codenameiceman
Goto Top

VPN über Router an SBS 2003 mit 2 Netzwerkkarten

Hallo Community, erstmal großes Lob für dieses tolle Forum mit interessanten Beiträgen und informativen Inhalten.
Ich habe hier schon oft Tutorials oder Hilfe für Probleme gefunden.
Hoffe Ihr könnt mir bei folgendem Problem weiterhelfen, würde mich freuen.

Kurzer Überblick:

Dell Poweredge 2900 Server mit SBS 2003 Standard Edition SP2
2 Netzwerkkarten
intern statisch: 10.x.x.x und extern statisch 192.x.x.x engerichtet (192.x.x.x Raum ist der, der Fritzbox)
sonst normale Domänenanmeldung der Clients am Server und Zugang zum Internet über den Server.
Nur 5 Clients.
Router derzeit eine Fritzbox, allerdings jetzt Umstieg auf eine Zyxel USG-100 mit VPN über IPSec, L2tp oder SSL-VPN geplant.

Zum Testen habe ich bisher folgendes eingerichet, da ich im laufenden Betrieb, wo Mitarbeiter dran arbeiten nicht einfach an der bisherigen Serverkonfig rumdoktern will:
Zur Einbindung mobiler Mitarbeiter ins Netzwerk möchte ich VPN over IpSec am Router realisieren und dann soll man sich an der Domäne anmelden können für Exchange, Drucker, etc. VPN Tunnel Aufbau per VPN Client am Zyxel Router funktioniert und Zugriff auf das Subnetz des Zyxel Routers läuft prima. VPN wird also am Router terminiert.

Server der im Moment noch an der Fritz-Box als Router hängt, läuft auch, allerdings folgendes Problem:
Per WLAN an der Fritz.Box angemeldete PC´s können weder den Server noch die internen Clients per Ping erreichen.
Externer Zugriff per OWA funktionert über statische Route des HTTPS Ports in der Fritzbox.
Von den PC-Clients im 10.x.x.x Netz kann man problemlos den Router, und beide Netzwerkkarten des Servers anpingen.

Meine Frage ist nun, falls ich nun den Server an das Zyxel Router hänge wie gehabt, wie komme ich per VPN (funktionert zum Router) dann auf den Server?

Routing und Ras ist aktiv, Lan-Routing auch. VPN soll nur bis zum Zyxel Router gehen.
Mir ist aufgefallen dass unter Routing und RAS-> IP-Routing -> Nat/Basisfirewall in der Serverwaltungskonsole bei der externen Netzwerkkarte in der Registerkarte
NAT-Basisfirewall unter Schnittstellentyp "An das Internet öffentliche Schnittstelle" die Basisfirewall aktiviert ist und unter dem Register Dienste und Ports die Häkchen bei
Ip-Sicherheit (IKE, IKE NAT) und VPN-Gateway (L2TP/IpSec - wird auf dem Server ausgeführt) nicht gesetzt sind. Unter ICMP ist eingehende Echoanforderung auch kein Häkchen gesetzt.

Muss ich die Basisfirewall hier ausschalten und die Häkchen aktivieren wenn ich alles an den Zyxel Router hänge?

Bin noch nicht so firm in der ganzen Geschichte, vielleicht für Profis von euch ganz simpel, leider hab ich hier noch zu wenig Erfahrung..
Würde mich über Unterstützung freuen.

Content-Key: 114527

Url: https://administrator.de/contentid/114527

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 25.04.2009, aktualisiert am 18.10.2012 um 18:38:03 Uhr
Goto Top
"...Per WLAN an der Fritz.Box angemeldete PC´s können weder den Server noch die internen Clients per Ping erreichen."

Das liegt vermutlich daran das du am Server kein sauber geroutetes Szenario hast sondern lediglich ein simples ICS Szenario mit NAT:
Siehe
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
bzw.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Indiz dafür ist immer die statische Route am Router. bei dir muss sie auf das 10.x.x.x Netz zeigen.
Ohne diese statische Route am Router machst du mit 100%ider Sicherheit NAT/ICS und damit ist ein VPN nicht möglich, da die NAT/ICS Firewall des Servers von außen so nicht überwindbar ist !!
Ein schlichte Fehlkonfiguration des Servers deinerseits wenn dem so ist !
Damit können dann WLAN Clients die NAT Firewall im Server (der so ja Adress Translation macht !) nicht überwinden und eine Verbindung ist unmöglich ohne Port Forwarding.
Andere Fehlerquelle:
Die Firewall der Clients lässt nur Verbindungen aus dem lokalen Netzwerk 10.x.x.x zu nicht aber Verbindungen aus fremden Netzen 192.168.x.x !!
Hier an den 10er Clients musst du die Firewall entsprechend anpassen !!!
Weiterer Fehler: Du hast vergessen den ICMP echo reply Support in den erweiterten Eigendschaften der Firewall (ICM) zu aktivieren. Damit ist ein Ping generell nicht möglich ! Den Fehler beschreibst du ja auch selber oben !!

Normalerweise must du gar nichts machen damit das VPN mit dem Zyxel funktioniert. Der Router ist am Server ja Default Gateway, so das auch keinerlei Routen einzutragen sind, mit Ausnahme der statischen Route auf das Client Netz am Router selber !! Dann ist dein Szenario genau so konfiguriert wie im o.a. Tutorial beschrieben und alles sollte fehlerfrei funktionieren.

Wie gesagt: Sowie du aber ein ICS Szenario mit Adress Translation (NAT) am Router NIC des des Servers hast, ist ein VPN so nicht möglich.
Dein Server muss sauber routen OHNE ICS wie im o.a. Tutorial beschrieben !
Mitglied: codenameiceman
codenameiceman 25.04.2009 um 22:12:46 Uhr
Goto Top
Danke für die Antwort.
Das mit dem WLAN war um zu testen wie ich aus dem 192.x.x.x Netz auf den Server komme.
Das mit dem Ping hat funktioniert, war die "Eingehende Echoanforderung" zulassen in den Eigenschaften.
Werde es einfach nächste Woche umstellen auf den Zyxel und dann schau ich mal.

Hmm, ich habe mir überlegt, dass ich vielleicht gar nicht ins 10.x.x.x Netz muss, sondern nur per Exchange mit dem Server verbinden, wenn ich mit dem Laptop unterwegs bin.
Und wozu sind die Häkchen in Dienste und Ports für IKE, IKE NAT und VPN (L2TP) die auch anhaken?
Oder macht es Sinn die zweite Netzwerkkarte umzukonfigurieren als privates Netzwerk und nicht mehr als öffentliche Schnittstelle mit NAT Firewall?.
Mitglied: codenameiceman
codenameiceman 04.05.2009 um 12:11:17 Uhr
Goto Top
So, also VPN und Webarbeitsplatz funktioniert über den Zyxel Router und bestehender Config, hab nur die Netzwerkadressen des Servers auf den Router angepasst. Kann auf den Server zugreifen.
Nur auf das Exchange zugreifen mit Outlook vom Laptop will noch nicht ganz.
Kann hier jemand helfen?
Und wozu sind die Häkchen in Dienste und Ports für IKE, IKE NAT? Wenn man die benutzt, welche private Adresse muss man dann eintragen in der Registerkarte?