7
Zywall 5 zu Zywall 5 VPN Probleme
Hy Leute!
Habe ein zimlich deftiges Problem und hoffe ihr könnt mir weiterhelfen denn schon langsam stehe ich zimlich auf der Leitung und zwar
Ich Administriere von meinem Verwandten die Firma jetzt haben wir uns 2x Zywall 5 geholt da wir ne Hardware VPN Lösung machen wollen
jedoch scheitert es hier an einem großen Problem und ich weiss net warum
Wir haben bei ihm zuhause einen Router öffentliche IP die direkt auf die Zywall gelegt wird
in der Firma besitzen wir einen Router der 8 Statische durchlässt eine zum SBS Server eine für die Zywall
In der Firma benutzen wir das Netz 192.168.1.0 / 255.255.255.0
Zuhause benutzen wir 192.168.2.0 / 255.255.255.0
Wenn ich jetzt Manuell oder auch über den Wizard ein VPN erstelle funktioniert dies einwandfrei ich kann verbinden und auch das gegenüberliegende Gateway Pingen;
Wenn ich jedoch auf den Server will 192.168.1.254 funktioniert dies jedoch nicht auch auf die Shares ist kein Zugriff möglich
wenn ich mein Notebook in sein Netz hänge dann die IP 192.168.1.2 zuweise funktioniert alles einwandfrei
Wenn ich auf den Client von ihm will 192.168.1.150 (DHCP zuweisung) funktioniert dies leider auch nicht
Was kann das sein und warum
der Server is ganz normal Pingbar wenn ich in der Firma von seinen Clients aus das mache jedoch nicht über das VPN geschweige denn das ich einen Zugriff bekomme
was kann das sein???
Danke euch schon mal für Antwort
Edit:
Ich haber jetzt zum besseren Verständnis ein Netzwerkdiagramm beigefügt:
mfg.
Brandy
Habe ein zimlich deftiges Problem und hoffe ihr könnt mir weiterhelfen denn schon langsam stehe ich zimlich auf der Leitung und zwar
Ich Administriere von meinem Verwandten die Firma jetzt haben wir uns 2x Zywall 5 geholt da wir ne Hardware VPN Lösung machen wollen
jedoch scheitert es hier an einem großen Problem und ich weiss net warum
Wir haben bei ihm zuhause einen Router öffentliche IP die direkt auf die Zywall gelegt wird
in der Firma besitzen wir einen Router der 8 Statische durchlässt eine zum SBS Server eine für die Zywall
In der Firma benutzen wir das Netz 192.168.1.0 / 255.255.255.0
Zuhause benutzen wir 192.168.2.0 / 255.255.255.0
Wenn ich jetzt Manuell oder auch über den Wizard ein VPN erstelle funktioniert dies einwandfrei ich kann verbinden und auch das gegenüberliegende Gateway Pingen;
Wenn ich jedoch auf den Server will 192.168.1.254 funktioniert dies jedoch nicht auch auf die Shares ist kein Zugriff möglich
wenn ich mein Notebook in sein Netz hänge dann die IP 192.168.1.2 zuweise funktioniert alles einwandfrei
Wenn ich auf den Client von ihm will 192.168.1.150 (DHCP zuweisung) funktioniert dies leider auch nicht
Was kann das sein und warum
der Server is ganz normal Pingbar wenn ich in der Firma von seinen Clients aus das mache jedoch nicht über das VPN geschweige denn das ich einen Zugriff bekomme
was kann das sein???
Danke euch schon mal für Antwort
Edit:
Ich haber jetzt zum besseren Verständnis ein Netzwerkdiagramm beigefügt:
mfg.
Brandy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 122634
Url: https://administrator.de/contentid/122634
Printed on: April 26, 2024 at 18:04 o'clock
7 Comments
Latest comment
Hallo Brandy,
im Firmennetz:
SBS mit ISA?
SBS mit 1 oder 2 Netzwerkkarten?
SBS mit Routing und RAS?
SBS mit Firewall?
Clients habenden SBS als Gateway?
Clients haben den Router(Zywall?) als Gateway?
Peter
im Firmennetz:
SBS mit ISA?
SBS mit 1 oder 2 Netzwerkkarten?
SBS mit Routing und RAS?
SBS mit Firewall?
Clients habenden SBS als Gateway?
Clients haben den Router(Zywall?) als Gateway?
Peter
Hy Peter,
SBS ohne ISA jedoch mit der Nat Firewall
2 Netzwerkkarten 1 x Intern / 1x Extern
Routing und RAS JA
Clients haben SBS als Gateway
SBS macht DHCP von 150-250
Zywall IP 192.168.1.1 und eine öffentliche
hoffe hab nix vergessen
Brandy
SBS ohne ISA jedoch mit der Nat Firewall
2 Netzwerkkarten 1 x Intern / 1x Extern
Routing und RAS JA
Clients haben SBS als Gateway
SBS macht DHCP von 150-250
Zywall IP 192.168.1.1 und eine öffentliche
hoffe hab nix vergessen
Brandy
Für den Server mit den 2 Karten gilt das:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hier musst du natürlich klarstellen, das diese 2 Netze nicht mit dem remoten Netz übereinstimmen. Es müssen 3 unterschiedliche IP Netze verwendet werden !!
Da du aus einem Fremdnetz kommst (VPN) blockiert normalerweise die Firewall im Server und auch im Client diese Pakete, da du nicht aus dem loaklen netzwerk kommst.
Du musst also die Firewall der Clients zwingend anpassen, das sie das remote IP Netz auch zulässt.
Testweise kannst du sie ganz ausschalten...sollte aber nicht der Dauerzustand sein.
Weiterhin musst du sicherstellen, das das ICMP Echo (Ping) aktiviert ist. Im Server wie auch im Client sollte in den erweiterten Eigenschaften der Firewall unter ICMP der Haken bei "Auf Echoanforderungen antworten" gesetzt sein !!
Damait sollte es dann problemlos klappen... es kann nur ein Firewall Problem sein !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hier musst du natürlich klarstellen, das diese 2 Netze nicht mit dem remoten Netz übereinstimmen. Es müssen 3 unterschiedliche IP Netze verwendet werden !!
Da du aus einem Fremdnetz kommst (VPN) blockiert normalerweise die Firewall im Server und auch im Client diese Pakete, da du nicht aus dem loaklen netzwerk kommst.
Du musst also die Firewall der Clients zwingend anpassen, das sie das remote IP Netz auch zulässt.
Testweise kannst du sie ganz ausschalten...sollte aber nicht der Dauerzustand sein.
Weiterhin musst du sicherstellen, das das ICMP Echo (Ping) aktiviert ist. Im Server wie auch im Client sollte in den erweiterten Eigenschaften der Firewall unter ICMP der Haken bei "Auf Echoanforderungen antworten" gesetzt sein !!
Damait sollte es dann problemlos klappen... es kann nur ein Firewall Problem sein !
Nein, der Server selbst hat mit dem VPN nichts am Hut.
Die Zywall hängt direkt zwischen Internet und LAN. Siehe mein Original-Beitrag - ich habe diesen um ein Netzwerkdiagramm ergänzt!
Dass es an der Firewall liegt ist eher unwahrscheinlich.
Ich habe einen Client ins LAN der Firma gehängt, Firewall komplett deaktiviert, kein Domänenmitglied.
Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen. Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint.
Ich habe sämtliche EInstellungen der Zywall ausprobiert (Allow NetBios Traffic through Tunnel) - alles hat nichts gebracht.
Ich habe mich bei der Konfiguration an dem folgenden Beispiel orientiert:
http://www.studerus.ch/files/knowledgebase/VPN_Routing_D.pdf
Was jedoch noch eigenartiger ist:
Wenn ich von besagtem Client im LAN der Firma den Server pinge, so funktioniert das problemlos. Auch der DNS-Server kann abgefragt werden (nslookup).
Jedoch vom Extrernen Client kann ich den Server _NICHT_ pingen - er ist überhaupt nicht erreichbar!
Woran kann das liegen?
Hat irgend jemand eine Idee?
Vielen Dank!
Brandy
Die Zywall hängt direkt zwischen Internet und LAN. Siehe mein Original-Beitrag - ich habe diesen um ein Netzwerkdiagramm ergänzt!
Dass es an der Firewall liegt ist eher unwahrscheinlich.
Ich habe einen Client ins LAN der Firma gehängt, Firewall komplett deaktiviert, kein Domänenmitglied.
Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen. Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint.
Ich habe sämtliche EInstellungen der Zywall ausprobiert (Allow NetBios Traffic through Tunnel) - alles hat nichts gebracht.
Ich habe mich bei der Konfiguration an dem folgenden Beispiel orientiert:
http://www.studerus.ch/files/knowledgebase/VPN_Routing_D.pdf
Was jedoch noch eigenartiger ist:
Wenn ich von besagtem Client im LAN der Firma den Server pinge, so funktioniert das problemlos. Auch der DNS-Server kann abgefragt werden (nslookup).
Jedoch vom Extrernen Client kann ich den Server _NICHT_ pingen - er ist überhaupt nicht erreichbar!
Woran kann das liegen?
Hat irgend jemand eine Idee?
Vielen Dank!
Brandy
Die Frage die noch offen ist: Was soll der tierfere Sinn sein den Server direkt im Internet zu exponieren wo die Zywall der Router ist...eigentlich unsinnig und zudem gefährlich ! Zumals wenns ein Winblows OS ist !
"..Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen..."
Das hört sich ja schonmal gut an ! Dann kannst du davon ausgehen, das der VPN Tunnel zwischen den Zywall sauber funktioniert, denn sonst wäre das nicht möglich !
"...Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint..."
Das ist auch logisch und jeder gute Netzwerk Admin weiss auch warum !!
Windows Nameservice basiert auf UDP Broadcasts. Per se wie jeder Netzwerker weiss werden UDP Broadcasts aber nicht über eine geroutete Verbindung übertragen.
Folglich sieht man also nix in der Netzwerkumgebung.
Einfache Abhilfe:
Remote Namen statisch in die lmhosts Datei eintragen !
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit funktioniert der Zugriff auf Namen wieder problemlos !
Das du andere Clients nicht pingen kannst hat dann vermutlich was mit Gruppenrichtlinien und deren lokaler Firewall zu tun ! Das ist offensichtlich wenn ein normaler PC problemlos pingbar und erreichbar ist !
"..Diesen konnte ich vom Externen Standort aus Pingen und mittels \\IP-Adresse auch auf Shares zugreifen..."
Das hört sich ja schonmal gut an ! Dann kannst du davon ausgehen, das der VPN Tunnel zwischen den Zywall sauber funktioniert, denn sonst wäre das nicht möglich !
"...Der Zugriff mittels NetBios-Name funktioniert jedoch nicht - genausowenig wie dieser in der Netzwerkumgebung aufscheint..."
Das ist auch logisch und jeder gute Netzwerk Admin weiss auch warum !!
Windows Nameservice basiert auf UDP Broadcasts. Per se wie jeder Netzwerker weiss werden UDP Broadcasts aber nicht über eine geroutete Verbindung übertragen.
Folglich sieht man also nix in der Netzwerkumgebung.
Einfache Abhilfe:
Remote Namen statisch in die lmhosts Datei eintragen !
Wie das geht steht hier:
XP-Home mit 2 Kabelgebundenen und WLAN PCs
Damit funktioniert der Zugriff auf Namen wieder problemlos !
Das du andere Clients nicht pingen kannst hat dann vermutlich was mit Gruppenrichtlinien und deren lokaler Firewall zu tun ! Das ist offensichtlich wenn ein normaler PC problemlos pingbar und erreichbar ist !
Server ans Internet: Es handelt sich hier um einen Small Business Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine integrierte Firewall (ISA), die wesentlich umfangreicher als die der Zywall ist. Klar: es sollte ein extra Gerät sein, aber das kommt dann beim 2008er Server 
NetBios: Naja der Router bieter die Option "Allow NetBios Traffic through Tunnel", deshalb dachte ich dass hier auch sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie ausschalten und schauen ob es das behebt, ansonsten müssen wir schauen welche andere Einstellung das Problem sein könnte...
Erst mal vielen Dank für deine Antworten!
Melde mich wieder, wenn wir das probiert haben...
NetBios: Naja der Router bieter die Option "Allow NetBios Traffic through Tunnel", deshalb dachte ich dass hier auch sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie ausschalten und schauen ob es das behebt, ansonsten müssen wir schauen welche andere Einstellung das Problem sein könnte...
Erst mal vielen Dank für deine Antworten!
Melde mich wieder, wenn wir das probiert haben...
Hallo
Peter
Server ans Internet: Es handelt sich hier um einen Small Business
Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine
integrierte Firewall (ISA), die wesentlich umfangreicher als die der
Zywall ist.
Auch hier hat man normalerweise noch einen Router/NAT davor.Server 2003 (mit Exchange etc.) und dieser hat ohnehin eine
integrierte Firewall (ISA), die wesentlich umfangreicher als die der
Zywall ist.
NetBios: Naja der Router bieter die Option "Allow NetBios
Traffic through Tunnel", deshalb dachte ich dass hier auch
sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen
nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das
Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie
ausschalten und schauen ob es das behebt, ansonsten müssen wir
schauen welche andere Einstellung das Problem sein könnte...
Beim SBS 2003 sind in den Gruppenrichtlinien die Firewalls für Domänencomputer an, aber ICMP Echo Request (Ping) ist erlaubt.Traffic through Tunnel", deshalb dachte ich dass hier auch
sämtliche Broadcasts etc. korrekt berücksichtigt werden...
Ansonsten müsste man wohl den WINS Server aktivieren und diesen
nutzen?
Die manuelle Wartung der lmhosts Datei finde ich nicht so gut
Der Tipp, dass die Gruppenrichtlinien und die lokale Firewall das
Problem sind ist mal sehr gut.
Wir werden zum Test die internen Firewalls in der Gruppenrichtlinie
ausschalten und schauen ob es das behebt, ansonsten müssen wir
schauen welche andere Einstellung das Problem sein könnte...
Peter