Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Zugriff auf Netzlaufwerke aus anderem IP Bereich geht nicht

Frage Sicherheit Firewall

Mitglied: joe79

joe79 (Level 1) - Jetzt verbinden

21.03.2007, aktualisiert 06.01.2009, 7388 Aufrufe, 10 Kommentare

Habe folgendes Problem.
Die VPN Clients mit den Adressen 192.168.10.x sollen auf Freigaben und exchangeserver in einem 192.168.100.x Netz zugreifen.

Die VPN Clients haben einen anderen Adressbereich, weil das VPN Gateway nicht das Standardgateway ist. Deshalb wurde auf den Servern eine statische route für den Weg der pakete zurück in den tunnel gesetzt.

per ping kann ich auch die Server erreichen nur bei dem zugriff auf Freigaben poppt das anmeldefenster für den Benutzer auf. auch die computer in der Netzwerkumgebung werden nicht angezeigt.

Muss ich irgendwo auf den servern das andere Netz 192.168.10.x bekanntgeben das es wie das eigene behandelt wird?

oder liegt das Problem woanders?

Alle server sind 2003er und die Clients XP. Der VPN Tunnel ist einer mit IPSec Verschlüsselung.

Für Tipps bin ich dankbar

Gruß

joe
Mitglied: tbw-01
21.03.2007 um 11:38 Uhr
Tach auch,

Die VPN Clients haben einen anderen
Adressbereich, weil das VPN Gateway nicht das
Standardgateway ist.

Die VPN Clients müssen einen anderen Adressbereich haben, weil sonst VPN nicht funktioniert.
VPN beruht auf Routing was im selben Adressbereich nicht möglich ist.
Die verschiedenen Netze deshalb, weil VPN dadurch erkennt, ob er Pakete durch den Tunnel schicken muß, um einen Client
zu erreichen oder das StandartGW nutzen kann.


per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.

Das könnte auf ein Problem mit den MTU-Werten im Tunnel sein.
Fragmentierte Pakete (bedingt durch den MTU) werden per IPSec als ungültig erklärt
wenn sie nach dem VPN-GW aufgeteilt wurden (z.B. durch einen weiteren Router).
Der Ping ist sozusagen "Klein" und muß nicht unbedingt fragmentiert werden.
Pakete die große Nutzdaten haben, könnten fragmentiert werden.

auch die computer in der Netzwerkumgebung
werden nicht angezeigt.

Kann auch vom MTU her kommen

Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?

oder liegt das Problem woanders?

Setz Testweise den MTU der VPN-GWs herrunter

Für Tipps bin ich dankbar

Habs hiermit versucht.


Gruß

joe

CU,
TBW
Bitte warten ..
Mitglied: joe79
21.03.2007 um 12:34 Uhr
hab das mit dem MTU versucht aber leider bringt das auch noch keinen Erfolg.
trotzdem gut zu wissen, dass IPSec so was macht.

Weiter Lösungsansatz wäre, dass beim Eingeben des Benutzernamens mit "USERNAME@Domänname.local" auf die Freigabe zugegriffen wird.

Der Server sollte aber doch anhand des Benutzernamens des VPN Clients erkennen, dass er schon das @Domänname.local besitzt. Lokal muss ich es ja auch nicht angeben.

Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.
Bitte warten ..
Mitglied: tbw-01
21.03.2007 um 12:45 Uhr
Irgendwie wird dieser Suffix nicht durch den
tunnel übermittelt.

Wie wird denn der DNS-Server erreicht?
Durch den Tunnel ??
Wer baut den Tunnel von der Clientseite auf ? Ein ext. GW oder Software-VPN-Client ??

CU,
TBW
Bitte warten ..
Mitglied: Dani
21.03.2007 um 12:55 Uhr
Hi,
wie baust du den VPN-Tunnel auf?! Mit Windows-Boradmitteln?! Ja - Dann kannst du in den Eigenschaften sagen, er soll Benuzer und Passwort an deiner Domäne anmelden (darunter deine Domäne hinterlegen). Fertig!!


Grüße
Dani
Bitte warten ..
Mitglied: Fhoffmann
21.03.2007 um 12:55 Uhr
per ping kann ich auch die Server erreichen
nur bei dem zugriff auf Freigaben poppt das
anmeldefenster für den Benutzer auf.

Muss ich irgendwo auf den servern das andere
Netz 192.168.10.x bekanntgeben das es wie das
eigene behandelt wird?

oder liegt das Problem woanders?

Alle server sind 2003er und die Clients XP.


Hi Joe,
also wenn der PING geht, steht ja die Verbindung zum Server in beide Richtungen. Das ist gut so.

Die Sache mit den Freigaben läuft normalerweise nicht über IP, sondern NetBIOS, oder gar NetBIOSoverTCP/IP.

auch die computer in der Netzwerkumgebung
werden nicht angezeigt.
Das ist eindeutig ein NetBIOS-Problem, da diese Informatione nicht geroutet werden.


Da eine Benutzerabfrage auftaucht, ist aber auch das nicht das Problem.
Die Sache ist sicherlich so, dass die Clients in einer anderen Windows- und somit BenutzerDomäne stecken als die Server.

Der Server sollte aber doch anhand des Benutzernamens des VPN Clients erkennen, dass er schon das @Domänname.local besitzt. Lokal muss ich es ja auch nicht angeben.
>Irgendwie wird dieser Suffix nicht durch den tunnel übermittelt.

Das wäre mir neu, dass das automatisch geht !
Melden sich die Clients am Server mit der Client-Domäne oder der Server-Domäne an ?
Vermutlich mit der Client-Domäne, deshalb die Rückfrage vom Server !!!

Lösungsansatz1: Welche Berechtigungen sind den auf der
a) Freigabe
b) NTFS
gesetzt ?


Lösungsansatz2:
Die Server-Domäne benötigt eine VERTAUENSSTELLUNG zur Client-Domäne, d.h. die Server-domäne muss der Client-Domäne vertrauen. Somit sind alle Clients VERTAUENSWÜRDIG. Berechtigungen auf Freigabe- und NTFS-Ebene vorausgesetzt, sollte kein zusätzlicher Login mehr notwendig sein.

Gruss
Frank
Bitte warten ..
Mitglied: landshuterloewe
21.03.2007 um 12:58 Uhr
Hallo,

was für eine Router verwendet ihr? Kann es sein, dass da eine Firewall mit im Spiel ist?
Bitte warten ..
Mitglied: joe79
21.03.2007 um 15:47 Uhr
Also erstmal vielen Dank für die vielen Lösungsansätze.

So wie es auschaut ist es tatsächlich ein DNS Problem. Trage ich dem Laptop den lokalen DNS als Primären DNS ein und als 2. einen x-beliebigen hier von der Telekom. klappt alles wunderbar.

Nur ist das leider nicht Praktikabel da ich ja nicht weiß, bei welchen DNS Servern unser Außendienstmitarbeiter im Homeoffice die Anfragen machen müssen.

Hängt wohl doch alles daran, dass das VPN Gateway nicht das Standargateway ist und die kommunikation zwischen dem DC nicht so wunderbar klappt.

Nur als Hintergrundinfo. Das VPN Gateway ist ne Zywall70 von Zyxell und die Clients benutzen den Zywall VPN Client mit IPSec. Also kein Win Bordmittel.

Mal schauen vielleicht fällt uns ja noch was ein wie es klappt das alles unter einen Hut zu bringen.
Bitte warten ..
Mitglied: landshuterloewe
21.03.2007 um 16:00 Uhr
Warum nicht so:

- Primärer DNS der lokale DNS des Netzes
- der lokale DNS macht über seine eigene Verbindung ein DNS-lookup (es sollte reichen, als Weiterleitungsadresse das Standardgateway einzugeben
Bitte warten ..
Mitglied: joe79
22.03.2007 um 15:54 Uhr
So klappt es.

Mich stört halt nur, das jetzt bei jedem Start der Notebooks ein Tunnel aufgebaut werden muss, damit selbst das Serven außerhalb des Homeoffice klappt, weil jede DNS abfrage darüber läuft.

Aber vom Prinzip her klappt alles so wie ich es wollte.

Danke nochmal an alle Helfer
Bitte warten ..
Mitglied: Dani
22.03.2007 um 17:05 Uhr
Hi,
bitte den Thread als "gelöst" markieren. Dazu oben bei der Problembeschreibung auf editieren klicken und den entsprechenden Haken setzen. Danke...


Grüße
Dani
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Switche und Hubs
gelöst Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack (2)

Frage von Quincy25 zum Thema Switche und Hubs ...

Netzwerke
Client VPN Zugriff auf Remote Subnet (2)

Frage von niklas.kasper zum Thema Netzwerke ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Router & Routing
gelöst Im Netzwerk auf zweiten IP-Bereich zugreifen (30)

Frage von huckepaule zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...