14
Routingproblem mit 2 NICs
Hallo!
Folgendes Problem:
Es gibt ein SBS2003-Netzwerk, der Server hat die 192.168.0.10
Dieser baut ein VPN zu einer Filiale auf. Über diesen Tunnel soll ein IP-Telefon an die Telefonanlage im Serverraum angeschlossen werden. Der Tunnel funktioniert einwandfrei.
Der PC in der Filiale hat 2 Nics. An dem ersten (192.168.30.1) hängt das ADSL2-Modem (kein Router). Am 2. Nic (192.168.20.1) hängt das IP-Phone (192.168.20.2). Alles hat die Maske 255.255.255.0
IP-Routing ist auf dem PC aktiviert. Der Server kann vom PC aus angepingt werden. Das IP-Phone ebenfalls, der PC kann auch vom IP-Phone angepingt werden.
Nur der Zugriff vom IP-Phone durch den Tunnel auf den Server funktioniert nicht. Sicher muss da noch eine Route gelegt und Gateways definiert werden, ich weiß aber nicht, wie.
Ich hoffe, ihr könnt mir helfen.
Gruß,
michael
Folgendes Problem:
Es gibt ein SBS2003-Netzwerk, der Server hat die 192.168.0.10
Dieser baut ein VPN zu einer Filiale auf. Über diesen Tunnel soll ein IP-Telefon an die Telefonanlage im Serverraum angeschlossen werden. Der Tunnel funktioniert einwandfrei.
Der PC in der Filiale hat 2 Nics. An dem ersten (192.168.30.1) hängt das ADSL2-Modem (kein Router). Am 2. Nic (192.168.20.1) hängt das IP-Phone (192.168.20.2). Alles hat die Maske 255.255.255.0
IP-Routing ist auf dem PC aktiviert. Der Server kann vom PC aus angepingt werden. Das IP-Phone ebenfalls, der PC kann auch vom IP-Phone angepingt werden.
Nur der Zugriff vom IP-Phone durch den Tunnel auf den Server funktioniert nicht. Sicher muss da noch eine Route gelegt und Gateways definiert werden, ich weiß aber nicht, wie.
Ich hoffe, ihr könnt mir helfen.
Gruß,
michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 106165
Url: https://administrator.de/contentid/106165
Printed on: April 18, 2024 at 19:04 o'clock
14 Comments
Latest comment
Hi,
auf den ersten Blick würde ich sagen dem IP Telefon fehlt das Default GW. Hier sollte der PC (192.168.20.1) eingetragen sein.
Evtl. muss auf dem SBS nochz eine Router für das 192.168.20er netz gesetzt werden.
lg,
Slainte
auf den ersten Blick würde ich sagen dem IP Telefon fehlt das Default GW. Hier sollte der PC (192.168.20.1) eingetragen sein.
Evtl. muss auf dem SBS nochz eine Router für das 192.168.20er netz gesetzt werden.
lg,
Slainte
Hallo! Danke für die schnelle Antwort.
Ich kann den 2.Nic aber nicht anpingen, das sollte doch gehen, oder?
Solange ich auf dem PC nicht über den 2. Nic wieder rauskomme, ist die Gatewayfrage noch zweitrangig, oder denke ich hier falsch?
Ich kann den 2.Nic aber nicht anpingen, das sollte doch gehen, oder?
Solange ich auf dem PC nicht über den 2. Nic wieder rauskomme, ist die Gatewayfrage noch zweitrangig, oder denke ich hier falsch?
Hi,
alles was nicht im gleichen Subnetz wie der "Absender" ist, geht uebers Default GW.
Das IP Phone hat also erstmal keine Ahnung, wo hin es Pakete mit 192.168.30.* oder 192.168.0.* als Empfänger schicken soll.
lg,
Slainte
alles was nicht im gleichen Subnetz wie der "Absender" ist, geht uebers Default GW.
Das IP Phone hat also erstmal keine Ahnung, wo hin es Pakete mit 192.168.30.* oder 192.168.0.* als Empfänger schicken soll.
lg,
Slainte
Also:
Ich kann vom Filialen-PC das IP-Phone und den Server durch den Tunnel anpingen. Es scheint, als könnten sich die beiden NICs nicht unterhalten??
Ich kann vom Filialen-PC das IP-Phone und den Server durch den Tunnel anpingen. Es scheint, als könnten sich die beiden NICs nicht unterhalten??
...ich würde mal sagen, Du siehst Dir mal aqui´s Tut an. Dort findest Du alle Antworten auf Deine Fragen und passende Lösungsvoschläge:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
mfg telefix1
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
mfg telefix1
Wenn er das durchgearbeitet hat sollte er wenigstens das Telefon von überallher pingen können, dann ist die IP Verbindung auch OK.
Nur nochmal zur Klarstellung ! Dein Szenario sieht SO aus:
Ist das richtig ???
Dann wäre es wichtig zu erfahren ob das Telefon ein eigenständiges SIP Telefon ist oder ob es einen zentralen Call Manager (Voice Gateway) für den Betrieb benötigt ??
Bzw. WO ist das SIP Gateway für das Telefon ??? Ist das im lokalen, remoten VPN Netz oder im Internet ???
Alles Informationen die fehlen, die man aber zwingend für eine qualifizierte Antwort benötigt !!
Nur nochmal zur Klarstellung ! Dein Szenario sieht SO aus:
Ist das richtig ???
Dann wäre es wichtig zu erfahren ob das Telefon ein eigenständiges SIP Telefon ist oder ob es einen zentralen Call Manager (Voice Gateway) für den Betrieb benötigt ??
Bzw. WO ist das SIP Gateway für das Telefon ??? Ist das im lokalen, remoten VPN Netz oder im Internet ???
Alles Informationen die fehlen, die man aber zwingend für eine qualifizierte Antwort benötigt !!
Hallo und Danke erstmal für die Infos.
Ich setze mich gleich an das Tutorial.
Das Szenario ist richtig so.
Das IP-Phone wird von unserer Hipath-Telefonanlage mit VOIP-Gateway (192.168.0.104) versorgt, die auf dem Switch hinter dem Server mit
draufsteckt. Es ist ein Openstage40 HFA Systemapparat.
Ich hoffe, das ich jetzt nichts mehr vergessen habe.
Ich setze mich gleich an das Tutorial.
Das Szenario ist richtig so.
Das IP-Phone wird von unserer Hipath-Telefonanlage mit VOIP-Gateway (192.168.0.104) versorgt, die auf dem Switch hinter dem Server mit
draufsteckt. Es ist ein Openstage40 HFA Systemapparat.
Ich hoffe, das ich jetzt nichts mehr vergessen habe.
Oha, ein Voice Netzwerk das nicht in einem separaten VLAN betrieben wird
Wer hat denn das Design verbrochen doch nicht etwas Siemens oder ???
Aus rein rechtlichen Dingen (Wahrung des Fernmeldegeheimnisses) ist das schon höchst bedenklich für eine Firma !! So kann jeder mit den bekannten Tools aus dem Internet lokal alle Telefongespräche ohne Probleme belauschen..... !!!
Ebenso einen Windows PC direkt mit Modem im Internet offen zu exponieren ist nicht wirklich eine gute Idee und zeugt ebenfalls von erheblichen Defiziten im Sicherheitsdesign von Netzwerken wie schon oben bei VoIP. Besser würde man hier mit 2 VPN Routern arbeiten, die die VPN Verbindung Netz zu Netz realisieren OHNE die Frickelei über einen Windows Server und offenem PC.....nur mal so als Anregung !!??
OK, zurück zu deinem Problem:
Bedenke das die Siemens VoIP Telefone ein Betriebssystem per TFTP oder BootP von der Anlage booten beim Einschalten.
Wenn dem bei dir so ist, musst du die IP des TFTP/BootP Servers (vermutlich dann 192.168.0.104) statisch im Telefon hinterlegen, denn sonst findet das Telefon die Anlage nicht, da TFTP/BootP Broadcasts NICHT über Router (VPN PC) übertragen werden !!!
In jedem Falle muss ein Ping von der Anlage 192.168.0.104 auf das Telefon oder den remoten PC 192.168.20.1 sauber funktionieren um die IP Connectivity sicherzustellen !!!
Dazu musst du sicherstellen das die Anlage das Telefon über den Server und sein VPN erreichen kann (Routing). Das Default Gateway auf das die Telefonanlage zeigt muss also einen Routing Eintrag zum 192.168.20.0er Netz haben via Server 192.168.0.10 !
Das sollte aber alles machbar sein und problemlos funktionieren !
Wer hat denn das Design verbrochen doch nicht etwas Siemens oder ???
Aus rein rechtlichen Dingen (Wahrung des Fernmeldegeheimnisses) ist das schon höchst bedenklich für eine Firma !! So kann jeder mit den bekannten Tools aus dem Internet lokal alle Telefongespräche ohne Probleme belauschen..... !!!
Ebenso einen Windows PC direkt mit Modem im Internet offen zu exponieren ist nicht wirklich eine gute Idee und zeugt ebenfalls von erheblichen Defiziten im Sicherheitsdesign von Netzwerken wie schon oben bei VoIP. Besser würde man hier mit 2 VPN Routern arbeiten, die die VPN Verbindung Netz zu Netz realisieren OHNE die Frickelei über einen Windows Server und offenem PC.....nur mal so als Anregung !!??
OK, zurück zu deinem Problem:
Bedenke das die Siemens VoIP Telefone ein Betriebssystem per TFTP oder BootP von der Anlage booten beim Einschalten.
Wenn dem bei dir so ist, musst du die IP des TFTP/BootP Servers (vermutlich dann 192.168.0.104) statisch im Telefon hinterlegen, denn sonst findet das Telefon die Anlage nicht, da TFTP/BootP Broadcasts NICHT über Router (VPN PC) übertragen werden !!!
In jedem Falle muss ein Ping von der Anlage 192.168.0.104 auf das Telefon oder den remoten PC 192.168.20.1 sauber funktionieren um die IP Connectivity sicherzustellen !!!
Dazu musst du sicherstellen das die Anlage das Telefon über den Server und sein VPN erreichen kann (Routing). Das Default Gateway auf das die Telefonanlage zeigt muss also einen Routing Eintrag zum 192.168.20.0er Netz haben via Server 192.168.0.10 !
Das sollte aber alles machbar sein und problemlos funktionieren !
So, da bin ich wieder.
Ping vom Telefon auf beide Nics im PC funktioniert jetzt.
Nur durch den Tunnel gehts nicht weiter.
Muß ich im Isa2004 noch eine Richtlinie definieren, damit das durchgeht?
Wie muß/soll die aussehen?
An der Anlage selbst kann ich nichts einstellen, das müssen die Siemens-Leute machen. Ich soll nur den Tunnel bereitstellen.
Danke für die Hilfe! Ihr seid echt klasse!
Ping vom Telefon auf beide Nics im PC funktioniert jetzt.
Nur durch den Tunnel gehts nicht weiter.
Muß ich im Isa2004 noch eine Richtlinie definieren, damit das durchgeht?
Wie muß/soll die aussehen?
An der Anlage selbst kann ich nichts einstellen, das müssen die Siemens-Leute machen. Ich soll nur den Tunnel bereitstellen.
Danke für die Hilfe! Ihr seid echt klasse!
Ja natürlich musst du das sofern du dort eine ACL hast.
Du musst alle Ports für SIP (Session Initiation Protokoll) und RTP (Realtime Transaction Protocol) freigeben auf die Siemens Anlage !
Ob Siemens noch weitere Protokolle nutzt musst du die selber fragen, kann sicher nicht schaden um sicherzugehen !
Du solltest erstmal generell für das Telefon als Host alles komplett freigeben, die Telefonfunktion testen und dann langsam wieder dichtmachen....
So kannst du immer sehen was offen bleiben muss damits rennt
Du musst alle Ports für SIP (Session Initiation Protokoll) und RTP (Realtime Transaction Protocol) freigeben auf die Siemens Anlage !
Ob Siemens noch weitere Protokolle nutzt musst du die selber fragen, kann sicher nicht schaden um sicherzugehen !
Du solltest erstmal generell für das Telefon als Host alles komplett freigeben, die Telefonfunktion testen und dann langsam wieder dichtmachen....
So kannst du immer sehen was offen bleiben muss damits rennt
Ich dreh' am Rad!
Ich kann vom Telefon aus die beiden Nics und den Endpunkt des
Tunnels anpingen.
Ich komme aber nicht mit dem Telefon durch den Tunnel. Vom PC aus kann
ich den Server und die Telefonanlage erreichen, nur vom Telefon nicht...
Ich habe auf dem Isa2004 Richtlinien erstellt, in denen ich die beiden Nics
und die IP des Telefons also alle IPs der Filiale für den kompletten Verkehr
freigegeben habe. Trotzdem kommt das Telefon nicht durch.
Noch jemand eine Idee???
Gruß aus dem verregneten Frankfurt
Ich kann vom Telefon aus die beiden Nics und den Endpunkt des
Tunnels anpingen.
Ich komme aber nicht mit dem Telefon durch den Tunnel. Vom PC aus kann
ich den Server und die Telefonanlage erreichen, nur vom Telefon nicht...
Ich habe auf dem Isa2004 Richtlinien erstellt, in denen ich die beiden Nics
und die IP des Telefons also alle IPs der Filiale für den kompletten Verkehr
freigegeben habe. Trotzdem kommt das Telefon nicht durch.
Noch jemand eine Idee???
Gruß aus dem verregneten Frankfurt
Da solltest du mal einen Sniffer (Wireshark oder MS NetMonitor) zwischen Telefon und Netz schleifen und den Traffic mitsniffern.
Analog ebenfalls auf der anderen Seite wo der Tunnel endet und wo es zur Telefonanlage geht. Also am besten in den Anlagenanschluss.
Damit kannst du dann genau sehen ob alle Pakete die vom Telefon via VPN zur Anlage gehen auch 1 zu 1 an der Anlage ankommen....und umgekehrt.
Kannst du statt Telefon ggf. ein PC/Laptop mit Siemens Softphone zum testen nehmen ??
Vermutlich wird da immer noch irgendwas auf dem Weg geblockt...
Analog ebenfalls auf der anderen Seite wo der Tunnel endet und wo es zur Telefonanlage geht. Also am besten in den Anlagenanschluss.
Damit kannst du dann genau sehen ob alle Pakete die vom Telefon via VPN zur Anlage gehen auch 1 zu 1 an der Anlage ankommen....und umgekehrt.
Kannst du statt Telefon ggf. ein PC/Laptop mit Siemens Softphone zum testen nehmen ??
Vermutlich wird da immer noch irgendwas auf dem Weg geblockt...
Hallo!
Langsam lichtet sich der Nebel:
Ping geht durch den Tunnel und bleibt am ISA-Server hängen. Das Telefon versucht auch ständig, Kontakt mit der Anlage aufzunehmen, wird aber blockiert wgen Spoofing:
Verweigerte Verbindung BLUBA-SERVER 20.01.2009 18:34:12
Protokollierungstyp: Firewalldienst
Status: Ein Paket wurde verworfen, weil von ISA Server ermittelt wurde, dass die Quell-IP-Adresse gespooft ist.
Regel:
Quelle: radilo ( 192.168.20.2:8)
Ziel: Intern ( 192.168.0.104:0)
Protokoll: Ping
Was muss ich freischalten, damit die Pakete durchkommen?
Gruß,
mb
Langsam lichtet sich der Nebel:
Ping geht durch den Tunnel und bleibt am ISA-Server hängen. Das Telefon versucht auch ständig, Kontakt mit der Anlage aufzunehmen, wird aber blockiert wgen Spoofing:
Verweigerte Verbindung BLUBA-SERVER 20.01.2009 18:34:12
Protokollierungstyp: Firewalldienst
Status: Ein Paket wurde verworfen, weil von ISA Server ermittelt wurde, dass die Quell-IP-Adresse gespooft ist.
Regel:
Quelle: radilo ( 192.168.20.2:8)
Ziel: Intern ( 192.168.0.104:0)
Protokoll: Ping
Was muss ich freischalten, damit die Pakete durchkommen?
Gruß,
mb
Ping ist ICMP Typ 0 und Typ 8
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Wenn du also ICMP generell freischaltest für das Pärchen
Quelle: radilo ( 192.168.20.2:8)
Ziel: Intern ( 192.168.0.104:0)
sollte das nicht mehr geblockt werden !
http://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Wenn du also ICMP generell freischaltest für das Pärchen
Quelle: radilo ( 192.168.20.2:8)
Ziel: Intern ( 192.168.0.104:0)
sollte das nicht mehr geblockt werden !
