Pimboli 10 Geschrieben 2. Januar 2008 Autor Melden Teilen Geschrieben 2. Januar 2008 Ja das geht. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. Januar 2008 Melden Teilen Geschrieben 2. Januar 2008 Bis wohin kommst Du ? Kannst Du die Dir zugewandte Schnittstelle der Firewall anpingen ? Kannst Du die abgewandte Schnittstelle der Firewall anpingen (falls beides nicht geht, erstelle eine Regel, die ICMP zulässt) ? Was ist das überhaupt für ne Firewall, ein 2003 Server mit ISA ? Was loggt die Firewall ? Der RRAS jedenfalls routet, so viel steht fest. Du kannst ja Geräte jenseits des RRAS erreichen. Der RRAS selbst kann ja auch auf einen Rechner hinter der Firewall zugreifen, dann sollte der Client es auch können (sofern der Firewall es durch eine Regel nicht verhindert) .... Zitieren Link zu diesem Kommentar
Pimboli 10 Geschrieben 4. Januar 2008 Autor Melden Teilen Geschrieben 4. Januar 2008 Ich komme mit dem RRAs Client bis zu der Firewall die die Schnittstelle bildet zum 192 Netz. Aber nicht Weiter. Der RRas selber kommt jedoch durch diese Firewall. mfg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Dann schau mal ins Log der Firewall (was läuft da drauf, ein ISA-Server ?). Kommen da überhaupt Pakete an, wenn der VPN-Client sich mit der anderen Seite verbinden will ? Du kannst auch auf dem Client einen Sniffer wie Wireshark installieren und prüfen, wohin er die Pakete schickt, die sich ausserhalb des Adressbereiches des VPN-Clients befinden ... Poste mal die Ausgabe von ROUTE PRINT vom RRAS und vom Client ... Zitieren Link zu diesem Kommentar
Pimboli 10 Geschrieben 4. Januar 2008 Autor Melden Teilen Geschrieben 4. Januar 2008 Hab noch etwas herrausgefunden. Der Client bekommt als Gateway Adresse immer seine Eigene Ip. Wenn ich eine Route zu dem 192 netz am Client hinzufügen will, kommt eine Fehlermeldung das der Schnittstellenindex ungültig ist oder das Gateway sich nicht im gleichen Netzwerk wie die Schnittstelle befindet. Das hinzufügen dieser Route an einem Internen Client (Nicht RRas) Funktioniert. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. Januar 2008 Melden Teilen Geschrieben 4. Januar 2008 Die eigene Adresse ist okay, Du hast ja auch den entsprechenden Haken gesetzt. Und eine Route kannst Du nicht setzen, da das dann benutzte Gateway erst erreichbar ist, wenn die VPN-Verbindung hergestellt wird (was beim internen Client nicht so ist) ... ROUTE PRINT ? Sniffer ? Zitieren Link zu diesem Kommentar
Pimboli 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 So hier die Routen des Servers und Clients: RRAS Server IPv4-Routentabelle =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x10003 ...00 90 27 ee 60 c3 ...... Intel® PRO/100+ Management Adapter =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 149.247.151.230 149.247.150.10 20 0.0.0.0 0.0.0.0 149.247.151.231 149.247.150.10 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 149.247.150.0 255.255.254.0 149.247.150.10 149.247.150.10 20 149.247.150.10 255.255.255.255 127.0.0.1 127.0.0.1 20 149.247.150.105 255.255.255.255 127.0.0.1 127.0.0.1 50 149.247.255.255 255.255.255.255 149.247.150.10 149.247.150.10 20 192.168.1.0 255.255.255.0 149.247.150.65 149.247.150.10 1 224.0.0.0 240.0.0.0 149.247.150.10 149.247.150.10 20 255.255.255.255 255.255.255.255 149.247.150.10 149.247.150.10 1 Standardgateway: 149.247.151.231 =========================================================================== Ständige Routen: Keine RRAS Client =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x2 ...00 12 f0 2d 26 94 ...... Intel® PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport 0x3 ...00 0b 5d 84 a1 68 ...... Broadcom NetXtreme Gigabit Ethernet - Paketplane r-Miniport 0x20005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 149.247.150.22 149.247.150.22 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 149.247.150.22 255.255.255.255 127.0.0.1 127.0.0.1 50 149.247.150.105 255.255.255.255 149.247.150.22 149.247.150.22 1 149.247.255.255 255.255.255.255 149.247.150.22 149.247.150.22 50 224.0.0.0 240.0.0.0 149.247.150.22 149.247.150.22 1 255.255.255.255 255.255.255.255 149.247.150.22 3 1 255.255.255.255 255.255.255.255 149.247.150.22 149.247.150.22 1 255.255.255.255 255.255.255.255 149.247.150.22 2 1 Standardgateway: 149.247.150.22 =========================================================================== Ständige Routen: Keine Also Beim Capturen hab ich so viel an Traffic, das sagt mir irgendwie alles nix....(Wireshark) Zum verzweifeln... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Ich habe das jetzt mal nachgebaut, da es ein wenig unübersichtlich wurde :D Ich habe versucht, Dein Netz so nahe wie möglich nachzubauen. Dazu habe ich mir ein Netz gebaut für den VPN-Client: VPN-Client (Windows XP): 192.168.1.151/24 - GW: 192.168.1.1 2003 Server (RRAS-NAT): privat 192.168.1.1/24, öffentlich 192.168.2.1/24 - GW: 192.168.2.2. Dieser Server stellt den Internetrouter des Clients dar. Ein Netz, was das Internet darstellen soll. Dieses Netz verbindet die externen Schnittstellen der beiden NAT-Router miteinander Ein Netzwerk, in dem sich der RRAS befindet. Dieses Netzwerk wird durch einen NAT-Router von der Aussenwelt getrennt: 2003 Server (RRAS-NAT): öffentlich 192.168.2.2/24 - GW: 192.168.2.1, privat 192.168.3.1/24. Zusätzlich ist er auch ein DHCP-Server, der die Adressen für die PPP-Schnittstellen des VPN-Servers und -Clients liefert. Der DHCP-Dienst ist nur auf der privaten Schnittstelle gebunden. Dieser Server stellt den Internetrouter der Firma dar. Im RRAS wurde ein Portforwarding zum internen RRAS mit der Adresse 192.168.3.5 zum Zweck des VPN-Aufbaus konfiguriert. 2003 Server (VPN): 192.168.3.5/24 - GW: 192.168.3.1. Dieser Server stellt den VPN-Server dar. Auf dem VPN-Server ist eine Route in das entfernte Netz im Firmennetz erzeugt worden. Das entfernte Netz ist die 192.168.4.0/24. Der Route-Befehl lautete ROUTE ADD 192.168.4.0 MASK 255.255.255.0 192.168.3.2 Ein Netzwerk, welches durch einen Router von dem Netz getrennt ist, in dem sich der VPN-Server befindet und in dem sich ein Host befindet, der vom VPN-Client angesprochen werden soll. 2003 Server (RRAS-LAN-Routing): 192.168.3.2/24, 192.168.4.1/24. Dieser Server stellt die Firewall dar. Host (Windows XP): 192.168.4.100/24 - GW:192.168.4.1 Der VPN-Client baut also eine Verbindung zur 192.168.2.2 auf, bekommt eine Adresse aus dem 192.168.3.0/24 Bereich (die PPP-Schnittstelle des RRAS ebenso) und er kann ohne Probleme auf den Host mit der IP 192.168.4.100 zugreifen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Hier die Routen der beteiligten Geräte: VPN-Client: Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.151 21 0.0.0.0 0.0.0.0 192.168.3.107 192.168.3.107 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.1.0 255.255.255.0 192.168.1.151 192.168.1.151 20 192.168.1.151 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.151 192.168.1.151 20 192.168.2.2 255.255.255.255 192.168.1.1 192.168.1.151 20 192.168.3.0 255.255.255.0 192.168.3.107 192.168.3.107 1 192.168.3.107 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.3.255 255.255.255.255 192.168.3.107 192.168.3.107 50 224.0.0.0 240.0.0.0 192.168.1.151 192.168.1.151 20 224.0.0.0 240.0.0.0 192.168.3.107 192.168.3.107 1 255.255.255.255 255.255.255.255 192.168.1.151 192.168.1.151 1 255.255.255.255 255.255.255.255 192.168.3.107 192.168.3.107 1 Standardgateway: 192.168.3.107 =========================================================================== Ständige Routen: Keine RRAS: Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.3.1 192.168.3.5 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.2.1 255.255.255.255 192.168.3.1 192.168.3.5 20 192.168.3.0 255.255.255.0 192.168.3.5 192.168.3.5 20 192.168.3.5 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.3.107 255.255.255.255 192.168.3.109 192.168.3.109 1 192.168.3.109 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.3.255 255.255.255.255 192.168.3.5 192.168.3.5 20 192.168.4.0 255.255.255.0 192.168.3.2 192.168.3.5 1 224.0.0.0 240.0.0.0 192.168.3.5 192.168.3.5 20 255.255.255.255 255.255.255.255 192.168.3.5 192.168.3.5 1 Standardgateway: 192.168.3.1 =========================================================================== Ständige Routen: Keine Router (Firewall) Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.2 20 192.168.3.2 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.3.255 255.255.255.255 192.168.3.2 192.168.3.2 20 192.168.4.0 255.255.255.0 192.168.4.1 192.168.4.1 20 192.168.4.1 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.4.255 255.255.255.255 192.168.4.1 192.168.4.1 20 224.0.0.0 240.0.0.0 192.168.3.2 192.168.3.2 20 224.0.0.0 240.0.0.0 192.168.4.1 192.168.4.1 20 255.255.255.255 255.255.255.255 192.168.3.2 192.168.3.2 1 255.255.255.255 255.255.255.255 192.168.4.1 192.168.4.1 1 =========================================================================== Ständige Routen: Keine Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Und IPCONFIGs der beteiligten Rechner: VPN-Client: Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : VPN-TEST Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel 21140-basierter PCI-Fast Ethernetadapter (Standard) Physikalische Adresse . . . . . . : 00-03-FF-CC-26-1B DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.151 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.1 PPP-Adapter VPN-Test: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.3.106 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 192.168.3.106 DNS-Server. . . . . . . . . . . . : 192.168.3.1 VPN-Server: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : ROUTER3 Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Ja PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.3.109 Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : Ethernet-Adapter LAN-RRAS: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel 21140-basierter PCI-Fast Ethernet-Adapter (Standard) Physikalische Adresse . . . . . . : 00-03-FF-60-E3-67 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.3.5 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.3.1 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Ich habe mir Deine Routingtabellen lange angeschaut, ebenso die Konfiguration und ich sehe da nix (vielleicht auch zu lange raufgeschaut). In der obigen Konfiguration funktioniert das Erreichen eines Hosts, der sich ausserhalb des Netzwerkes des VPN-Servers befindet. Entscheidend ist, dass der VPN-Server dort hin kommt und der entfernte Client auch wieder zurück findet. Schau Dir mal meine Routingtabellen und IPCONFIGs an und melde Dich, was abweicht (eine falsch eingetragene Route auf einem Router oder der Firewall oder ähnlich) ... Zitieren Link zu diesem Kommentar
Pimboli 10 Geschrieben 9. Januar 2008 Autor Melden Teilen Geschrieben 9. Januar 2008 Huh...gar nicht so einfach was nach zu vollziehen was mann nicht selber auf gebaut hat :) Ich werde es mal abzeichnen und versuchen zu verstehen. Danke auf jeden fall erst einmal für die Bemühungen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Januar 2008 Melden Teilen Geschrieben 9. Januar 2008 Sollte Deiner Konfiguration zumindest ähneln ... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.