Jump to content

RAS Routing Problem

dormi98

Von dormi98
in Windows Forum — LAN & WAN

Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dormi98 Rising Star

dormi98   16

Geschrieben
Geschrieben

Hallo zusammen!

 

Ich bin gerade dabei ein Always on VPN zu implementieren. 

Es werden Benutzerzertifikate verwendet und Split Tunneling soll zum Einsatz kommen. 

Der RAS Server steht in einer äußeren und einer inneren DMZ. Alle übrigen Server (DC, NAP) in einem eigenen Server VLAN, welches direkt an der Firewall hängt. Damit es einfacher ist habe ich ein Schema angehängt. 

 

Das Always on VPN funktioniert soweit. 

Der Client baut die VPN Verbindung automatisch bei der Anmeldung auf. 

Die VPN Clients bekommen eine IP Adresse aus der inneren DMZ (habe ich auch schon anders probiert, da habe ich aber noch weniger Erfolg gehabt)

 

Am RAS Server ist auf der Netzwerkkarte der äußeren DMZ die Firewall als default gateway eingetragen. Die Netzwerkkarte der inneren DMZ hat kein default gateway eingetragen. Statische Routen in das Server und Client Netz sind ebenfalls angelet. Vom RAS Server sind die Server erreichbar. 

 

Problem:

Der VPN Client erreicht das Server VLAN nicht.

Per packet capture wurde festgestellt, dass der PING vom VPN Client ins das Server-LAN nicht in den VPN Tunnel geschickt wird, sondern in das lokale Netzwerk. Das geht natürlich nicht. 

 

Was bereits versucht wurde:

VPN Client erreicht die Firewall in der inneren DMZ.

statische Route am VPN Client angelegt zum Server-Subnetz über die IP der Firewall (innere DMZ)

 

Was muss ich am Client oder RAS Server ändern, damit die Pakete für das Server Subnetz richtig geroutet werden?

 

Danke schon mal. 

 

Netzwerkschema.pdf

  • Beste Lösung
cj_berlin Veteran

cj_berlin   1.517

Geschrieben
  • Beste Lösung
Geschrieben

Moin,

Du musst im XML-Profil alle Subnetze erfassen, zu denen per Tunnel kommuniziert werden soll. Wenn der Client die Pakete schon am falschen Interface rausschickt, kann man das von der Infrastrukturseite nicht mehr heilen.

Was Du vermutlich auch noch brauchst, ist eine Rückroute auf den Infrastruktur-Servern, damit die Pakete auch den Weg von den Servern zum VPN-Client finden.

  • Danke 1
dormi98 Rising Star

dormi98   16

Geschrieben
  • Autor
Geschrieben

Danke für den Input.

Habe den XML Teil in dem Powershell Script, welches die VPN Verbindung anlegt eingetragen und siehe da. Die Routen werden richtig erzeugt und ich kann auf meine Server zugreifen.

Vielen Dank

 

Problem gelöst

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...