Zugriff auf Fraigabe aus VPN

[waynelovitt 0]

Hallo Welt,

 

ich kann, aus welchen Gründen auch immer, nicht aus dem Office-VPN auf freigegeben Ordner auf einem externen Server zugreifen.

Bei einigen Rechnern kommt die Aufforderung zur Passworteingabe in Endlosschleife, andere Rechner zeigen eine Fehlermeldung,

die besagt, dass der Netzwerkpfad ungültig sei.

Der Server selbst ist nicht im VPN und hat eine statische public IP.

Aus anderen Netzen ist der Zugriff problemlos möglich.

Ping und RDP auf den Server aus dem VPN klappt auch, es scheint also kein Problem mit dem Routing vorzuliegen.

Firewall sollte es auch nicht sein, hatte zu testzwecken alle Firewalls deaktiviert, keine Verbesserung.

Die Idee, dass der Server sich einfach mit dem VPN verbindet hatte ich auch schon, aber die Verbindung ist nicht stabil.

Die Einstellung "Verbindung bei Verbindungsabbruch wiederherstellen" scheint so den Server nicht zu interessieren.

 

Hat jemand eine Idee ?

 

TIA

[zahni 554]

Sorry, ich verstehe nicht ganz, wer mit wem VPN macht und wo der  Server und  wo der  Client steht. 

Wer oder Was macht VPN?

VPN kann eine Firewall implementieren und/oder bestimmte Pakete oder  Ports filtern. 

[waynelovitt 0]

Im Office in Schleswig-Holstein ist ein lokales Netzwerk, mit dem man sich per VPN verbinden kann.

Wenn man sich in diesem Netzwerk befindet, entweder per VPN-Einwahl, oder vor Ort im Office,

kann man auf die freigegebenen Verzeichnisse auf dem externen Server in Köln nicht zugreifen.

Ich hoffe, das das soweit verständlich ist.

Wenn man die VPN-Verbindung kappt, ist ein Zugriff problemlos möglich.

Das deutet alles ziemlich in Richtung VPN-Gateway als Verursacher des Problems, allerdings habe

ich in den Einstellungen nichts finden können. Firewall hatte ich, wie gesagt, testweise abgeschaltet

und Filter sind nicht eingerichtet. Es sei denn, die Vigor hat vorkonfigurierte Filter, die man nicht

beeinflussen kann, oder ich finde sie einfach nicht.

 

Zwischenzeitlich habe ich mal einen alten WHS hochgefahren und versucht auf dessen Freigaben

zuzugreifen, klappt auch nicht. Da scheint wirklich noch irgenwo VPN-Seitig eine Sperre zu sein.

Werde wohl mal bei Draytec anfragen, wie der Trick ist.

[daabm 1.354]

Zwinge Kerberos, TCP statt UDP zu verwenden. Wenn die Kerberos-Daten nicht in ein einziges Datenpaket passen und per UDP vesendet werden (Standard bis 2048 Byte), dann können die beim Empfänger "out of order" ankommen. Und leider kann Kerberos damit nicht umgehen, obwohl es das eigentlich müßte, wenn es UDP verwsendet.

 

Wenn Du eine Suchmaschine bedienen kannst, reicht das als Info. Wenn nicht, dann sag nochmal Bescheid. :cool:

[orinne 0]

Hallo waynelovitt,

 

kontrollier doch bitte mal beim Vigor ob bei den VPN-Einstellungen im Profil "Change default route to this VPN tunnel" gesetzt ist.

Wenn dort ein Haken gesetzt ist, geht der gesamte Traffic über das VPN und nicht mehr direkt ins Internet.

 

Solltest du keine eigenen Firewall-Filter konfiguriert haben, geht über das VPN immer der Traffic ohne jegliche Filterung (Netbios und Multicast kann noch im VPN-Profil geblockt werden).

 

Leider habe ich auch mit deiner erneuten Beschreibung noch nicht ganz dein Konstrukt verstanden.

Ohne VPN gehts, mit nicht? Da ist dann aber eine weitere (VPN)-Verbindung zwischen Schleswig-Holstein und Köln vorhanden, oder?

[waynelovitt 0]

Den Tip von daabm habe ich ausprobiert, leider ohne Erfolg.

 

Ich beschreibe das Problem nochmal, da ich mich wohl etwas verwirrend ausgedrückt habe:

 

Kiel:

Win Server2003

lokales Netzwerk : 192.168.202.0/24

Router Vigor 2820 : single WAN, statische IP 217.x.y.z

 

Köln (HE) : Server 2008 Datacenter (vServer)

IP : 91.x.y.z

 

Das mit dem VPN lasse ich ertmal weg.

 

Nutzer aus dem lokalen Netz in Kiel können den Server in Köln anpingen

und per RDP darauf zugreifen.

Auf Freigaben auf dem kölner Server kann nicht zugegriffen werden.

Der Zugriff auf die Freigaben klappt aber aus allen anderen bisher

getesteten Netzwerken heraus.

 

Die Schuld vermute ich mal beim Vigor.

 

Hoffe, das Problem ist jetzt etwas klarer.

[orinne 0]

Hallo waynelovitt,

 

Das mit dem VPN lasse ich ertmal weg.

 

Also sind die Standorte direkt miteinander verbunden?

 

Nutzer aus dem lokalen Netz in Kiel können den Server in Köln anpingen

und per RDP darauf zugreifen.

Auf Freigaben auf dem kölner Server kann nicht zugegriffen werden.

Der Zugriff auf die Freigaben klappt aber aus allen anderen bisher

getesteten Netzwerken heraus.

 

Kannst du die Freigaben (den Server) nur nicht über die Netzwerkumgebung sehen, oder klappt die Verbindung über UNC-Notation (\\Server\Freigabe) generell nicht?

Falls es mit dem Namen nicht klappt, versuch noch einmal über die IP-Adresse: \\123.456.789.123\Freigabe, eventuell hast du da ein DNS-Problem?

 

Die Schuld vermute ich mal beim Vigor.

 

Aber nur, wenn du ein VPN zwischen den Standorten nutzt kann das auch die Ursache sin kann.

Welches Modell nutzt du an den Standorten und gehst du über LAN-LAN oder Client-Einwahl?

 

Wir haben bei uns 38 Standorte mit Vigors (und anderen Routern) verbunden und haben schon so manche Merkwürdigkeit erlebt.

Allerdings kann ich dir nicht wirklich helfen, sondern nur den Weg weisen, wenn ich nicht die genaue Konfiguration der Vigors kenne.

• Oftmals ist der Fehler ein falsche Route, die statt auf den richtigen Server, auf einen externen Anschluss verweist.
• Hast du die Dateifreigabe in der Firewall des Windows 2008 (R2?) Servers aktiviert, damit sich die Clients verbinden können (eventuell für Öffentliches Netzwerk falls nicht in der gleichen Domäne)?
• Prüf doch mal die Ports 135, 137, 139 und 445 per Telnet, ob du eine Verbindung herstellen kannst.

 

Gruß

Olli

[tesso 375]

Ich habe lange keinen Vigor mehr in Händen gehabt. Ich meine mich zu erinnern, daß der standardmässig die SMB Ports sperrt. Das konnte man auch abstellen, kann dir leider nach Jahren nicht mehr sagen wo genau.

[NeMiX 76]

Ansonsten einfach kurz per UMTS einen Hotspot aufmachen und schauen ob es damit geht. Damit kannst du die Fw umgehen.

 

Generell finde ich, dass man SMB und andere Ports nicht einfach so übers Internet schicken sollte. Das gehört alles hinter ein VPN oder eine FW die per ACL nur deine IP zulässt.

[waynelovitt 0]

Vielen Dank für die Antworten.

 

Ein Routingproblem schließe ich einmal aus, da Ping und RPD ja funktionieren.

Ein Portscan der Vigorbox lieferte, dass die Ports 135-139 gefiltert werden. Schätze mal,

das da das Problem liegt.

Wenn mir jemand sagen könnte, wie man das beheben kann, würde mich das

wohl ein Stück weiterbringen.

Wie schon gesagt, die Firewall auf dem Vigor ist deaktiviert, Call Filter und Data Filter auch.

Der Default Call Filter besagt zwar, dass NetBIOS geblockt werden soll, wenn dieser Filter

inaktiv ist, sollte es aber funktionieren. Es sei denn, der Vigor ist eines dieser Geräte, die

es nicht interessiert, was in der Konfiguration eingestellt ist.

Das scheint hier der Fall zu sein, da es egal ist, ob die Regel aktiv oder disabled ist. Sogar

wenn ich die Ports 137-139 auf Pass Immediately setze, sind die laut nmap immer noch gefiltert,

unabhängig davon, ob die Filterregel aktiv ist, oder nicht.

 

Für Hinweise, die zur Lösung des Problems führen, wäre ich sehr dankbar.

[Daniel -MSFT- 129]

Neuere Firmware-Revisionen haben eine Filterfunktion namens DefenseWorm. Kann man über Telnet mit dem Kommando "mngt defenseworm off" ausschalten: http://forums.whirlpool.net.au/archive/1578963

[waynelovitt 0]

Weder Anpassen noch Abschalten von DefenseWorm hat etwas bewirkt.

Nach genauerer Betrachtung des, komplett undokumentierten, Netzwerkes,

ist mir aufgefallen, dass die Firebox sich durch eine FritzBox einwählt.

Die FB dient nur als Telefonanlage. Zum Test wurde die Vigor aus dem Netz genommen

und eine Verbindung über die FB hergestellt, welches das selbe Fehlerbild

lieferte. Der Schuldige scheint gefunden.

Nach Feierabend soll nochmal die direkte Einwahl der Vigor ohne FB

getestet werden. Wenn das klappt, muss eben auf das Telefon verzichtet

werden, wenn einer RDP machen will.

 

[waynelovitt 0]

Nach einigen weiteren Tests komme ich immer mehr zu dem Schluss, dass das Problem auf dem Rechner (und einigen anderen) besteht.

In einem anderen Netzwerksegment konnten alle Rechner ohne Probleme die Verbindung herstellen. Der Umbau des betreffenden Rechners

in dieses Segment brachte aber keine Besserung. Switch wurde getauscht, auch keine Besserung.

Die Erwähnte Einwahl ohne FritzBox hat auch keinen Erfolg gebracht.

Einzige Änderung: Es kommt jetzt eine andere Fehlermeldung auf dem Client

Ein interner Fehler ist aufgetreten

In den Fehlerprotokollen auf dem Client erscheint hierzu keine weitere Information.

Auf dem Server kommt in den Logs

Der Windows-Anmeldeprozess wurde unerwartet beendet

bearbeitet 16. September 2014 von waynelovitt

[waynelovitt 0]

Ich mache mal einen neuen Thread auf.

Die Melden deuten ja darauf hin, dass da eher ein

Problem mit Windows, als mit dem Netzwerk vorliegt.