VPN-Tunnel wird aufgebaut, aber kein Ping auf WS2k3-Systeme möglich

[ceebee]

Hallo zusammen,

folgendes Problem:
Ich baue einen L2TP/IPSec-Tunnel zwischen einem VPN-Client (Win XP, Netgear SafeNet) und einem Router (Netgear FVX538) auf. Funktioniert soweit auch wunderbar. Der Client bekommt vom Router IP, DNS und WINS mitgeteilt (ipconfig /all am Client zeigt dies auch korrekt an). Ping auf Workstations und Netzwerkgeräte geht. Einzig Ping auf Serversysteme (WS2k3 SP2) im LAN endet mit Timeout. Entsprechend kann ich dem Client auch keine Namensauflösung anbieten (nslookup liefert kein Ergebnis), da die DNS-Server auf diesen Systemen laufen.

Habe ich auf den Serversystemen eine Sicherheitseinstellung vergessen, die entsprechende Anfragen blockt? In der Testumgebung ist sowohl am Client wie auch auf dem Testserver die Windowsfirewall deaktiviert, ohne Effekt.

Hat jemand 'ne Idee?

ceebee

[IThome]

Poste bitte mal IPCONFIG /ALL des Testservers und eines internen Clients, den Du anpingen kannst ...

[ceebee]

Pingbare Workstation:
==============

Windows-IP-Konfiguration
Hostname. . . . . . . . . . . . . : ws-01
Primäres DNS-Suffix . . . . . : dot.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . : Nein
WINS-Proxy aktiviert. . . . . : Nein
DNS-Suffixsuchliste . . . . . . : dot.local

Ethernetadapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: dot.local
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller
Physikalische Adresse . . . . . . : 00-18-31-70-A2-CF
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.10.22
Subnetzmaske. . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . : 192.168.10.1
DHCP-Server . . . . . . . . . . . : 192.168.10.19
DNS-Server. . . . . . . . . . . . : 192.168.10.20
192.168.10.21
192.168.10.19
Primärer WINS-Server. . . . : 192.168.10.19
Sekundärer WINS-Server.. . : 192.168.10.21
Lease erhalten. . . . . . . . . . : Dienstag, 8. Mai 2007 09:08:37
Lease läuft ab. . . . . . . . . . : Freitag, 11. Mai 2007 09:09:37

Nicht pingbarer Server:
===============

Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . : dot.local
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . : Nein
WINS-Proxy aktiviert . . . . : Nein
DNS-Suffixsuchliste . . . . . : dot.local

Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Intel(R) PRO/1000 CT Network Connection
Physikalische Adresse . . . . .: 00-04-23-B8-BA-E7
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.10.125
Subnetzmaske . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . .: 192.168.10.1
DNS-Server . . . . . . . . . . . : 192.168.10.19
192.168.10.20
Primärer WINS-Server . . . : 192.168.10.19

[IThome]

Hast Du auf dem Server mal einen Sniffer angeschmissen, ob da überhaupt was ankommt ? Hat der Server eventuell statische Routen definiert ?

[catao]

mal ein schuss ins blaue!
hast du vielleicht einen virenscanner auf dem client an, der auch eine firewall beinhaltet?

hatte ein ähnliches problem vor kurzem erst und in dem fall, lag es daran.

[ceebee]

@ IThome:
Der Sniffer sagt mir, dass von dem VPN-Client zwar ein Echo request angefordert wird, allerdings erfolgt kein reply. Aus dem lokalen Netz ist der Ping erfolgreich. Statische Routen sind nicht eingerichtet.

@ catao:
Es läuft kein Virenscanner und keine Firewall auf dem Server.

Vielleicht eine lokale Sicherheitsrichtlinie, die ich übersehen haben könnte?

[IThome]

Der Server sieht den Request und es erfolgt kein Reply ? Der Server hat doch ein Default Gateway, wohin er die Antworten schicken kann ...

[Ja_mei]

Doch vielleicht mal ein statische Route zu dem VPN Router vom Server einrichten, falls diese vom Default Gateway abweicht.

[IThome]

Hm, pingbare Clients und der nicht pingbare Server haben das selbe Default Gateway ...

[51th]

Kann das sein, dass der VPN Client nicht 24-Bit Maske bekommt sondern z.B. 26 Bit?