gotabachi
Goto Top

Zywall 5 zu Zywall 5 VPN Probleme

Hy Leute!

Habe ein zimlich deftiges Problem und hoffe ihr könnt mir weiterhelfen denn schon langsam stehe ich zimlich auf der Leitung und zwar

Ich Administriere von meinem Verwandten die Firma jetzt haben wir uns 2x Zywall 5 geholt da wir ne Hardware VPN Lösung machen wollen
jedoch scheitert es hier an einem großen Problem und ich weiss net warum

Wir haben bei ihm zuhause einen Router öffentliche IP die direkt auf die Zywall gelegt wird
in der Firma besitzen wir einen Router der 8 Statische durchlässt eine zum SBS Server eine für die Zywall

In der Firma benutzen wir das Netz 192.168.1.0 / 255.255.255.0
Zuhause benutzen wir 192.168.2.0 / 255.255.255.0

Wenn ich jetzt Manuell oder auch über den Wizard ein VPN erstelle funktioniert dies einwandfrei ich kann verbinden und auch das gegenüberliegende Gateway Pingen;
Wenn ich jedoch auf den Server will 192.168.1.254 funktioniert dies jedoch nicht auch auf die Shares ist kein Zugriff möglich
wenn ich mein Notebook in sein Netz hänge dann die IP 192.168.1.2 zuweise funktioniert alles einwandfrei
Wenn ich auf den Client von ihm will 192.168.1.150 (DHCP zuweisung) funktioniert dies leider auch nicht
Was kann das sein und warum

der Server is ganz normal Pingbar wenn ich in der Firma von seinen Clients aus das mache jedoch nicht über das VPN geschweige denn das ich einen Zugriff bekomme

was kann das sein???
Danke euch schon mal für Antwort

Edit:
Ich haber jetzt zum besseren Verständnis ein Netzwerkdiagramm beigefügt:
58747559a6a428f544e2079b412f8f3c-netzwerkdiagramm_fuer_vpn

mfg.
Brandy

Content-ID: 122634

Url: https://administrator.de/forum/zywall-5-zu-zywall-5-vpn-probleme-122634.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

Pjordorf
Pjordorf 13.08.2009 um 00:26:01 Uhr
Goto Top
Hallo Brandy,

im Firmennetz:
SBS mit ISA?
SBS mit 1 oder 2 Netzwerkkarten?
SBS mit Routing und RAS?
SBS mit Firewall?
Clients habenden SBS als Gateway?
Clients haben den Router(Zywall?) als Gateway?

Peter
Gotabachi
Gotabachi 13.08.2009 um 09:00:48 Uhr
Goto Top
Hy Peter,

SBS ohne ISA jedoch mit der Nat Firewall
2 Netzwerkkarten 1 x Intern / 1x Extern
Routing und RAS JA
Clients haben SBS als Gateway
SBS macht DHCP von 150-250
Zywall IP 192.168.1.1 und eine öffentliche

hoffe hab nix vergessen face-smile

Brandy
aqui
aqui 13.08.2009, aktualisiert am 18.10.2012 um 18:39:01 Uhr
Goto Top
Für den Server mit den 2 Karten gilt das:

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Hier musst du natürlich klarstellen, das diese 2 Netze nicht mit dem remoten Netz übereinstimmen. Es müssen 3 unterschiedliche IP Netze verwendet werden !!

Da du aus einem Fremdnetz kommst (VPN) blockiert normalerweise die Firewall im Server und auch im Client diese Pakete, da du nicht aus dem loaklen netzwerk kommst.

Du musst also die Firewall der Clients zwingend anpassen, das sie das remote IP Netz auch zulässt.
Testweise kannst du sie ganz ausschalten...sollte aber nicht der Dauerzustand sein.

Weiterhin musst du sicherstellen, das das ICMP Echo (Ping) aktiviert ist. Im Server wie auch im Client sollte in den erweiterten Eigenschaften der Firewall unter ICMP der Haken bei "Auf Echoanforderungen antworten" gesetzt sein !!

Damait sollte es dann problemlos klappen... es kann nur ein Firewall Problem sein !
Gotabachi
Gotabachi 14.08.2009 um 01:49:23 Uhr
Goto Top
Nein, der Server selbst hat mit dem VPN nichts am Hut.
Die Zywall hängt direkt zwischen Internet und LAN. Siehe mein Original-Beitrag - ich habe diesen um ein Netzwerkdiagramm ergänzt!

Dass es an der Firewall liegt ist eher unwahrscheinlich.
Ich habe einen Client ins LAN der Firma gehängt, Firewall komplett deaktiviert, kein Domänenmitglied.
Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen. Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint.
Ich habe sämtliche EInstellungen der Zywall ausprobiert (Allow NetBios Traffic through Tunnel) - alles hat nichts gebracht.
Ich habe mich bei der Konfiguration an dem folgenden Beispiel orientiert:
http://www.studerus.ch/files/knowledgebase/VPN_Routing_D.pdf

Was jedoch noch eigenartiger ist:
Wenn ich von besagtem Client im LAN der Firma den Server pinge, so funktioniert das problemlos. Auch der DNS-Server kann abgefragt werden (nslookup).
Jedoch vom Extrernen Client kann ich den Server _NICHT_ pingen - er ist überhaupt nicht erreichbar!

Woran kann das liegen?
Hat irgend jemand eine Idee?

Vielen Dank!
Brandy
aqui
aqui 14.08.2009, aktualisiert am 18.10.2012 um 18:39:02 Uhr
Goto Top
Die Frage die noch offen ist: Was soll der tierfere Sinn sein den Server direkt im Internet zu exponieren wo die Zywall der Router ist...eigentlich unsinnig und zudem gefährlich ! Zumals wenns ein Winblows OS ist !

"..Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen..."

Das hört sich ja schonmal gut an ! Dann kannst du davon ausgehen, das der VPN Tunnel zwischen den Zywall sauber funktioniert, denn sonst wäre das nicht möglich !

"...Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint..."

Das ist auch logisch und jeder gute Netzwerk Admin weiss auch warum !!
Windows Nameservice basiert auf UDP Broadcasts. Per se wie jeder Netzwerker weiss werden UDP Broadcasts aber nicht über eine geroutete Verbindung übertragen.
Folglich sieht man also nix in der Netzwerkumgebung.
Einfache Abhilfe:
Remote Namen statisch in die lmhosts Datei eintragen !
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit funktioniert der Zugriff auf Namen wieder problemlos !

Das du andere Clients nicht pingen kannst hat dann vermutlich was mit Gruppenrichtlinien und deren lokaler Firewall zu tun ! Das ist offensichtlich wenn ein normaler PC problemlos pingbar und erreichbar ist !
Gotabachi
Gotabachi 14.08.2009 um 19:30:22 Uhr
Goto Top
Server ans Internet: Es handelt sich hier um einen Small Business Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine integrierte Firewall (ISA), die wesentlich umfangreicher als die der Zywall ist. Klar: es sollte ein extra Gerät sein, aber das kommt dann beim 2008er Server face-wink

NetBios: Naja der Router bieter die Option "Allow NetBios Traffic through Tunnel", deshalb dachte ich dass hier auch sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut face-wink

Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie ausschalten und schauen ob es das behebt, ansonsten müssen wir schauen welche andere Einstellung das Problem sein könnte...

Erst mal vielen Dank für deine Antworten! face-smile
Melde mich wieder, wenn wir das probiert haben...
Pjordorf
Pjordorf 14.08.2009 um 21:03:50 Uhr
Goto Top
Hallo

Server ans Internet: Es handelt sich hier um einen Small Business
Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine
integrierte Firewall (ISA), die wesentlich umfangreicher als die der
Zywall ist.
Auch hier hat man normalerweise noch einen Router/NAT davor.

NetBios: Naja der Router bieter die Option "Allow NetBios
Traffic through Tunnel", deshalb dachte ich dass hier auch
sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen
nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut face-wink

Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das
Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie
ausschalten und schauen ob es das behebt, ansonsten müssen wir
schauen welche andere Einstellung das Problem sein könnte...
Beim SBS 2003 sind in den Gruppenrichtlinien die Firewalls für Domänencomputer an, aber ICMP Echo Request (Ping) ist erlaubt.

Peter