Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Windows 2008 R2 , Einwahl OK , Kein Routing

Frage Microsoft Windows Server

Mitglied: miqmiq

miqmiq (Level 1) - Jetzt verbinden

25.11.2013 um 17:07 Uhr, 2788 Aufrufe, 13 Kommentare

Moin.

Systemumgebung: Windows 2008 R2 mit Routing & RAS Dienst, eine LAN-Karte, IP:192.168.73.1,
DHCP-Bereich für VPN Einwahl 192.168.80.X (192.168.80.100 für den Server)
Lancom 1723 Router

Aus historischen Gründen wird der Lancom nicht für die VPN Einwahl verwendet, sondern die VPN Einwahl wird über Port 1723 zum Windows 2008 R2 maskiert.

Nun funktioniert die VPN Einwahl, jedoch wird nicht geroutet. Die Clients erhalten IPs aus dem 192.168.80.X und können sich selbst anpingen, jedoch nicht den Server auf seiner "VPN"-Adresse 192.168.80.100. Die "interne" Serveradresse 192.168.73.1 wird jedoch nicht erreicht.

Das komische ist, manchmal funktioniert das Routing, d.h. das Netzwerk 192.168.73.X wird erreicht.

Idee?

Gruß
Michael

Mitglied: colinardo
25.11.2013, aktualisiert um 19:29 Uhr
Hallo Michael,
das sieht mir sehr nach falsch gesetztem Gateway auf den Clients aus.
Wenn du in den VPN-Eigenschaften der Clients das Häkchen "Gateway des Remote-Netzwerks verwenden" setzt, sollten sie normalerweise problemlos in das 73er Netz kommen. Wenn dieser Haken nicht gesetzt ist kennen die Clients dann zwar das 80er Netz aber das 73er kennen sie nicht, woher auch. Wenn du also nicht den VPN Server als Gateway auf den Clients verwenden willst musst du dort eine statische Route in das 73 Netz setzen.
Das der Server nicht auf ICMP-Requests reagiert liegt dann sehr wahrscheinlich an der Firewall des Servers der Pings nur aus seinem eigenen Subnetz (192.168.73.x) annimmt.

Bitte beachte das bei Verwendung des VPN-Gateways auf den Clients dessen gesamter Internet-Traffic über das VPN läuft...

Grüße Uwe
Bitte warten ..
Mitglied: miqmiq
26.11.2013 um 11:03 Uhr
Zitat von colinardo:

Hallo Michael,
das sieht mir sehr nach falsch gesetztem Gateway auf den Clients aus.
Wenn du in den VPN-Eigenschaften der Clients das Häkchen "Gateway des Remote-Netzwerks verwenden" setzt, sollten
sie normalerweise problemlos in das 73er Netz kommen. Wenn dieser Haken nicht gesetzt ist kennen die Clients dann zwar das 80er
Netz aber das 73er kennen sie nicht, woher auch. Wenn du also nicht den VPN Server als Gateway auf den Clients verwenden willst
musst du dort eine statische Route in das 73 Netz setzen.
Das der Server nicht auf ICMP-Requests reagiert liegt dann sehr wahrscheinlich an der Firewall des Servers der Pings nur aus
seinem eigenen Subnetz (192.168.73.x) annimmt.

Bitte beachte das bei Verwendung des VPN-Gateways auf den Clients dessen gesamter Internet-Traffic über das VPN
läuft...

Grüße Uwe

Moin.

Danke für die Antwort. So einfach ist es leider nicht.
"Standardgateway für dasd Remotenetzwerk verwenden" ist aktiviert. Dennoch kein Routing.
Die Konfiguration des Clients nach VPN-Einwahl für den VPN-Adapter sieht z.B. wie folgt aus:
IP: 192.168.80.105
Subnetzmaske: 255.255.255.0
Standardgateway: 0.0.0.0
DNS-Server: 192.168.73.1

Auch wenn ich auf dem Client manuell eine Route anlege funktioniert es nicht, z.B. route add 192.168.73.0 mask 255.255.255.0 192.168.80.100 metric 1
Was ja auch verständlich ist, da ich ja auch nicht die 192.168.80.100 erreiche.

Ich denke das Problem ist auf dem Server zu suchen.

Gruß
Michael
Bitte warten ..
Mitglied: aqui
26.11.2013, aktualisiert um 11:13 Uhr
Kollege colinardo hat aber schon recht. Die Default Gateways aller Endgeräte im Netz zeigen vermutlich auf den Lancom. Bei dir ist aber der Server das Tunnelgateway für das VPN, da er ja den VPN Server darstellt. Folglich musst du also am Lancom eine statische Route auf die P2P Adressen des VPNs auf die Server IP konfigurieren, das sollte dein Problem lösen.
Ansonsten erklärt dieses Tutorial die Details:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
Dadurch das du unsinnigerweise nicht den Lancom zur VPN Realisierung benutzt hast du 2 Gateways und musst das berücksichtigen.
Wie immer sind hier Traceroute und Pathping sowie route print auf dem Client deine besten Freunde zum Troubleshooting.

Nochwas… Was bedeutet "die VPN Einwahl wird über Port 1723 zum Windows 2008 R2 maskiert…" ?? Was bitte wird hier "maskiert" oder meinst du ein Port Forwarding auf dem Router ??
Letzteres wäre dann richtig.
Bedenke auch immer das TCP 1723 nur die halbe Miete bei PPTP VPNs ist !!! Der eigentliche Datentraffic wird in einem GRE Tunnel übertragen ! PPTP besteht also immer aus 2 Komponenten einmal TCP 1723 und einmal dem GRE Protokoll mit der IP Nummer 47 (GRE ist ein eigenes IP Protokoll ohne TCP/UDP Ports).
Wenn dann musst du also TCP 1723 und GRE im Lancom forwarden oder "maskieren" wie du es bezeichnest. Nur TCP 1723 führt dazu das das VPN nicht funktioniert genau so wie aktuell bei dir !
Das o.a. Tutorial zeigt das richtige Port Forwarding auch noch einmal am Beispiel einer FritzBox.
Bitte warten ..
Mitglied: miqmiq
26.11.2013 um 14:18 Uhr
Moin.

Im Lancom ist ein Port Forwarding von Port 1723 auf IP 192.168.73.1 (der VPN-Server 2008R2) konfiguriert. GRE leitet der Lancom automatisch weiter. Das Routing für 192.168.80.0/255.255.255.0 über 192.168.73.1 ist auch schon drin. Das ganze hatte ja auch schon funktioniert.

Was mich wundert und zur Annahme führt, daß der Server das Problem hat:
- Der Server kann sich selber anpingen auf 192.168.80.100, jedoch nicht einen eingewählten Client mit z.B. IP 192.168.80.107. Da dürfte der Lancom ja gar nichts mit zu tun haben. Kann es sein, daß der Server nicht routet zwischen dem internen und dem VPN-Netzwerk?
- Von einem anderen Rechner im 192.168.73.0 Netz kann ich den Server nicht auf seiner IP 192.168.80.100 erreichen. Gateway ist der Lancom auf 192.168.73.3. Ein Tracert zeigt, daß zuerst der Lancom gefragt wird, dann nur noch Zeitüberschreitungen.

Hilft uns vielleicht eine der Tracedateien in C:\windows\tracing weiter?

Gruß
Michael
Bitte warten ..
Mitglied: miqmiq
26.11.2013 um 14:35 Uhr
Moin.

Ist das so eigentlich richtig? Wenn ich mir im Routing und RAS mmc unter IPv4/Allgemein die IP Adressen anzeigen lasse, erhalte ich folgendes:


192.168.80.100 / 255.255.255.255 Index 14
192.168.73.1 / 255.255.255.0 / Index 11
127.0.0.1 / 255.0.0.0 / index 1

Oder wäre 192.168.80.100 / 255.255.255.0 korrekt?

Gruß
Michael
Bitte warten ..
Mitglied: colinardo
26.11.2013, aktualisiert um 16:19 Uhr
Hallo Michael,
mit welcher Option hast du Routing und RAS eingerichtet ?
  • RAS (DFÜ oder VPN)
  • VPN-Zugriff und NAT

Grüße Uwe
Bitte warten ..
Mitglied: miqmiq
26.11.2013 um 16:05 Uhr
Hallo.

RAS und Routing ist Benutzerdefiniert installiert. Ohne NAT. Warum NAT für das Routing zwischen 192.168.80.0 und 192.168.73.0 notwendig sein soll verstehe ich nicht.
Es muß doch nur geroutet werden.

Gruß
Michael
Bitte warten ..
Mitglied: colinardo
26.11.2013 um 16:21 Uhr
Sorry, stimmt, war grad auf ner anderen Baustelle, hab es fälschlicherweise mit deinem Case verwechselt...
Bitte warten ..
Mitglied: aqui
26.11.2013 um 17:41 Uhr
.. ."Von einem anderen Rechner im 192.168.73.0 Netz kann ich den Server nicht auf seiner IP 192.168.80.100 erreichen"
Das ist vermutlich klar, denn das verhindert immer die lokale Windows Firewall. Die blockt alles was nicht aus dem lokalen Netzwerk ist.
Da du ja eine andere Absender IP hast bleibt diese vermutlich dann in der lokalen Firewall hängen wenn du diese nicht entsprechend angepasst hast die IP Adressen (Netz) passieren zu lassen ?!
Bitte warten ..
Mitglied: miqmiq
26.11.2013 um 17:47 Uhr
Firewall ist komplett deaktiviert. Aus einem anderen Netz das per VPN-Standortverbindung verbunden ist, bekomme ich eine ping Antwort vom 192.168.73.1.
Die Firewall ist also nicht das Problem.
Bitte warten ..
Mitglied: miqmiq
28.11.2013 um 08:34 Uhr
Moin.

Nach einem Neustart des Server verhält es sich nun wie folgt:

Der per VPN verbundene Client kann den Server auf der 192.168.80.100 erreichen. Alle Geräte im 192.168.73.X Netz jedoch nicht.
Der Lancom Router (192.168.73.3) selber kann den Server trotz vorhandener Route nicht auf der 192.168.80.100 erreichen. Der Server hat als Standardgateway die 192.168.73.3 auf der LAN-Karte. Auf dem PPP-Adapter (192.168.80.100/255.255.255.255) ist kein Standardgateway eingetragen.
Wenn ich auf dem Server "ping 192.168.73.3 -S 192.168.80.100" teste, erhalte ich Fehler "PING: Fehler bei der Übertragung. Allgemeiner Fehler."

Gruß
Michael
Bitte warten ..
Mitglied: miqmiq
29.11.2013 um 15:14 Uhr
Moin.

Komisch. Ich habe bei ipv4 im Routing und RAS die Adresszuweisung von "Statischen Adresspool" auf DHCP umgestellt. RAS neugestartet und wieder zurück auf "Statischen Adresspool" umgestellt. Nun routet der Server wieder korrekt zwischen 192.168.80.X und 192.168.73.X.

Gruß
Michael
Bitte warten ..
Mitglied: miqmiq
21.01.2014 um 09:26 Uhr
Moin.

Leider passiert das immer mal wieder. Routing zwischen 192.168.80.X und 192.168.73.X funktioniert nicht mehr.
Ich habe bei ipv4 im Routing und RAS die Adresszuweisung von "Statischen Adresspool" auf DHCP umgestellt und wieder zurück auf "Statischen Adresspool" umgestellt. Nun routet der Server wieder korrekt zwischen 192.168.80.X und 192.168.73.X.

Hat jemand eine Idee warum der Server nicht mehr routet ohne diesen Workaround? Wo kann man ansetzen zur Fehlersuche?

Danke!

Gruß
Michael
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Oracle ODBC Treiber in Windows 2008 R2 (3)

Frage von kschi12 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 Backup Domaincontroller als Primary DC heraufstufen (2)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
gelöst Windows 2008 R2 RODC zum DC machen (4)

Frage von derLenhart zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...