VPN....kann Hosts im Subnetz nicht erreichen

[Pylon 10]

• 
• 
• 

Hallo zusammen!

 

Seit geraumer Zeit betreibe ich auf einer Windows 2003 Enterprise Edition einen VPN-Server, den Microsoft ja bereits mitliefert. Wähle ich mich nun vom Internet aus über einen Router per VPN ein, dann erreiche ich den Server ohne Schwierigkeiten und kann auf seine Ressourcen zugreifen.

 

Gerne würde ich den Zugriff von außen auf das gesamte Subnetz ausdehnen, doch sämtliche Versuche scheiterten bislang.

In der Annahme, dass IP Routing aktiviert sein muss, habe ich auch an dieser Stelle ein Häkchen gesetzt. Ohne Erfolg.

 

Die VPN Clients erhalten die interne IP dynamisch zugewiesen.

 

Was mir desweiteren aufgefallen ist:

 

Wenn ein Client z.B die IP 192. 168.100.110 zugewiesen bekommt, dann kann er zwar keine weiteren PCs im LAN, außer den VPN-Server selbst, anpingen, diese ihn wiederum aber schon.

Mittels dem Befehl nbtstat stellte sich dann jedoch heraus, dass die restlichen LAN-PCs gar nicht wirklich mit dem VPN-Client korrespondierten, sondern mit dem VPN-Server. Ist das richtig, dass in diese Richtung keine "direkte" Kommunikation möglich ist?

 

Eine weitere Überlegung von mir war, dass der Router eventuell den Datenverkehr in eine Richtung blockt. Das der VPN-Client die restlichen PCs im LAN vielleicht erreicht, deren Response jedoch vom Router geblockt wird. Irgendwo meine ich dies jedenfalls bereits einmal gelesen zu haben. Doch da ja eine intakte Verbindung zwischen VPN-Client und Server schon besteht, habe ich auch diesen Gedanken verworfen.

 

Am Router selbst habe ich lediglich den Port 1723 geöffnet und eine Weiterleitung zum VPN-Server eingerichtet.

 

Hat jemand noch eine Idee oder vielleicht selbst einmal diese Schwierigkeiten gehabt und eine Lösung gefunden?

 

Gruß...

 

Pylon

[weimer 10]

Ist eine Einstellungssache des RAS-Dienstes. Ich schau mal rasch...

 

ah ja, du musst bei NAT in den Einstellungen für deine Netzwerkkarte einstellen, dass diese eine "An das Internet angeschlossene, öffentliche Schnittstelle" ist und dann NAT auf dieser Schnittstelle aktivieren. Dann sollte es gehen.

 

greetings

weimer

[jobe 10]

oder du probierst mal bei deiner vpn verbindung bei den tcp/ip eigenschaften deinen dns server manuell einzutragen

 

gruss

jobe

[Pylon 10]

Hi!

 

Erst einmal danke für die rasche Antwort :)

 

@weimer

 

Ich habe deinen Vorschlag ausprobiert und die NAT-Schnittstelle aktiviert. Leider ohne Erfolg. Im Gegenteil: Vorher konnte ein interner PC die IP des VPN-Clients noch anpingen, wenngleich er damit auch nur den VPN-Server erreichte. Nach der Aktivierung ging jedoch nicht einmal mehr das. Ist es vielleicht nötig eine zweite Netzwerkkarte einzubauen und zwischen den beiden NICs zu routen? So gesehen muss ich doch den VPN-Server als eine Art zweiten Router ansehen, oder? Das heißt, ich wähle mich auf Port 1723 zunächst am äußeren Router ein. In diesem ist ein PortForwarding zum VPN-Server hinterlegt, der sämtliche VPN-Anfragen aus dem Internet annimmt. Möchte ich nun mit meinem VPN-Client von draußen auf einen weiteren Client im Netzwerk zugreifen, dann muss der Server auch als entsprechender Router eingerichtet sein. Habe ich das vielleicht so zu verstehen?

 

@jobe

Ich denke nicht, dass eine manuelle Eintragung meines DNS Servers etwas ändern könnte. Das Problem besteht ja bereits im Umgang mit der IP-Adresse ohne Verwendung der Namensauflösung. Zumindest kann ich keinen Zusammenhang erkennen. Falls es doch einen gibt, darfst du mich aber eines besseren belehren ;)

 

Gruß...

 

Pylon

[nitchle 10]

Hallo!

Ist das Problem noch aktuell?

 

Bei mir ist ebenfalls NAT aktiviert, aber nur weil der Server auch gleichzeitig ein Internetrouter ist! Aber ich würd mal versuchen die LAN-Verbindung als "an ein privates Netzwerk angeschlossene, private Schnittstelle" einzustellen!

 

 

 

 

Bei mir ist das Problem ähnlich, und zwar mit einem Win2k3 Server der sowohl als Internetrouter für das Netz:

10.0.0.x NM 255.255.0.0 , als auch als VPN-Server dient.

 

Der VPN-Client bekommt eine 10.0.1.x Adresse zugeteilt, die

ich dann auch vom Server Pingen kann.

 

Der VPN-Client kann ebenfalls den Server und auch mein ganzes

10.0.0.x Netz erreichen. Ich erreiche ihn ebenfalls, aber eben nur auf der vom VPN-Server zugeteilten IP.

 

Jetzt hängt der Client aber auch noch in einem eigenen LAN mit 192.168.0.x Adressen, die ich natürlich von meinem Netz noch nicht erreichen kann!

Meine Frage dazu: Was muss ich noch zusätlich einrichten, wenn ich das 192.168 er Netz beibehalten will? Statische Routen? Wenn ja wie? Oder geht das nur über eine Router-Router VPN Verbindung, sodass sich mein Server zusätlich als VPN-Client auf dem jetztigen Client einwählt?