollte, di esollten ihre eigene Bekommen)
GPO Richtlinien sind keine vorhanden.
Die Firewalls wurden auch zum Testen deaktiviert.

Gruß
Chris
Chonta
Chonta 18.08.2015 um 11:32:03 Uhr
Goto Top
Hallo,

Die beiden Standort haben unterschiedliche IP-Netze sind im AD aber nicht als eigenständige Standort eingetragen.
Sind die Netze denn wenigstens dem selben zugeordnet?

Der DC03 ist als Gateway für die Clients eingetragen und leitet auf die FritzBox um.
Bitte wie meinen?
Machen die beiden Server das VPN selber über Routing und RAS?
Die Server machen aber kein Nat oder sowas?

von DC03 zu DC01 gibt es kein ziel.
Bis wohnin gehts denn?
Zumindest das VPN-Gateway muss auftauchen. Was ist das überhaupt für ein VPN? Gerutet, Gebridget, eigenes VPN-Netz?

anpingen klappt ohne Probleme per IP, die Namensauflösung hingegen klappt nicht.
Ich denke Ping geht auch noch von DC1 nach DC3 abe rnicht von DC3 nach DC1..?

GPO Richtlinien sind keine vorhanden.

Sollten aber bald.

Die Firewalls wurden auch zum Testen deaktiviert.
Hab ich auchmal versucht, aber die Firewall hat reotzdem geblockt bis ich die richtige Regel hatte.

Gruß

Chonta
Oder meinst Du die Clients können aus dem DC3 netz zwar pingen aber kein nslookup?
Wenn Ping von DC3 nach DC1 geht, kann es kein Routingproblem sein, zumal der DC3 ja alle Clients durchs VPN routet...?
Chris-Fi
Chris-Fi 18.08.2015 um 11:55:49 Uhr
Goto Top
Hallo,

> Die beiden Standort haben unterschiedliche IP-Netze sind im AD aber nicht als eigenständige Standort eingetragen.
Sind die Netze denn wenigstens dem selben zugeordnet?
Bin mir gerade nicht wirklich sicher wo das eingetragen werden muss.

Machen die beiden Server das VPN selber über Routing und RAS?
Die Server machen aber kein Nat oder sowas?
Die Server nutzen Routing und RAS um eine zweiseitige VPN Verbindung per PPTP aufzubauen.
NAT ist nicht eingerichtet.

> von DC03 zu DC01 gibt es kein ziel.
Bis wohnin gehts denn?
Zumindest das VPN-Gateway muss auftauchen. Was ist das überhaupt für ein VPN? Gerutet, Gebridget, eigenes VPN-Netz?


> anpingen klappt ohne Probleme per IP, die Namensauflösung hingegen klappt nicht.
Ich denke Ping geht auch noch von DC1 nach DC3 abe rnicht von DC3 nach DC1..?
Die Ping Probleme bestehen nur auf dem Server DC03 zu DC01.
Die Probleme mit der Namesnauflösung im ganzen Standort 2


GPO Richtlinien sind keine vorhanden.
Kommt noch


Oder meinst Du die Clients können aus dem DC3 netz zwar pingen aber kein nslookup?
genau das.

Wenn Ping von DC3 nach DC1 geht, kann es kein Routingproblem sein, zumal der DC3 ja alle Clients durchs VPN routet...?
Da bin ich nicht sicher und ja tut der Server.

Gruß
Chris
Chonta
Chonta 18.08.2015 um 12:06:08 Uhr
Goto Top
Hallo,

Die Server nutzen Routing und RAS um eine zweiseitige VPN Verbindung per PPTP aufzubauen.
Mehr infos bitte. wie das VPN eingerichtet ist.
PPTP sollte übrigens nicht mehr verwendet werden.
Man kann so ein VPN so einrichten das dann zwangsweise der Gesammte Trafik durch den Tunnel geht und das wäre blöd.

Ist das VPN-Netz ein eigenes Netz über das die Server in ihre eigenen Netze dann routen? Stimmen die Routen?
Kann der DC3 die Clienst mit tracert erreichen?
Können die Clients von DC3 die Clients von DC1 mit tracert erreichen und umgekehrt?
Zeigt DC3 mit route print dirichtigen Routen an?

Gruß

Chonta
Chris-Fi
Chris-Fi 18.08.2015 um 12:39:20 Uhr
Goto Top
Hallo,

Ok, von vorne

DC01 und DC03 sind beide Routing und RAS Server.
Ja PPTP ist unsicher weiß ich, wurde leider so vorgegeben.

Der Internet Traffic läuft aktuell nicht über den Tunnel, haben ich auch drauf geachtet das dies nicht passiert.
Die VPN Verbindung wird über "Wählen bei bedarf" initiiert. Die Verbindung ist stabil, gab bislang keine Anzeigen für Verbindungsabbrüche.

Es gibt kein drittes IP-Netz für den VPN Tunnel.
Standort 1 hat 192.168.20.0
Standort 2 hat 192.168.25.0

Die Routen sehen für mich in Ordnung aus.

Routen Standort 1 DC01:

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.20.9 192.168.20.1 266
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.25.0 255.255.255.0 192.168.20.50 192.168.25.49 13
192.168.25.49 255.255.255.255 Auf Verbindung 192.168.25.49 266
192.168.20.0 255.255.255.0 Auf Verbindung 192.168.20.1 266
192.168.20.1 255.255.255.255 Auf Verbindung 192.168.20.1 266
192.168.20.2 255.255.255.255 Auf Verbindung 192.168.20.1 266
192.168.20.20 255.255.255.255 192.168.20.20 192.168.20.70 14
192.168.20.52 255.255.255.255 192.168.20.52 192.168.20.70 14
192.168.20.55 255.255.255.255 192.168.20.55 192.168.20.70 14
192.168.20.57 255.255.255.255 192.168.20.57 192.168.20.70 14
192.168.20.70 255.255.255.255 Auf Verbindung 192.168.20.70 269
192.168.20.111 255.255.255.255 192.168.20.111 192.168.20.70 14
192.168.20.113 255.255.255.255 192.168.20.113 192.168.20.70 14
192.168.20.134 255.255.255.255 192.168.20.134 192.168.20.70 14
192.168.20.140 255.255.255.255 192.168.20.140 192.168.20.70 14
192.168.20.142 255.255.255.255 192.168.20.142 192.168.20.70 14
192.168.20.152 255.255.255.255 192.168.20.152 192.168.20.70 14
192.168.20.162 255.255.255.255 192.168.20.162 192.168.20.70 14
192.168.20.165 255.255.255.255 192.168.20.165 192.168.20.70 14
192.168.20.255 255.255.255.255 Auf Verbindung 192.168.20.1 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.20.1 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.20.70 269
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.25.49 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.20.1 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.20.70 269
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.25.49 266
St„ndige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.20.9 Standard


Routen Standort 2 DC03:

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.25.98 192.168.25.1 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.25.0 255.255.255.0 Auf Verbindung 192.168.25.1 276
192.168.25.1 255.255.255.255 Auf Verbindung 192.168.25.1 276
192.168.25.46 255.255.255.255 192.168.25.46 192.168.25.51 36
192.168.25.49 255.255.255.255 Auf Verbindung 192.168.20.50 21
192.168.25.51 255.255.255.255 Auf Verbindung 192.168.25.51 291
192.168.25.255 255.255.255.255 Auf Verbindung 192.168.25.1 276
192.168.20.0 255.255.255.0 Auf Verbindung 192.168.20.50 23
192.168.20.50 255.255.255.255 Auf Verbindung 192.168.20.50 276
192.168.20.255 255.255.255.255 Auf Verbindung 192.168.20.50 276
217.252.110.167 255.255.255.255 192.168.25.98 192.168.25.1 21
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.25.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.25.51 291
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.20.50 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.25.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.25.51 291
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.20.50 276
St„ndige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.25.98 Standard

Kann der DC3 die Clienst mit tracert erreichen?
Der DC03 kann in seinem Netz die Clients per tracert erreichen.

Können die Clients von DC3 die Clients von DC1 mit tracert erreichen und umgekehrt?
Die Clients vom DC03 kommen per tracert auf den DC01, auch umgekehrt.

Ich kann allerdings vom DC03 per tracert nicht den DC01, DC02 oder einen Client ansprechen.

Gruß
Chris
Mitch123
Mitch123 18.08.2015 um 12:53:27 Uhr
Goto Top
Darf ich mir herausnehmen dir zu empfehlen den VPN-Tunnel von Fritz-Box zu Fritz-Box aufzubauen?! Deutlich sicherer als PPTP, vermeidet den Server als Router und Fehlersuche wird deutlich vereinfacht.
Chonta
Chonta 18.08.2015 aktualisiert um 13:01:10 Uhr
Goto Top
Hallo,

Der DC03 kann in seinem Netz die Clients per tracert erreichen.
Ich meinte auch die Clients im DC1 Netz.

Gib mal die IP von DC3 für alles wichtige bei DC1 und DC2 explezit frei (Domäne, Privat, öffentlich)

Gruß

Chonta