VPN-Netzwerk zwischen mehreren Standorten

[AndiT 10]

Hallo erstmal an Alle,

 

ich habe hier folgendes Problem:

Unser Hauptstandort und die 3 Nebenstandorte sind mit VPN-Routern (Netgear FVS338) ausgestattet. Die Standorte haben alle unterschiedliche Sub-Netze. Auf den Routern sind entsprechende VPN's eingerichtet. Von Hauptstandort kann ich auch alle PC's in den Nebenstandorten mit Ping erreichen. Auch die Nebenstandorte untereinander können sich gegenseitig anpingen. Nur von den Nebenstandorten zum Hauptstandort funktioniert das nicht. Von Nebenstadort zum Hauptstandort läßt sich allerdings die lokale IP des Netgear anpingen. Also denke ich, daß das VPN in Ordnung ist. Woran kann es denn dann liegen?

Hat noch jemand eine Idee?

Vielen Dank schonmal im Voraus

[zippzapp 10]

Ich vermute mal, der VPN-Router im Hauptstandort ist nicht der Standart-Gateway. Ist dein Standart-Gateway zudem eine Firewall ?

[AndiT 10]

Da hast Du Recht. Der VPN-Router ist nicht de Standard-Gateway, aber es sind entsprechende Routen gesetzt..

Ich hab hier zum einen das Standard-Gateway (192.168.101.250/24), einen T-Com-Router an einer ADSL-Leitung, der uns hier im Haupthaus ins Internet bringt. Zum Zweiten steht hier der NETGEAR (192.168.101.251/24), an eine S-DSL-Leitung, der für die Verbindungen mit den Standorten zuständig ist. Die Standorte haben wie schon gesagt eigene SubNets ( 192.100.1.x/24, 192.168.103.x/24, 192.168.104.x/24), haben aber nur den einen Router für die Verbindung zur Hauptstelle und ins Internet.

 

heir mal meine Routingtabelle:

 

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 192.168.101.250 192.168.101.121 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.100.1.0 255.255.255.0 192.168.101.251 192.168.101.121 1

192.168.101.0 255.255.255.0 192.168.101.121 192.168.101.121 20

192.168.101.121 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.101.255 255.255.255.255 192.168.101.121 192.168.101.121 20

192.168.103.0 255.255.255.0 192.168.101.251 192.168.101.121 1

192.168.104.0 255.255.255.0 192.168.101.251 192.168.101.121 1

224.0.0.0 240.0.0.0 192.168.101.121 192.168.101.121 20

255.255.255.255 255.255.255.255 192.168.101.121 10005 1

255.255.255.255 255.255.255.255 192.168.101.121 3 1

255.255.255.255 255.255.255.255 192.168.101.121 192.168.101.121 1

Standardgateway: 192.168.101.250

===========================================================================

Ständige Routen:

Keine

[zippzapp 10]

Was mir auffällt:

Ist das Subnet 192.100.1.0 eigentlich richtig? Ist doch eigentlich kein privater Adressbereich.

 

Die statischen Routen sind nicht permanent. Setze mal alle Routen permanent rein.

route add -p Das erwirkt, dass die Routen auch nach einem Neustart verfügbar sind. Lag es vielleicht daran, dass die Pings nach einem Neustart nicht funktioniert haben.

 

Läuft ein Ping von einem PC aus dem Subnet 192.168.103.0 auf deinen PC (192.168.101.121) ins Leere?

[AndiT 10]

Die Routen sind auch nach einem Neustart bekannt, werden per DHCP verteilt. Ich hab hier einen Win2003 SBS stehen, der dann auch für die Nebenstandorte DC und Exchange werden soll. Komme aber zur Zeit von den externen Netzen einfach nicht da dran.

[AndiT 10]

Weiß zwar grad nicht so genau warum, aber ich kann meine PC's hier jetzt auch von aussen anpingen!! Gestern ging das nicht. Aber dann bleibt jetzt ja immernoch mein eigentliches Problem: ich muß an den W2K3 SBS von aussen rankommen. Der hat doch bestimmt auch ne eigene Firewall, oder? Kann ich der die externen SubNets als vetrauenswürdig definieren?

[zippzapp 10]

Versuch mal die Outlook-Clients in Nebenstandorten statt mit DNS-Namen mit Netbios oder mit IP-Adressen des Exchange-Servers anzubinden. Hat bei uns so geklappt.

 

Der SBS 2003 hat natürlich die Windows Firewall drauf. Da kann man schon einiges eingeben, aber ich überlege gerade, ob ein SBS überhaupt Zugriff von "extern" drauf lässt. Off-by-design!?!

[AndiT 10]

wenn ich jet versuche in die einstellungen für die windows firewall zu kommen

(systemsteuerung - Windows firewall), bekomme ich eine meldung:

 

der windows-firewall kann nicht ausgeführt werden, da ein anderes programm bzw. ein anderer dienst, das bzw. der momentan ausgeführt wird, die netzwerkadressübersetzungskomponente (ipnat.sys) verwendet.

 

wie komme ich denn jetzt an die einstellung der firewall?

[AndiT 10]

in der serververwaltungskonsole habe ich schon alles für zugriff von aussen zugelassen...

[zippzapp 10]

Hast du SBS2003 Premium? Dann ist vielleicht auch ISA 2004 drauf. Wenn dem so ist, musst du Netze und Zugriffsregeln definieren.

[AndiT 10]

es ist zwar ein sbs 2003 premium, aber da bei der installtion nur eine nic drin war, hat er den isa nicht installiert.. hat er jedenfalls gesagt.

 

wie kann ich das genau kontrollieren?

[zippzapp 10]

Schau mal ob du die "ISA Server-Verwaltung" unter Start\Programme\Verwaltung oder Start\Programme\ISA 2004 findest.

[AndiT 10]

nein, da ist nix.

braucht der isa denn wirklich mindestens 2 NICs? dann müsste ich die 2. nic im server halt wieder aktivieren, und die subnets nochmal umstellen.

hatte sowieso schon überlegt den zu installieren, wollte aber erstmal nicht noch ne baustelle anfangen..

[zippzapp 10]

Wir hatten schon mal ISA mit nur einer Netzwerkkarte installiert. Sogar mit Proxy-Funktionen. Allerdings ISA 2000. Ob es der ISA 2004 auch tut, keine Ahnung.