VPN-Tunnel wird aufgebaut, aber kein Ping auf WS2k3-Systeme möglich

[ceebee 10]

Hallo zusammen,

 

folgendes Problem:

Ich baue einen L2TP/IPSec-Tunnel zwischen einem VPN-Client (Win XP, Netgear SafeNet) und einem Router (Netgear FVX538) auf. Funktioniert soweit auch wunderbar. Der Client bekommt vom Router IP, DNS und WINS mitgeteilt (ipconfig /all am Client zeigt dies auch korrekt an). Ping auf Workstations und Netzwerkgeräte geht. Einzig Ping auf Serversysteme (WS2k3 SP2) im LAN endet mit Timeout. Entsprechend kann ich dem Client auch keine Namensauflösung anbieten (nslookup liefert kein Ergebnis), da die DNS-Server auf diesen Systemen laufen.

 

Habe ich auf den Serversystemen eine Sicherheitseinstellung vergessen, die entsprechende Anfragen blockt? In der Testumgebung ist sowohl am Client wie auch auf dem Testserver die Windowsfirewall deaktiviert, ohne Effekt.

 

Hat jemand 'ne Idee?

 

ceebee

[IThome 10]

Poste bitte mal IPCONFIG /ALL des Testservers und eines internen Clients, den Du anpingen kannst ...

[ceebee 10]

Pingbare Workstation:

==============

 

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : ws-01

Primäres DNS-Suffix . . . . . : dot.local

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . : Nein

WINS-Proxy aktiviert. . . . . : Nein

DNS-Suffixsuchliste . . . . . . : dot.local

 

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: dot.local

Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller

Physikalische Adresse . . . . . . : 00-18-31-70-A2-CF

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.10.22

Subnetzmaske. . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . : 192.168.10.1

DHCP-Server . . . . . . . . . . . : 192.168.10.19

DNS-Server. . . . . . . . . . . . : 192.168.10.20

192.168.10.21

192.168.10.19

Primärer WINS-Server. . . . : 192.168.10.19

Sekundärer WINS-Server.. . : 192.168.10.21

Lease erhalten. . . . . . . . . . : Dienstag, 8. Mai 2007 09:08:37

Lease läuft ab. . . . . . . . . . : Freitag, 11. Mai 2007 09:09:37

 

Nicht pingbarer Server:

===============

 

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : server

Primäres DNS-Suffix . . . . . : dot.local

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . : Nein

WINS-Proxy aktiviert . . . . : Nein

DNS-Suffixsuchliste . . . . . : dot.local

 

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® PRO/1000 CT Network Connection

Physikalische Adresse . . . . .: 00-04-23-B8-BA-E7

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.10.125

Subnetzmaske . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . .: 192.168.10.1

DNS-Server . . . . . . . . . . . : 192.168.10.19

192.168.10.20

Primärer WINS-Server . . . : 192.168.10.19

[IThome 10]

Hast Du auf dem Server mal einen Sniffer angeschmissen, ob da überhaupt was ankommt ? Hat der Server eventuell statische Routen definiert ?

[catao 11]

mal ein schuss ins blaue!

hast du vielleicht einen virenscanner auf dem client an, der auch eine firewall beinhaltet?

 

hatte ein ähnliches problem vor kurzem erst und in dem fall, lag es daran.

[ceebee 10]

@ IThome:

Der Sniffer sagt mir, dass von dem VPN-Client zwar ein Echo request angefordert wird, allerdings erfolgt kein reply. Aus dem lokalen Netz ist der Ping erfolgreich. Statische Routen sind nicht eingerichtet.

 

@ catao:

Es läuft kein Virenscanner und keine Firewall auf dem Server.

 

Vielleicht eine lokale Sicherheitsrichtlinie, die ich übersehen haben könnte?

[IThome 10]

Der Server sieht den Request und es erfolgt kein Reply ? Der Server hat doch ein Default Gateway, wohin er die Antworten schicken kann ...

[Ja_mei 10]

Doch vielleicht mal ein statische Route zu dem VPN Router vom Server einrichten, falls diese vom Default Gateway abweicht.:rolleyes:

[IThome 10]

Hm, pingbare Clients und der nicht pingbare Server haben das selbe Default Gateway ...

[51th 10]

Kann das sein, dass der VPN Client nicht 24-Bit Maske bekommt sondern z.B. 26 Bit?

[ceebee 10]

sooo ... das Problem scheint gelöst ... und es war weniger kompliziert als gedacht: Ich war fälschlicherweise der festen Überzeugung, dass die Firewall auf dem Server deaktiviert ist. Dummerdings wird diese Testumgebung auch von einem Kollegen benutzt, der eben diese Firewall auf dem Serversystem testet und sie nach seinem Test wieder deaktivieren sollte, was er anscheinend vergessen hat :mad: ... Vertrauen ist gut, Kontrolle eben auch ...

Wie dem auch sei, Ping VPN->Server geht, nslookup VPN->Domäne funzt auch einwandfrei.

 

Ich danke euch trotzdem vielmals für Eure Tipps :thumb1:

ceebee

[IThome 10]

Hehe, klassisch würde ich sagen :D , ich hatte auch schon an IPSEC-Richtlinien gedacht, aber dann war es ja doch nicht so kompliziert :)

[ceebee 10]

Naja, Azubis halt. Man kann ihnen ja noch nicht mal böse sein ....

Aber an die einfachsten Dinge denkt man ja immer zuletzt ;)