Jan 17, 2013, updated at 17:23:52 (UTC)

3880

VPN Verbindung zwischen 2 Standorten, Verbindung steht aber kein Zugriff auf Laufwerke etc

Guten Abend zusammen,

ich hab nen kleines Problem, und finde den Fehler nicht.

Wir haben 2 Büros an unterschiedlichen Standorten. Diese sollen mittels VPN verbunden werden.

auf Seite 1 sieht die Konfig wie folgt aus:

SBS2011 Server als DHCP, DNS, VPN Server und Gateway - Netz 192.168.19.0

Seite 2:
Cisco Router als VPN Server, dahinter ein SBS 2008 als DHCP und DNS sowie diverse NAS Laufwerke - Netz 192.168.60.0

Nun sollen alle Clients auf Seite 1 auf die NAS Laufwerke der Seite 2 zugreifen können.

Also auf Seite 1 per RRAS eine Verbindung zur Cisco erstellt.
Auch eine statische Route auf dem SBS 2011 angelegt (mit dem Assistenten für die Verbindung)

Ipconfig /all gibt folgendes aus:
[quote]
Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : xxxxxx
Prim„res DNS-Suffix . . . . . . . : xxxxxxx.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : xxxxxxx.local

PPP-Adapter Remoterouter:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Remoterouter
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.60.108(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server . . . . . . . . . . . : 192.168.60.5
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
[/quote]
Die Routen konfig sieht so aus:
[quote]

Schnittstellenliste
22...........................Remoterouter
21...........................RAS (Dial In) Interface
10...00 19 b9 15 a9 1c ......Broadcom NetXtreme 57xx-Gigabit-Controller
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
15...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.19.1 192.168.19.5 15
82.198.198.56 255.255.255.255 192.168.19.1 192.168.19.5 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.19.0 255.255.255.0 Auf Verbindung 192.168.19.5 266
192.168.19.5 255.255.255.255 Auf Verbindung 192.168.19.5 266
192.168.19.53 255.255.255.255 Auf Verbindung 192.168.19.53 306
192.168.19.255 255.255.255.255 Auf Verbindung 192.168.19.5 266
192.168.60.0 255.255.255.0 192.168.19.108 192.168.19.5 264
192.168.60.108 255.255.255.255 Auf Verbindung 192.168.60.108 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.19.5 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.19.53 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.60.108 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.19.5 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.19.53 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.60.108 266

St„ndige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.19.1 5

IPv6-Routentabelle

Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
10 266 fe00::/8 Auf Verbindung
10 266 fe80::/64 Auf Verbindung
10 266 fe80::c84f:48bd:65b4:1160/128
Auf Verbindung
10 266 fe80::d702:1e38:d66:8bb9/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
10 266 ff00::/8 Auf Verbindung
21 306 ff00::/8 Auf Verbindung

St„ndige Routen:
Keine
[/quote]

Soweit so gut. Allerdings habe ich keinerlei Verbindung von meinen Clients in das andere Netzwerk.
Ich kann aus dem 19er netz nen ping an das 60er netz schicken, der geht aber verloren. heisst ich kann nix anpingen und auch nicht per IP auf irgendein NAS zugreifen.

Und nun kommt die Frage aller Fragen: Was mache ich falsch ? Liegt es am SBS2011 (von dem kann ich auf das 60er Netz zugreifen) oder liegt es vielleicht an einer Client Einstellung ?

Bin für jeden Tip dankbar.

Gruß
Marc

Please also mark the comments that contributed to the solution of the article

Content-Key: 197187

Url: https://administrator.de/contentid/197187

Printed on: April 23, 2024 at 17:04 o'clock

7 Comments

Latest comment

Falls du PPTP als VPN Dialin Protokoll benutzt findest du hier eine lauffähige Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
denn zur Cisco Konfig machst du keinerlei Aussagen..leider, was die zielführende Hilfe nicht leichter macht !

Das ist aber ein essentieller Teil, denn ohne korrektes VPN ggf. ACLs hier kann es solche Probleme geben.
Frage die sich stellt, kannst du das lokale Ethernet LAN Interface des Ciscos pingen !
Wichtig ist auch WELCHES Default Gateway die Clients am Winblows server haben ?? Wenn das der Server ist ist gut, wenn das aber ein lokaler Router ist dann muss DORT die statische Route definiert werden, die am Server nützt dann rein gar nix !
Traceroute (tracert) und Pathping sind hier deine Freunde für die Wegefindung !!

Entschuldige,
also alle Clients nehmen den SBS2011 als gateway. Eine direkteinwahl vom Client funktioniert auch mit Zugriff Aug die NAS Laufwerke und alles andere. Werde mir nachher um Büro den anderen Beitrag mal ansehen, bin zur Zeit mobil unterwegs .

von meiner Seite aus kann ich die Cisco nur anpingen wenn ich eine direkte VPN herstelle

So, habe nun nochmal alles nachgelesen und geprüft.
Die Cisco läuft, nimmt die VPN Verbindungen auch an.
Mom normalen Client kann ich eine direkte Verbindung herstellen und kann auch auf das entfernte Netz inkl. aller Freigabe und NAS Laufwerke zugreifen.

Von dem SBS 2011 funktioniert auch alles.
Als Protokoll läuft derzeit PPTP.

Jeder Client hat als Gateway den SBS 2011. Nameserver werden zuerst über den SBS dann über einen externen NS aufgelöst.
Irgendwie habe ich das Gefühl das das Routing nicht an die Clients weitergegeben wird.

Ein tracert vom Client ins andere Netz bei bestehender Verbindung des SBS sieht wie folgt aus:

Routenverfolgung zu 192.168.60.5 ber maximal 30 Abschnitte

1 <1 ms * <1 ms xxxxxxxxxxxxxxxxx.local [192.168.19.5]
2 * * * Zeitberschreitung der Anforderung.
3 * * * Zeitberschreitung der Anforderung.
4 * * * Zeitberschreitung der Anforderung.
5 * * * Zeitberschreitung der Anforderung.
6 * * * Zeitberschreitung der Anforderung.
7 * * * Zeitberschreitung der Anforderung.
8 * * * Zeitberschreitung der Anforderung.
9 * * * Zeitberschreitung der Anforderung.
10 * * * Zeitberschreitung der Anforderung.
11 * * * Zeitberschreitung der Anforderung.
12 * * * Zeitberschreitung der Anforderung.
13 * * * Zeitberschreitung der Anforderung.
14 * * * Zeitberschreitung der Anforderung.
15 * * * Zeitberschreitung der Anforderung.
16 * * * Zeitberschreitung der Anforderung.
17 * * * Zeitberschreitung der Anforderung.
18 * * * Zeitberschreitung der Anforderung.
19 * * * Zeitberschreitung der Anforderung.

Vielleicht irgendeine Idee ?
Eine Lösung mit 2 Routern die die Verbindung herstellen ist nicht möglich.
Habe auch dieses Tut http://www.stefan-korn.de/website/computer/winroutingtut.html (obwohl für 2000) mal durchgesehen und keine Unterschiede zu meinem SBS 2011 gefunden. Alles gleich konfiguriert.

Irgendwie bin ich gerade ein wenig ratlos.

Gruß
Marc

Hast du generell auf dem Server Routing aktiviert ??
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das ist essentiell wichtig damit der überhaupt Traffic forwardet.
Zu befürchten ist aber das der Cisco nur als Client Dialin konfiguriert ist, damit ist dann nur ein Client Dialin möglich niemals aber eine Site to Site Kopplung was du da machen willst.

Berichtige mich wenn ich falsch liege, aber das forwarding ist an ... richtig ?

----------------------------------
IPv4-Konfiguration
----------------------------------

pushd interface ipv4

reset
set global icmpredirects=enabled dhcpmediasense=disabled
add route prefix=0.0.0.0/0 interface="LAN-Verbindung" nexthop=192.168.19.1 metric=5 publish=Ja
set interface interface="Loopback Pseudo-Interface 1" forwarding=enabled advertise=enabled nud=enabled
add address name="LAN-Verbindung" address=192.168.19.5 mask=255.255.255.0

popd

Ende der IPv4-Konfiguration

Keine Ahnung was der Output bedeuten soll und wo der herkommt aber bei Winblows geht das mit einem Haken im Setup oder einem Eingriff in die Registry. Siehe Tutorial.
Ob es geht kann man sehen, wenn man vom LAN Port z.B. den VPN Port oder einen anderen Port am Server pingen kann.
Dann forwardet der sauber IPv4 Paketes und das Routing ist aktiv.
Wenns nicht geht ist das Routing eben nicht aktiv.
Die Frage ist wie sich der MS Server verhält wenn der als Client ein PPTP Dialin macht, also ob die PPTP Verbindung eine isolierte reine Punkt zu Punkt Client Verbindung ist oder ob er den PPTP Tunnel als transparente IP Verbindung sieht über die er auch routen kann.
Kannst du da im Server Log ggf. was sehen ?

Das ist natürlich ne gute Frage ...
Was ich sagen kann ist das wenn der SBS per RAS verbunden ist, bekommt die Einwahlschnittstelle die 192.168.60.107 zugewiesen. Der SBS hat die 192.168.19.5 .

Nun kann ich vom Client (192.168.19.10) die 192.168.60.107 pingen und kriege auch ne Antwort. Aber das war es dann auch ...

German Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments