Zywall 5 zu Zywall 5 VPN Probleme
Hy Leute!
Habe ein zimlich deftiges Problem und hoffe ihr könnt mir weiterhelfen denn schon langsam stehe ich zimlich auf der Leitung und zwar
Ich Administriere von meinem Verwandten die Firma jetzt haben wir uns 2x Zywall 5 geholt da wir ne Hardware VPN Lösung machen wollen
jedoch scheitert es hier an einem großen Problem und ich weiss net warum
Wir haben bei ihm zuhause einen Router öffentliche IP die direkt auf die Zywall gelegt wird
in der Firma besitzen wir einen Router der 8 Statische durchlässt eine zum SBS Server eine für die Zywall
In der Firma benutzen wir das Netz 192.168.1.0 / 255.255.255.0
Zuhause benutzen wir 192.168.2.0 / 255.255.255.0
Wenn ich jetzt Manuell oder auch über den Wizard ein VPN erstelle funktioniert dies einwandfrei ich kann verbinden und auch das gegenüberliegende Gateway Pingen;
Wenn ich jedoch auf den Server will 192.168.1.254 funktioniert dies jedoch nicht auch auf die Shares ist kein Zugriff möglich
wenn ich mein Notebook in sein Netz hänge dann die IP 192.168.1.2 zuweise funktioniert alles einwandfrei
Wenn ich auf den Client von ihm will 192.168.1.150 (DHCP zuweisung) funktioniert dies leider auch nicht
Was kann das sein und warum
der Server is ganz normal Pingbar wenn ich in der Firma von seinen Clients aus das mache jedoch nicht über das VPN geschweige denn das ich einen Zugriff bekomme
was kann das sein???
Danke euch schon mal für Antwort
Edit:
Ich haber jetzt zum besseren Verständnis ein Netzwerkdiagramm beigefügt:
mfg.
Brandy
Habe ein zimlich deftiges Problem und hoffe ihr könnt mir weiterhelfen denn schon langsam stehe ich zimlich auf der Leitung und zwar
Ich Administriere von meinem Verwandten die Firma jetzt haben wir uns 2x Zywall 5 geholt da wir ne Hardware VPN Lösung machen wollen
jedoch scheitert es hier an einem großen Problem und ich weiss net warum
Wir haben bei ihm zuhause einen Router öffentliche IP die direkt auf die Zywall gelegt wird
in der Firma besitzen wir einen Router der 8 Statische durchlässt eine zum SBS Server eine für die Zywall
In der Firma benutzen wir das Netz 192.168.1.0 / 255.255.255.0
Zuhause benutzen wir 192.168.2.0 / 255.255.255.0
Wenn ich jetzt Manuell oder auch über den Wizard ein VPN erstelle funktioniert dies einwandfrei ich kann verbinden und auch das gegenüberliegende Gateway Pingen;
Wenn ich jedoch auf den Server will 192.168.1.254 funktioniert dies jedoch nicht auch auf die Shares ist kein Zugriff möglich
wenn ich mein Notebook in sein Netz hänge dann die IP 192.168.1.2 zuweise funktioniert alles einwandfrei
Wenn ich auf den Client von ihm will 192.168.1.150 (DHCP zuweisung) funktioniert dies leider auch nicht
Was kann das sein und warum
der Server is ganz normal Pingbar wenn ich in der Firma von seinen Clients aus das mache jedoch nicht über das VPN geschweige denn das ich einen Zugriff bekomme
was kann das sein???
Danke euch schon mal für Antwort
Edit:
Ich haber jetzt zum besseren Verständnis ein Netzwerkdiagramm beigefügt:
mfg.
Brandy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 122634
Url: https://administrator.de/forum/zywall-5-zu-zywall-5-vpn-probleme-122634.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
7 Kommentare
Neuester Kommentar
Für den Server mit den 2 Karten gilt das:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hier musst du natürlich klarstellen, das diese 2 Netze nicht mit dem remoten Netz übereinstimmen. Es müssen 3 unterschiedliche IP Netze verwendet werden !!
Da du aus einem Fremdnetz kommst (VPN) blockiert normalerweise die Firewall im Server und auch im Client diese Pakete, da du nicht aus dem loaklen netzwerk kommst.
Du musst also die Firewall der Clients zwingend anpassen, das sie das remote IP Netz auch zulässt.
Testweise kannst du sie ganz ausschalten...sollte aber nicht der Dauerzustand sein.
Weiterhin musst du sicherstellen, das das ICMP Echo (Ping) aktiviert ist. Im Server wie auch im Client sollte in den erweiterten Eigenschaften der Firewall unter ICMP der Haken bei "Auf Echoanforderungen antworten" gesetzt sein !!
Damait sollte es dann problemlos klappen... es kann nur ein Firewall Problem sein !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hier musst du natürlich klarstellen, das diese 2 Netze nicht mit dem remoten Netz übereinstimmen. Es müssen 3 unterschiedliche IP Netze verwendet werden !!
Da du aus einem Fremdnetz kommst (VPN) blockiert normalerweise die Firewall im Server und auch im Client diese Pakete, da du nicht aus dem loaklen netzwerk kommst.
Du musst also die Firewall der Clients zwingend anpassen, das sie das remote IP Netz auch zulässt.
Testweise kannst du sie ganz ausschalten...sollte aber nicht der Dauerzustand sein.
Weiterhin musst du sicherstellen, das das ICMP Echo (Ping) aktiviert ist. Im Server wie auch im Client sollte in den erweiterten Eigenschaften der Firewall unter ICMP der Haken bei "Auf Echoanforderungen antworten" gesetzt sein !!
Damait sollte es dann problemlos klappen... es kann nur ein Firewall Problem sein !
Die Frage die noch offen ist: Was soll der tierfere Sinn sein den Server direkt im Internet zu exponieren wo die Zywall der Router ist...eigentlich unsinnig und zudem gefährlich ! Zumals wenns ein Winblows OS ist !
"..Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen..."
Das hört sich ja schonmal gut an ! Dann kannst du davon ausgehen, das der VPN Tunnel zwischen den Zywall sauber funktioniert, denn sonst wäre das nicht möglich !
"...Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint..."
Das ist auch logisch und jeder gute Netzwerk Admin weiss auch warum !!
Windows Nameservice basiert auf UDP Broadcasts. Per se wie jeder Netzwerker weiss werden UDP Broadcasts aber nicht über eine geroutete Verbindung übertragen.
Folglich sieht man also nix in der Netzwerkumgebung.
Einfache Abhilfe:
Remote Namen statisch in die lmhosts Datei eintragen !
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit funktioniert der Zugriff auf Namen wieder problemlos !
Das du andere Clients nicht pingen kannst hat dann vermutlich was mit Gruppenrichtlinien und deren lokaler Firewall zu tun ! Das ist offensichtlich wenn ein normaler PC problemlos pingbar und erreichbar ist !
"..Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen..."
Das hört sich ja schonmal gut an ! Dann kannst du davon ausgehen, das der VPN Tunnel zwischen den Zywall sauber funktioniert, denn sonst wäre das nicht möglich !
"...Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint..."
Das ist auch logisch und jeder gute Netzwerk Admin weiss auch warum !!
Windows Nameservice basiert auf UDP Broadcasts. Per se wie jeder Netzwerker weiss werden UDP Broadcasts aber nicht über eine geroutete Verbindung übertragen.
Folglich sieht man also nix in der Netzwerkumgebung.
Einfache Abhilfe:
Remote Namen statisch in die lmhosts Datei eintragen !
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit funktioniert der Zugriff auf Namen wieder problemlos !
Das du andere Clients nicht pingen kannst hat dann vermutlich was mit Gruppenrichtlinien und deren lokaler Firewall zu tun ! Das ist offensichtlich wenn ein normaler PC problemlos pingbar und erreichbar ist !
Hallo
Peter
Server ans Internet: Es handelt sich hier um einen Small Business
Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine
integrierte Firewall (ISA), die wesentlich umfangreicher als die der
Zywall ist.
Auch hier hat man normalerweise noch einen Router/NAT davor.Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine
integrierte Firewall (ISA), die wesentlich umfangreicher als die der
Zywall ist.
NetBios: Naja der Router bieter die Option "Allow NetBios
Traffic through Tunnel", deshalb dachte ich dass hier auch
sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen
nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das
Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie
ausschalten und schauen ob es das behebt, ansonsten müssen wir
schauen welche andere Einstellung das Problem sein könnte...
Beim SBS 2003 sind in den Gruppenrichtlinien die Firewalls für Domänencomputer an, aber ICMP Echo Request (Ping) ist erlaubt.Traffic through Tunnel", deshalb dachte ich dass hier auch
sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen
nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das
Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie
ausschalten und schauen ob es das behebt, ansonsten müssen wir
schauen welche andere Einstellung das Problem sein könnte...
Peter