joe79
Goto Top

VPN Zugriff auf Netzlaufwerke aus anderem IP Bereich geht nicht

Habe folgendes Problem.
Die VPN Clients mit den Adressen 192.168.10.x sollen auf Freigaben und exchangeserver in einem 192.168.100.x Netz zugreifen.

Die VPN Clients haben einen anderen Adressbereich, weil das VPN Gateway nicht das Standardgateway ist. Deshalb wurde auf den Servern eine statische route für den Weg der pakete zurück in den tunnel gesetzt.

per ping kann ich auch die Server erreichen nur bei dem zugriff auf Freigaben poppt das anmeldefenster für den Benutzer auf. auch die computer in der Netzwerkumgebung werden nicht angezeigt.

Muss ich irgendwo auf den servern das andere Netz 192.168.10.x bekanntgeben das es wie das eigene behandelt wird?

oder liegt das Problem woanders?

Alle server sind 2003er und die Clients XP. Der VPN Tunnel ist einer mit IPSec Verschlüsselung.

Für Tipps bin ich dankbar

Gruß

joe

Content-Key: 54626

Url: https://administrator.de/contentid/54626

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: tbw-01
tbw-01 21.03.2007 um 11:38:12 Uhr
Goto Top
Tach auch,

Die VPN Clients haben einen anderen
Adressbereich, weil das VPN Gateway nicht das
Standardgateway ist.

Die VPN Clients müssen einen anderen Adressbereich haben, weil sonst VPN nicht funktioniert.
VPN beruht auf Routing was im selben Adressbereich nicht möglich ist.
Die verschiedenen Netze deshalb, weil VPN dadurch erkennt, ob er Pakete durch den Tunnel schicken muß, um einen Client
zu erreichen oder das StandartGW nutzen kann.


per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.

Das könnte auf ein Problem mit den MTU-Werten im Tunnel sein.
Fragmentierte Pakete (bedingt durch den MTU) werden per IPSec als ungültig erklärt
wenn sie nach dem VPN-GW aufgeteilt wurden (z.B. durch einen weiteren Router).
Der Ping ist sozusagen "Klein" und muß nicht unbedingt fragmentiert werden.
Pakete die große Nutzdaten haben, könnten fragmentiert werden.

auch die computer in der Netzwerkumgebung
werden nicht angezeigt.

Kann auch vom MTU her kommen

Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?

oder liegt das Problem woanders?

Setz Testweise den MTU der VPN-GWs herrunter

Für Tipps bin ich dankbar

Habs hiermit versucht.


Gruß

joe

CU,
TBW
Mitglied: joe79
joe79 21.03.2007 um 12:34:54 Uhr
Goto Top
hab das mit dem MTU versucht aber leider bringt das auch noch keinen Erfolg.
trotzdem gut zu wissen, dass IPSec so was macht.

Weiter Lösungsansatz wäre, dass beim Eingeben des Benutzernamens mit "USERNAME@Domänname.local" auf die Freigabe zugegriffen wird.

Der Server sollte aber doch anhand des Benutzernamens des VPN Clients erkennen, dass er schon das @domänname.local besitzt. Lokal muss ich es ja auch nicht angeben.

Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.
Mitglied: tbw-01
tbw-01 21.03.2007 um 12:45:28 Uhr
Goto Top
Irgendwie wird dieser Suffix nicht durch den
tunnel übermittelt.

Wie wird denn der DNS-Server erreicht?
Durch den Tunnel ??
Wer baut den Tunnel von der Clientseite auf ? Ein ext. GW oder Software-VPN-Client ??

CU,
TBW
Mitglied: Dani
Dani 21.03.2007 um 12:55:13 Uhr
Goto Top
Hi,
wie baust du den VPN-Tunnel auf?! Mit Windows-Boradmitteln?! Ja - Dann kannst du in den Eigenschaften sagen, er soll Benuzer und Passwort an deiner Domäne anmelden (darunter deine Domäne hinterlegen). Fertig!!


Grüße
Dani
Mitglied: Fhoffmann
Fhoffmann 21.03.2007 um 12:55:17 Uhr
Goto Top
per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.

Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?

oder liegt das Problem woanders?

Alle server sind 2003er und die Clients XP.


Hi Joe,
also wenn der PING geht, steht ja die Verbindung zum Server in beide Richtungen. Das ist gut so.

Die Sache mit den Freigaben läuft normalerweise nicht über IP, sondern NetBIOS, oder gar NetBIOSoverTCP/IP.

auch die computer in der Netzwerkumgebung
werden nicht angezeigt.
Das ist eindeutig ein NetBIOS-Problem, da diese Informatione nicht geroutet werden.


Da eine Benutzerabfrage auftaucht, ist aber auch das nicht das Problem.
Die Sache ist sicherlich so, dass die Clients in einer anderen Windows- und somit BenutzerDomäne stecken als die Server.

Der Server sollte aber doch anhand des Benutzernamens des VPN Clients erkennen, dass er schon das @domänname.local besitzt. Lokal muss ich es ja auch nicht angeben.

Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.

Das wäre mir neu, dass das automatisch geht !
Melden sich die Clients am Server mit der Client-Domäne oder der Server-Domäne an ?
Vermutlich mit der Client-Domäne, deshalb die Rückfrage vom Server !!!

Lösungsansatz1: Welche Berechtigungen sind den auf der
a) Freigabe
b) NTFS
gesetzt ?


Lösungsansatz2:
Die Server-Domäne benötigt eine VERTAUENSSTELLUNG zur Client-Domäne, d.h. die Server-domäne muss der Client-Domäne vertrauen. Somit sind alle Clients VERTAUENSWÜRDIG. Berechtigungen auf Freigabe- und NTFS-Ebene vorausgesetzt, sollte kein zusätzlicher Login mehr notwendig sein.

Gruss
Frank
Mitglied: landshuterloewe
landshuterloewe 21.03.2007 um 12:58:03 Uhr
Goto Top
Hallo,

was für eine Router verwendet ihr? Kann es sein, dass da eine Firewall mit im Spiel ist?
Mitglied: joe79
joe79 21.03.2007 um 15:47:19 Uhr
Goto Top
Also erstmal vielen Dank für die vielen Lösungsansätze.

So wie es auschaut ist es tatsächlich ein DNS Problem. Trage ich dem Laptop den lokalen DNS als Primären DNS ein und als 2. einen x-beliebigen hier von der Telekom. klappt alles wunderbar.

Nur ist das leider nicht Praktikabel da ich ja nicht weiß, bei welchen DNS Servern unser Außendienstmitarbeiter im Homeoffice die Anfragen machen müssen.

Hängt wohl doch alles daran, dass das VPN Gateway nicht das Standargateway ist und die kommunikation zwischen dem DC nicht so wunderbar klappt.

Nur als Hintergrundinfo. Das VPN Gateway ist ne Zywall70 von Zyxell und die Clients benutzen den Zywall VPN Client mit IPSec. Also kein Win Bordmittel.

Mal schauen vielleicht fällt uns ja noch was ein wie es klappt das alles unter einen Hut zu bringen.
Mitglied: landshuterloewe
landshuterloewe 21.03.2007 um 16:00:47 Uhr
Goto Top
Warum nicht so:

- Primärer DNS der lokale DNS des Netzes
- der lokale DNS macht über seine eigene Verbindung ein DNS-lookup (es sollte reichen, als Weiterleitungsadresse das Standardgateway einzugeben
Mitglied: joe79
joe79 22.03.2007 um 15:54:17 Uhr
Goto Top
So klappt es.

Mich stört halt nur, das jetzt bei jedem Start der Notebooks ein Tunnel aufgebaut werden muss, damit selbst das Serven außerhalb des Homeoffice klappt, weil jede DNS abfrage darüber läuft.

Aber vom Prinzip her klappt alles so wie ich es wollte.

Danke nochmal an alle Helfer
Mitglied: Dani
Dani 22.03.2007 um 17:05:14 Uhr
Goto Top
Hi,
bitte den Thread als "gelöst" markieren. Dazu oben bei der Problembeschreibung auf editieren klicken und den entsprechenden Haken setzen. Danke...


Grüße
Dani