8
Routing Problem über Firebox x20, Win2003 und VPN
Hi,
war bisher nur fleißiger Leser, aber jetzt habe ich ein Problem was ich leider selbst noch net lösen konnte :/
Ich versuche einen VPN Tunnel zu unserem Firmennetz aufzubauen, so das ich mich von zuhause über die VPN Verbindung per Remotedesktop auf den Arbeitsrechner einwählen kann, umgekehrt der Zugang aber (im Idealfall) geblockt wird.
Das Firmen Netzwerk besteht aus einem Server(Win2k3) mit 2 Netzwerken (1). Internet über eine Firebox x20 und (2). Netzwerk Clienten [20]. Auf dem Server läuft AVM Ken4 um auf den Clients die Email und Internet Rechte zusteuern, die eigentliche Firewall läuft auf der Firebox.
Im Privaten Netzwerk läuft eine FritzBox 7170 an dem direkt die Homeclients angeschlossen sind (DHCP).
Die beiden Netzwerke sind bereit über eine VPN Verbindung gekoppelt und die Route Funktion von dem Firmen Netzwerk(1) zum Home-Netzwerk funktioniert auch einbahnfrei, allerdings kann ich keine Verbindung zum Firmen Netzwerk(2) aufbauen.
Im VPN Tunnel ist die Weiterleitung der IP Bereiche vom Privaten Netzwerk ins Firmen Netzwerk (1) und (2) eingerichtet. In der Firebox ist ein Route eingerichtet der die Anfrage zum Firmen Netzwerk (2) an den Server(1) weiterleitet dieser scheint allerdings nicht richtig zu funktionieren. Das Tracen von zuhause ins Firmen Netzwerk(1) funktioniert einbahnfrei, ins Firmen Netzwerk(2) wird die Anfrage nur bis an die Firebox weitergeleitet. Zum testen liegen im momment alle Firmen Clients und der Server auf einem Switch, allerdings schaffe ich es nicht von zuhause aus einen der Clienten anzupingen oder gar micht einzuwählen.
Eine Verbindung von Zuhause Remote auf den Server(1) und dann wieder Remote auf die Clients Netzwerk(2) funktioniert allerdings schon :p Allerdings ist das ja nicht unbedingt der richtige Weg
)
Zum Schluss noch schnell ein paar Infos alle Firmen Clients laufen auf Win XP und sind in der Domäne des Servers. Die IP`s sind Manuell vergeben und der Standardgateway & DNS & WINS sind auf den Server(2) eingestellt. Die IP Verteilung sieht wie folgt aus:
IP Firebox: 192.168.2.1
IP Server(1): 192.168.2.2
IP Server(2): 192.168.1.2
Clients Firma: 192.168.1.1xx
FritzBox Home: 192.168.178.29
Clients Home: 192.168.178.3x
Subnet alle: 255.255.255.0
Route auf Fritz Box= 192.168.1.0 --> 192.168.2.1 192.168.2.0 --> 192.168.2.1 (funktioniert)
Route auf Firebox= 192.168.173.0 --> 192.168.173.29 (funktioniert)
192.168.1.0 --> 192.168.2.2 (scheint nicht zu funktionieren)
Route auf Server(1) 192.168.1.0 --> 192.168.1.2 (Probiert SOLLTE funktionieren) (Wenn ich von zuhause trace komme ich nur bis auf die Firebox)
Gruß & Thanks
Blupp
PS: Wenn es zuviel oder unübersichtlich ist sagt es nur dann bearbeite ich es nochmal. Könnte "etwas" verwirrend sein.
Das Firmen Netzwerk besteht aus einem Server(Win2k3) mit 2 Netzwerken (1). Internet über eine Firebox x20 und (2). Netzwerk Clienten [20]. Auf dem Server läuft AVM Ken4 um auf den Clients die Email und Internet Rechte zusteuern, die eigentliche Firewall läuft auf der Firebox.
Im Privaten Netzwerk läuft eine FritzBox 7170 an dem direkt die Homeclients angeschlossen sind (DHCP).
Die beiden Netzwerke sind bereit über eine VPN Verbindung gekoppelt und die Route Funktion von dem Firmen Netzwerk(1) zum Home-Netzwerk funktioniert auch einbahnfrei, allerdings kann ich keine Verbindung zum Firmen Netzwerk(2) aufbauen.
Im VPN Tunnel ist die Weiterleitung der IP Bereiche vom Privaten Netzwerk ins Firmen Netzwerk (1) und (2) eingerichtet. In der Firebox ist ein Route eingerichtet der die Anfrage zum Firmen Netzwerk (2) an den Server(1) weiterleitet dieser scheint allerdings nicht richtig zu funktionieren. Das Tracen von zuhause ins Firmen Netzwerk(1) funktioniert einbahnfrei, ins Firmen Netzwerk(2) wird die Anfrage nur bis an die Firebox weitergeleitet. Zum testen liegen im momment alle Firmen Clients und der Server auf einem Switch, allerdings schaffe ich es nicht von zuhause aus einen der Clienten anzupingen oder gar micht einzuwählen.
Eine Verbindung von Zuhause Remote auf den Server(1) und dann wieder Remote auf die Clients Netzwerk(2) funktioniert allerdings schon :p Allerdings ist das ja nicht unbedingt der richtige Weg
)Zum Schluss noch schnell ein paar Infos alle Firmen Clients laufen auf Win XP und sind in der Domäne des Servers. Die IP`s sind Manuell vergeben und der Standardgateway & DNS & WINS sind auf den Server(2) eingestellt. Die IP Verteilung sieht wie folgt aus:
IP Firebox: 192.168.2.1
IP Server(1): 192.168.2.2
IP Server(2): 192.168.1.2
Clients Firma: 192.168.1.1xx
FritzBox Home: 192.168.178.29
Clients Home: 192.168.178.3x
Subnet alle: 255.255.255.0
Route auf Fritz Box= 192.168.1.0 --> 192.168.2.1 192.168.2.0 --> 192.168.2.1 (funktioniert)
Route auf Firebox= 192.168.173.0 --> 192.168.173.29 (funktioniert)
192.168.1.0 --> 192.168.2.2 (scheint nicht zu funktionieren)
Route auf Server(1) 192.168.1.0 --> 192.168.1.2 (Probiert SOLLTE funktionieren) (Wenn ich von zuhause trace komme ich nur bis auf die Firebox)
Gruß & Thanks
Blupp
PS: Wenn es zuviel oder unübersichtlich ist sagt es nur dann bearbeite ich es nochmal. Könnte "etwas" verwirrend sein.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133016
Url: https://administrator.de/contentid/133016
Printed on: April 25, 2024 at 10:04 o'clock
8 Comments
Latest comment
HI,kann sein das es nix damit zu tun hat,aber war es nicht so das bei AVM VPN nicht die Standart IP verwendet werden darf?Und von 192.168.1.0 auf 192.168.2.2 kann bei C-Klasse doch auch nicht funktionieren.Zumal das eine die Adresse des Netzes und die andere die eines Hosts ist.
Nein, was oben steht ist Unsinn ! 192.168.2.0 und .1.0 sind ja 2 saubere Class C Netzwerke mit ihrer 24 Bist Maske und damit 2 unterschiedliche Netze wie es richtig ist bei einem korrekten #comment-toc5 VPN_Adress_Design Und auch AVM erlaubt natürlich VPNs mit ihrer Standard IP Adresse wie man hier unschwer nachlesen kann:
http://www.avm.de/vpn/
Das ist also nicht das Thema.....
Es funktioniert ja auch alles mit dem VPN (wenn man dir glauben kann und du wenigstens die Firebox pingen und tracerouten kannst denn das muss immer klappen). Das alles an der Firebox hängen bleibt sollte dich stutzig machen und gleichzeitig froh dazu... !!
Ist es doch ein Indiz dafür das deine Firebox als Firewall sauber funktioniert !
Wie immer bei diesen VPN Problemen sind das keine VPN Probleme und schon gar nicht Routing Probleme sondern Fehler in der Einrichtung der Firewall !!
Du hast vermutlich das IP Netzwerk 192.168.178.0 /24 (dein privates Netz) NICHT freigegeben in den Firewall Regeln auf deiner Firebox und dann blockt diese natürlich Pakete aus diesem Netzwerk...logisch, denn das ist ja auch ihre Aufgabe !
Fazit: Geh also auf deine Firebox ins Setup und erstelle eine Regel die dieses IP Netz über den VPN Zugriff erlaubt und schon funktioniert alles wieder bei dir.
Nochwas: Das gleiche kann dich auf den Windows Endgeräten im Zielnetz wieder einholen. Wenn du dort in der Windows Firewall ebenfalls keine Ausnahme eingerichtet hast wirst du dort wieder geblockt, denn die Windows Firewall lässt nur Traffic aus dem lokalen IP Netz zu und nicht aus fremden Netzen !
Kleine Ursache...große Wirkung, wie immer !
http://www.avm.de/vpn/
Das ist also nicht das Thema.....
Es funktioniert ja auch alles mit dem VPN (wenn man dir glauben kann und du wenigstens die Firebox pingen und tracerouten kannst denn das muss immer klappen). Das alles an der Firebox hängen bleibt sollte dich stutzig machen und gleichzeitig froh dazu... !!
Ist es doch ein Indiz dafür das deine Firebox als Firewall sauber funktioniert !
Wie immer bei diesen VPN Problemen sind das keine VPN Probleme und schon gar nicht Routing Probleme sondern Fehler in der Einrichtung der Firewall !!
Du hast vermutlich das IP Netzwerk 192.168.178.0 /24 (dein privates Netz) NICHT freigegeben in den Firewall Regeln auf deiner Firebox und dann blockt diese natürlich Pakete aus diesem Netzwerk...logisch, denn das ist ja auch ihre Aufgabe !
Fazit: Geh also auf deine Firebox ins Setup und erstelle eine Regel die dieses IP Netz über den VPN Zugriff erlaubt und schon funktioniert alles wieder bei dir.
Nochwas: Das gleiche kann dich auf den Windows Endgeräten im Zielnetz wieder einholen. Wenn du dort in der Windows Firewall ebenfalls keine Ausnahme eingerichtet hast wirst du dort wieder geblockt, denn die Windows Firewall lässt nur Traffic aus dem lokalen IP Netz zu und nicht aus fremden Netzen !
Kleine Ursache...große Wirkung, wie immer !
Hi,
ich hoffe das ihr mir glauben könnt ;) Die Firebox und den Server auf Netzwerk(1) kann ich pingen und auch tracen. Zumal das Trace an der Firebox nur als *.*.*.* angezeigt wird und der Server dahinter aber wieder ordnungsgemäß angezeigt wird [Wohl Sicherheitseinstellung an der Firebox]
In der Firebox habe ich "vorläufig" alle Ports vom Privaten ins Firmen Netz (1) und (2) freigegeben. An der Firebox bleiben aber die Anfragen an das Firmennetzwerk (1) hängen zum Firmen-Netzwerk (2) kann ich problemlos zugreifen.
Daher denke ich das es sich doch um ein Routing Problem handelt... Die Windows Firewall Settings auf Zugriff von "fremdnetzen" habe ich allerdings noch nicht überprüft (Dank dir für den Tip).
ich hoffe das ihr mir glauben könnt ;) Die Firebox und den Server auf Netzwerk(1) kann ich pingen und auch tracen. Zumal das Trace an der Firebox nur als *.*.*.* angezeigt wird und der Server dahinter aber wieder ordnungsgemäß angezeigt wird [Wohl Sicherheitseinstellung an der Firebox]
In der Firebox habe ich "vorläufig" alle Ports vom Privaten ins Firmen Netz (1) und (2) freigegeben. An der Firebox bleiben aber die Anfragen an das Firmennetzwerk (1) hängen zum Firmen-Netzwerk (2) kann ich problemlos zugreifen.
Daher denke ich das es sich doch um ein Routing Problem handelt... Die Windows Firewall Settings auf Zugriff von "fremdnetzen" habe ich allerdings noch nicht überprüft (Dank dir für den Tip).
Macht die Firebox auch das PPPoE Dialin per DSL ins Internet oder ist vor der Firebox noch eine Router ??
D.h. sieht es so bei dir aus ??:
...oder endet das Internet bzw. PPPoE DSL direkt auf der Firebox ??
D.h. sieht es so bei dir aus ??:
...oder endet das Internet bzw. PPPoE DSL direkt auf der Firebox ??
Die Firebox baut die Internet Verbindung selber per PPoE über ein DSL Modem her.
Hinter der Firewall steht nur ein Server mit zwei Netzwerkkarten (192.168.1.0 und 192.168.2.0)
WIrst du wahrscheinlich 10x am Tag gefragt, aber womit hast du das Bildchen erstellst ?
Hinter der Firewall steht nur ein Server mit zwei Netzwerkkarten (192.168.1.0 und 192.168.2.0)
WIrst du wahrscheinlich 10x am Tag gefragt, aber womit hast du das Bildchen erstellst ?
M$ Visio
Stimmt... 
Bist du dir ganz sicher das das Modem ein nur Modem ist, also hast du die PPPoE Provider Zugangsdaten auf der Firebox konfiguriert, richtig ?
Nur das wir uns hier nicht in was verrennen was nicht stimmt...kommt hier leider Tag täglich vor...
Das Problem ist dann vermutlich folgendes: (Sofern deine FB das VPN zur Firma aufbaut, was sie ja vermutlich auch macht) ??!!)
Du hast mit dem Zugriff auf den Server 1 also auf das 192.168.2.0 /24 Netz keine Problem weill das die FB auch routet. Anfragen ins 192.168.1.0 /24er Netz die eigentlich auch über den Tunnel geroutet werden müssten kann deine FB aber nicht routen weil ihr schlicht und einfach die Route via VPN dazu fehlt. Die FB macht dann was sie immer macht und routet diese Pakete dann ins Internet wo sie versanden...
Das Problem ist aber mit einer zusätzlichen zusätzlichen Route in der FB sofort lösbar: (Mehrere IP Netze hinter VPN erreichen)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Bist du dir ganz sicher das das Modem ein nur Modem ist, also hast du die PPPoE Provider Zugangsdaten auf der Firebox konfiguriert, richtig ?
Nur das wir uns hier nicht in was verrennen was nicht stimmt...kommt hier leider Tag täglich vor...
Das Problem ist dann vermutlich folgendes: (Sofern deine FB das VPN zur Firma aufbaut, was sie ja vermutlich auch macht) ??!!)
Du hast mit dem Zugriff auf den Server 1 also auf das 192.168.2.0 /24 Netz keine Problem weill das die FB auch routet. Anfragen ins 192.168.1.0 /24er Netz die eigentlich auch über den Tunnel geroutet werden müssten kann deine FB aber nicht routen weil ihr schlicht und einfach die Route via VPN dazu fehlt. Die FB macht dann was sie immer macht und routet diese Pakete dann ins Internet wo sie versanden...
Das Problem ist aber mit einer zusätzlichen zusätzlichen Route in der FB sofort lösbar: (Mehrere IP Netze hinter VPN erreichen)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Praxis_ ...
Die Zugangsdaten liegen direkt in der Firebox und diese baut auch die Internet Verbindung (in der Firma) auf.
Wenn ich vom Home Netzwerke irgendeine IP trace wird diese ins Internet geleitet z.B: 192.168.5.34 wird ins Internet geleitet. 192.168.2.2 wird korrekt ins Firmen Netzwerk geleitet. 192.168.1.2 wird (vermutlich) an die Firebox gesendet, aber nicht weiter.
Werde mal versuchen das die Firebox das Tracer korrekt anzeigt damit wir da sichergehen können das dort die Firebox antwortet... Allerdings habe ich im VPN Tunnel eingerichtet das die Anfragen an 192.168.1.0 und 192.168.2.0 per VPN an die Firebox getunnelt werden.
Ich denke das Problem liegt darin das die Firebox nicht weiß sie mit der Anfrage an 192.168.1.0 umzugehen hat. Obwohl ich unter Route in der Firebox die Route 192.168.1.0 auf 192.168.2.2 eingerichtet habe..
[tracert 192.168.5.34] Irgendeine IP
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 30 ms 29 ms 29 ms bras1.cgn.qsc.de [213.148.133.5]
3 89 ms 24 ms 24 ms core1.cgn.qsc.de [87.234.12.33]
4 core1.fra.qsc.de [87.234.12.217] meldet: Zielnetz nicht erreichbar.
Vom Home Netz ins Internet
[tracert 192.168.2.2] Server(2)
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 * * * Zeitüberschreitung der Anforderung.
3 41 ms 41 ms 41 ms 192.168.2.2
Vom Home Netz aufs Firmen Netzwerk(2)
[tracert 192.168.1.2] Server(1)
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung...
Vom Home Netz aufs Firmen Netzwerk(1)
Ah schade Visio habe ich leider nicht, aber das Diagramm sieht wirklich Top aus ;)
Wenn ich vom Home Netzwerke irgendeine IP trace wird diese ins Internet geleitet z.B: 192.168.5.34 wird ins Internet geleitet. 192.168.2.2 wird korrekt ins Firmen Netzwerk geleitet. 192.168.1.2 wird (vermutlich) an die Firebox gesendet, aber nicht weiter.
Werde mal versuchen das die Firebox das Tracer korrekt anzeigt damit wir da sichergehen können das dort die Firebox antwortet... Allerdings habe ich im VPN Tunnel eingerichtet das die Anfragen an 192.168.1.0 und 192.168.2.0 per VPN an die Firebox getunnelt werden.
Ich denke das Problem liegt darin das die Firebox nicht weiß sie mit der Anfrage an 192.168.1.0 umzugehen hat. Obwohl ich unter Route in der Firebox die Route 192.168.1.0 auf 192.168.2.2 eingerichtet habe..
[tracert 192.168.5.34] Irgendeine IP
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 30 ms 29 ms 29 ms bras1.cgn.qsc.de [213.148.133.5]
3 89 ms 24 ms 24 ms core1.cgn.qsc.de [87.234.12.33]
4 core1.fra.qsc.de [87.234.12.217] meldet: Zielnetz nicht erreichbar.
Vom Home Netz ins Internet
[tracert 192.168.2.2] Server(2)
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 * * * Zeitüberschreitung der Anforderung.
3 41 ms 41 ms 41 ms 192.168.2.2
Vom Home Netz aufs Firmen Netzwerk(2)
[tracert 192.168.1.2] Server(1)
1 2 ms 2 ms 2 ms fritz.fonwlan.box [192.168.178.29]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung...
Vom Home Netz aufs Firmen Netzwerk(1)
Ah schade Visio habe ich leider nicht, aber das Diagramm sieht wirklich Top aus ;)
