Hallo,
bis gestern ging unser VPN noch. Dann einmal unbedacht mit dem Netzwerkproblem-Behebungs-Assi
drüber, um das Exchange-Zertifikat zu erneuern - dabei hat er wohl irgend etwas an der Netzwerkkonfiguration
zu derbe geändert, dass unser VPN praktisch unbenutzbar ist.
Unser Netzaufbau sieht grob so aus:
Eine FritzBox mit einem WLAN-Router (und soch ein paar Gerätchen) bildet das äußere Netz.
Da schicken wir auch immer unsere Gäste rein, wenn sie Mails checken wollen.
Dann kommt eine SonicWall als NAT-Firewall.
Dahinter findet man dann unser eigentliches Produktivnetz mit den Servern und Arbeitsplatzrechnern.
Äußeres Netz und Produktivnetz haben unterschiedliche Adressbereiche.
Der VPN-Endpunkt wird von einem SBS 2008 gebildet, derzeit noch PPTP. Bis gestern konnte man über VPN
dann nicht nur den SBS sehen, sondern alle Rechner im Netz (so wie es eben sein soll).
Symptome jetzt:
VPN-Einwahl klappt, Zugriff auf den SBS klappt,auch das Mounten von Verzeichnissen des SBS klappt.
Der Testmac bekommt brav eine Adresse aus dem Produktivnetz.
Aber ich komme weder auf einen anderen Server, noch eine andere Workstation im Produktivnetz;
auch die Namensauflösung klappt nicht.
(Wir haben genau diesen Effekt damals, als wir wegen VPN vom 192.168.1.x Netz auf eine etwas
exotischere Adresse gewechselt sind. Da hatte ich vergessen, die Definitionen der VPN-Endpunkte auf
dem SBS anzupassen. Nach Änderung ging dann wieder alles. Aber jetzt stimmen die IP-Adressen
und trotzdem komme ich auf keinen Server im LAN.)
Die Routingtabelle auf dem SBS sieht wie folgt aus (192.168.199.x ist unser Produktivnetz;
allerdings habe ich für diesen Dumb die Adresse etwas geändert):
C:\Users\NatAdmin>route print
===========================================================================
Schnittstellenliste
14 ...90 e2 ba 1b bd 35 ...... Intel® Gigabit ET Dual Port Server Adapter #2
13 ...90 e2 ba 1b bd 34 ...... Intel® Gigabit ET Dual Port Server Adapter
17 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
16 ...00 00 00 00 00 00 00 e0 isatap.{C05CC304-962E-4043-B728-FBEE58BE30A3}
15 ...00 00 00 00 00 00 00 e0 isatap.{273F11A5-808A-4F57-B874-9B051D4D913B}
23 ...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.199.7 192.168.199.10 15
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 192.168.199.248 306
169.254.0.17 255.255.255.255 Auf Verbindung 192.168.199.248 306
169.254.255.255 255.255.255.255 Auf Verbindung 192.168.199.248 306
192.168.199.0 255.255.255.0 Auf Verbindung 192.168.199.10 266
192.168.199.10 255.255.255.255 Auf Verbindung 192.168.199.10 266
192.168.199.248 255.255.255.255 Auf Verbindung 192.168.199.248 306
192.168.199.255 255.255.255.255 Auf Verbindung 192.168.199.10 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.199.10 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.199.248 306
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.199.10 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.199.248 306
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.1.7 Standard
0.0.0.0 0.0.0.0 192.168.1.7 Standard
0.0.0.0 0.0.0.0 192.168.1.7 5
0.0.0.0 0.0.0.0 192.168.199.7 5
===========================================================================
IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
13 266 fe80::/64 Auf Verbindung
13 266 fe80::66fc:45ed:b6b9:2dd5/128
Auf Verbindung
13 266 fe80::d15f:908b:ed6:f99c/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
13 266 ff00::/8 Auf Verbindung
===========================================================================
Ständige Routen:
Keine
Was mich irritiert sind die sogenannten ständigen Routen für IPv4, die ich hier bei anderen so
auch nicht gesehen habe. Vor allem, weil die 192.168.1.x Einträge für unsere alte Netzadresse
gepasst hätten, ich aber nicht weiß, wo er diese noch hernimmt.
Wer eine Idee zu diesem Problem hat - immer her damit. Ich bin ratlos.
Gruß,
Stefan Sperling