Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN über Router an SBS 2003 mit 2 Netzwerkkarten

Frage Netzwerke Router & Routing

Mitglied: codenameiceman

codenameiceman (Level 1) - Jetzt verbinden

23.04.2009, aktualisiert 18.10.2012, 5144 Aufrufe, 3 Kommentare

Hallo Community, erstmal großes Lob für dieses tolle Forum mit interessanten Beiträgen und informativen Inhalten.
Ich habe hier schon oft Tutorials oder Hilfe für Probleme gefunden.
Hoffe Ihr könnt mir bei folgendem Problem weiterhelfen, würde mich freuen.

Kurzer Überblick:

Dell Poweredge 2900 Server mit SBS 2003 Standard Edition SP2
2 Netzwerkkarten
intern statisch: 10.x.x.x und extern statisch 192.x.x.x engerichtet (192.x.x.x Raum ist der, der Fritzbox)
sonst normale Domänenanmeldung der Clients am Server und Zugang zum Internet über den Server.
Nur 5 Clients.
Router derzeit eine Fritzbox, allerdings jetzt Umstieg auf eine Zyxel USG-100 mit VPN über IPSec, L2tp oder SSL-VPN geplant.

Zum Testen habe ich bisher folgendes eingerichet, da ich im laufenden Betrieb, wo Mitarbeiter dran arbeiten nicht einfach an der bisherigen Serverkonfig rumdoktern will:
Zur Einbindung mobiler Mitarbeiter ins Netzwerk möchte ich VPN over IpSec am Router realisieren und dann soll man sich an der Domäne anmelden können für Exchange, Drucker, etc. VPN Tunnel Aufbau per VPN Client am Zyxel Router funktioniert und Zugriff auf das Subnetz des Zyxel Routers läuft prima. VPN wird also am Router terminiert.

Server der im Moment noch an der Fritz-Box als Router hängt, läuft auch, allerdings folgendes Problem:
Per WLAN an der Fritz.Box angemeldete PC´s können weder den Server noch die internen Clients per Ping erreichen.
Externer Zugriff per OWA funktionert über statische Route des HTTPS Ports in der Fritzbox.
Von den PC-Clients im 10.x.x.x Netz kann man problemlos den Router, und beide Netzwerkkarten des Servers anpingen.

Meine Frage ist nun, falls ich nun den Server an das Zyxel Router hänge wie gehabt, wie komme ich per VPN (funktionert zum Router) dann auf den Server?

Routing und Ras ist aktiv, Lan-Routing auch. VPN soll nur bis zum Zyxel Router gehen.
Mir ist aufgefallen dass unter Routing und RAS-> IP-Routing -> Nat/Basisfirewall in der Serverwaltungskonsole bei der externen Netzwerkkarte in der Registerkarte
NAT-Basisfirewall unter Schnittstellentyp "An das Internet öffentliche Schnittstelle" die Basisfirewall aktiviert ist und unter dem Register Dienste und Ports die Häkchen bei
Ip-Sicherheit (IKE, IKE NAT) und VPN-Gateway (L2TP/IpSec - wird auf dem Server ausgeführt) nicht gesetzt sind. Unter ICMP ist eingehende Echoanforderung auch kein Häkchen gesetzt.

Muss ich die Basisfirewall hier ausschalten und die Häkchen aktivieren wenn ich alles an den Zyxel Router hänge?

Bin noch nicht so firm in der ganzen Geschichte, vielleicht für Profis von euch ganz simpel, leider hab ich hier noch zu wenig Erfahrung..
Würde mich über Unterstützung freuen.
Mitglied: aqui
25.04.2009, aktualisiert 18.10.2012
"...Per WLAN an der Fritz.Box angemeldete PC´s können weder den Server noch die internen Clients per Ping erreichen." ;

Das liegt vermutlich daran das du am Server kein sauber geroutetes Szenario hast sondern lediglich ein simples ICS Szenario mit NAT:
Siehe
http:
www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-windows-u.-linux-56073.html
bzw.
http:
www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-windows-u.-linux-56073.html#toc10

Indiz dafür ist immer die statische Route am Router. bei dir muss sie auf das 10.x.x.x Netz zeigen.
Ohne diese statische Route am Router machst du mit 100%ider Sicherheit NAT/ICS und damit ist ein VPN nicht möglich, da die NAT/ICS Firewall des Servers von außen so nicht überwindbar ist !!
Ein schlichte Fehlkonfiguration des Servers deinerseits wenn dem so ist !
Damit können dann WLAN Clients die NAT Firewall im Server (der so ja Adress Translation macht !) nicht überwinden und eine Verbindung ist unmöglich ohne Port Forwarding.
Andere Fehlerquelle:
Die Firewall der Clients lässt nur Verbindungen aus dem lokalen Netzwerk 10.x.x.x zu nicht aber Verbindungen aus fremden Netzen 192.168.x.x !!
Hier an den 10er Clients musst du die Firewall entsprechend anpassen !!!
Weiterer Fehler: Du hast vergessen den ICMP echo reply Support in den erweiterten Eigendschaften der Firewall (ICM) zu aktivieren. Damit ist ein Ping generell nicht möglich ! Den Fehler beschreibst du ja auch selber oben !!

Normalerweise must du gar nichts machen damit das VPN mit dem Zyxel funktioniert. Der Router ist am Server ja Default Gateway, so das auch keinerlei Routen einzutragen sind, mit Ausnahme der statischen Route auf das Client Netz am Router selber !! Dann ist dein Szenario genau so konfiguriert wie im o.a. Tutorial beschrieben und alles sollte fehlerfrei funktionieren.

Wie gesagt: Sowie du aber ein ICS Szenario mit Adress Translation (NAT) am Router NIC des des Servers hast, ist ein VPN so nicht möglich.
Dein Server muss sauber routen OHNE ICS wie im o.a. Tutorial beschrieben !
Bitte warten ..
Mitglied: codenameiceman
25.04.2009 um 22:12 Uhr
Danke für die Antwort.
Das mit dem WLAN war um zu testen wie ich aus dem 192.x.x.x Netz auf den Server komme.
Das mit dem Ping hat funktioniert, war die "Eingehende Echoanforderung" zulassen in den Eigenschaften.
Werde es einfach nächste Woche umstellen auf den Zyxel und dann schau ich mal.

Hmm, ich habe mir überlegt, dass ich vielleicht gar nicht ins 10.x.x.x Netz muss, sondern nur per Exchange mit dem Server verbinden, wenn ich mit dem Laptop unterwegs bin.
Und wozu sind die Häkchen in Dienste und Ports für IKE, IKE NAT und VPN (L2TP) die auch anhaken?
Oder macht es Sinn die zweite Netzwerkkarte umzukonfigurieren als privates Netzwerk und nicht mehr als öffentliche Schnittstelle mit NAT Firewall?.
Bitte warten ..
Mitglied: codenameiceman
04.05.2009 um 12:11 Uhr
So, also VPN und Webarbeitsplatz funktioniert über den Zyxel Router und bestehender Config, hab nur die Netzwerkadressen des Servers auf den Router angepasst. Kann auf den Server zugreifen.
Nur auf das Exchange zugreifen mit Outlook vom Laptop will noch nicht ganz.
Kann hier jemand helfen?
Und wozu sind die Häkchen in Dienste und Ports für IKE, IKE NAT? Wenn man die benutzt, welche private Adresse muss man dann eintragen in der Registerkarte?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst VPN Router Cisco oder Andere (5)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...