45455
Goto Top

VPN über Hardware-Router an SBS 2003

Hab schon etwas gesucht, aber keine wirklich passende Lösung gefunden:

Ich habe einen Hardware-VPN-Router (Draytek 2950), der via PPTP oder L2TP VPN-Verbindungen annimmt. Die Clients bekommen auch ihre IP-Adresse. Der Teil ist weitgehend unproblematisch.

Aber wie komme ich jetzt beim SBS 2003 an die LAN-Verbindung (LAN1)?
Der Router hängt ja MS-konform an der Netzwerkverbindung (LAN2).
Raus ist klar, das macht er ja selbst, rein ist mir unklar.
Auf LAN2 bekomme ich kein ping von LAN1, umgekehrt sehr wohl. Dementsprechend dann auch keine Netzverbindung.


VPN-Client --- Internet --- Draytek --- LAN2 --- SBS-Netzwerkverbindung --- LAN1 --- SBS-LAN-Verbindung --- Clients

EINE Möglichkeit besteht ja darin, auf der Netzwerkverbindung ebenfalls DNS ansprechen zu lassen sowie MS-Dateifreigaben zu öffnen, und die VPN-Clients auf die LAN2-Adresse des Servers zu verbinden.
Das unterhölt ja aber die Funktion der Netzwerktrennung völlig und ermöglicht auch nicht die wechselnde Verwendung der VPN-Clients als interne Clients innerhalb LAN1 (oder erschwert es zumindest)
Wie bekomme ich das hin? Eventuell über statische Routen? (Hab ich schon versucht, aber wohl falsch)

Content-Key: 93564

Url: https://administrator.de/contentid/93564

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 04.08.2008 um 18:05:07 Uhr
Goto Top
Hier steht genau wie es geht:
Mitglied: 45455
45455 05.08.2008 um 02:32:03 Uhr
Goto Top
So hatte ich mir das eigentlich gedacht, aber der SBS reagiert nicht auf ein Ping ins innere Netz.

LANx statische Route von y.0 Mask 255.255.255.0 auf x.253 (äussere Adresse des Servers, in LANx)
ping auf x.253 funktioniert, auf y.... nicht.

Der SBS hat aber Standardkonfig, also eben die zwei NICs mit IP-Forwarding.
Laut dem Tutorial sollte es also gehen! ??
Mitglied: aqui
aqui 05.08.2008 um 13:56:52 Uhr
Goto Top
Der Server benötigt KEINE statische Route denn alle Netze kennt er da sie an ihm direkt angeschlossen sind !!!
Etwaige Routen musst du also entfernen.

Routing und RAS musst du bei 2k3 einschalten wie es auch im Tutorial steht !!! Mit der Standardkonfig geht es NICHT !!
Mitglied: 45455
45455 06.08.2008 um 07:44:40 Uhr
Goto Top
Routing und RAS ist bei SBS in der Standardkonfiguration aktiviert, der verlangt das so.
Anders würde ja die Lösung mit den zwei unterschiedlichen NICs nicht gehen.

Auf dem Server IST keine statische Route, sondern wie beschrieben auf dem Router.

An sich hab ich das umgesetzt, was im Tutorial steht.
- Routing und RAS IST aktiv und als IP-Forwarding konfiguriert
- statische Route im Router für Adressen im internen Netz auf sicht- und pingbare IP des SBS im äusseren Netz als Gateway IST eingerichtet.
Ich hab sogar den DNS für das äussere Netzwerksegment angeschaltet.

Trotzdem tut sich nichts, die Adressen bleiben unerreichbar.
DNS-Auflösung funktioniert ebenfalls nur für den Server mit der äusseren NIC

Ich denke halt, das der SBS das IP-Forwarding einwärts blockiert
Mitglied: aqui
aqui 06.08.2008 um 13:18:22 Uhr
Goto Top
Folgenden Ping Test solltest du machen:

Aus dem Client Netz: (Client hat IP des Servers als Gateway !)
Ping auf das Client Interface des Servers -> muss klappen !
Ping auf das externe Interface des Servers -> muss klappen !
Ping auf das Router Interface -> muss klappen !

Wenn die beiden letzten Pings nicht funktionieren (insbesondere der mittlere) dann macht dein Server de facto KEIN Routing bzw. ist Routing im Server NICHT aktiviert !!!
Es ist auch möglich das da im Server eine Firewall läuft die das verhindert !!!

Bevor du das Problem nicht löst brauchst du gar nicht erst weiterzumachen !

Das ist ein absolutes Standardszenario und funktioniert fehlerfrei wenn man es richtig aufsetzt !!!
Mitglied: 45455
45455 06.08.2008 um 22:18:13 Uhr
Goto Top
Alle 3 Pings funktionieren

Ping Router auf externes Server-Interface klappt
Ping Router auf Client-Interface des Servers klappt NICHT.

Firewall im SBS läuft nicht, auch nicht die Basisfirewall des Routing und RAS
Mitglied: aqui
aqui 07.08.2008 um 09:33:39 Uhr
Goto Top
Ha, dann hast du keine statische Route im Router selber konfiguriert, denn dann findet der das Client Segment nicht !!!

Auf den Router muss eine statische Route:
(Beispiel hier: Router: 172.16.1.1, Server: 172.16.1.253, 24 Bit Maske, Client Netz: 172.16.2.0)

Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 172.16.1.253

Die statische Route auf dem Router muss immer nach dem Schema:

Zielnetz: <client_zielnetz>, Maske: <maske_zielnetz>, Gateway: <next_hop_im_routerLAN>

auf dem Router eingetragen werden !

Vom Router aus muss ein Ping auf das interne (Client) und externe Segment möglich sein ! Dies muss ebenfalls auch sauber vom Server aus funktionieren !

Entweder stimmt da was mit deiner Adressierung (Maske etc.) nicht auf dem externen Segment, die Route im Router fehlt wie gesagt, oder es ist doch eine Firewall aktiv... !
Eins von den 3 Dingen ist es, denn das ist ein absolutes Standardszenario was in 5 Minuten aufzusetzen ist und einwandfrei funktioniert !!