rt1970 10 Geschrieben 6. September 2015 Melden Geschrieben 6. September 2015 (bearbeitet) Hallo! Ich werde noch irre! Ich habe 3 Server 2008 an 3 Standorten, die via VPN verbunden sind. Dazu nutze ich das Routing und RAS des Servers. Diese haben 2 Netzwerkkarten (1x LAN und 1x WAN) Der Einfachheit halber nutze ich (noch) PPTP. Folgende Probleme: 1. Verbindung steht und nach einer Weile (unterschiedlich) kein Ping und kein Zugriff auf Remote-Server mehr. Hilft nur noch trennen und neu verbinden (lassen) 2. Verbindung von A nach B steht (alles ok) - wenn dann aber B versucht sich einzuwählen fällt der Zugriff (ping z.B.) von A nach B aus 3. Oftmals bleibt aber die die Verbindung bei "Verbindungsherstellung" hängen. Nach mehrmaligen trennen oder Neustart von RRAS klappt es dann 4. Wenn RRAS nicht verbinden will, funktioniert meist trotzdem eine angelegte "DFÜ-VPN-Verbindung" Wähle ich mich aber mit meinem Client über UMTS oder DSL (Fritzbox) zu Hause ein gibt es keine Probleme! Die DSL-Anschlüsse sind 2x QSC und 1x Telekom Company-Connect mit LANCOM-Router (TCP 1723 geforwardet, GRE sollten die Router selbst können, oder? Zumindest habe ich keine Möglichkeit GRE zu forwarden) Kann mir jemand Tips für des Rätsels Lösung geben? Können die Router nur 1x VPN oder ist das egal? Für Eure Hilfe wäre ich sehr Dankbar! Gruß René bearbeitet 6. September 2015 von rt1970 Zitieren
testperson 1.758 Geschrieben 6. September 2015 Melden Geschrieben 6. September 2015 Hi, stehen in allen Standorten Lancom Router? Dann lass die Router das (IPSec) VPN aufbauen. Ansonsten stell an jeden Standort einen Lancom Router und baue darüber das VPN auf. Wenn du bei den Lancom Routern 1723 tcp weiterleitest, wird automatisch auch GRE weitergeleitet. Gruß Jan Zitieren
rt1970 10 Geschrieben 6. September 2015 Autor Melden Geschrieben 6. September 2015 (bearbeitet) Hallo Jan! So dachte ich auch: Lancom Routern 1723 tcp weiterleitest, wird automatisch auch GRE weitergeleitet Klappt ja auch -> manchmal :-( Nur 1 Aussenstelle hat LANCOM 1611+. Die anderen sind QSC-eigene. Dahinter macht noch ein Router keinen Sinn. Ich hatte auch OpenVPN versucht, aber das Routing funktioniert irgendwie nicht... Kann nicht mal die 10.0.0.1 anpingen... Mir fiel gerade auf, dass die Windows-Firewall Einträge hat: 2015-09-05 22:49:41 DROP 47 xxx.xxx.xxx.xxx 192.168.0.1 - - 588 - - - - - - - RECEIVE GRE ist aber in der Firewall - bis auf die EDGE-Ausnahme - erlaubt. Diese habe ich jetzt auch zugelassen. PFirewall.log wird ja leider nicht aktuell erstellt... Laut QSC ist der Router so eingestellt (192.168.0.1 ist die 2. Netzwerkkarte (WAN) im Server, ....254 der Router): ip nat static-napt tcp 192.168.0.1 3389 self 3389 ip nat static-napt tcp 192.168.0.1 22 self 22 ip nat static-napt tcp 192.168.0.1 1723 self 1723 ip nat static-napt udp 192.168.0.1 500 self 500 ip nat static-napt udp 192.168.0.1 4500 self 4500 ip nat static-napt udp 192.168.0.1 1701 self 1701 ip dhcp excluded-address 192.168.0.0 ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp pool local-pool default-router 192.168.0.254 dns-server 192.168.0.254 network 192.168.0.0 255.255.255.0 bearbeitet 6. September 2015 von rt1970 Zitieren
zahni 566 Geschrieben 6. September 2015 Melden Geschrieben 6. September 2015 Solche LAN-VPN-Verbindungen solltest Du generell nicht über Windows aufbauen. Auch solltest Du mit 2 NICs in einem Windows-Server vorsichtig sein. Speziell auf DCs sind Probleme zu erwarten. Nun sucht Du Dir eine PPTP-freie Lösung. Am Besten IPSEC. Oder willst Du die "Schwiegermutter" im Netz haben? Zitieren
rt1970 10 Geschrieben 6. September 2015 Autor Melden Geschrieben 6. September 2015 Recht hast Du! Aber welche Lösung funktioniert hier am Besten? VPN-Router z.B. Netgear FVS336G? http://www.netgear.de/business/products/security/FVS336G.aspx#tab-techspecs Kann ich die im LAN anschließen, damit die mir die entsprechenden IP-Bereiche via VPN in die jeweilige Außenstelle routet? QSC war von meinen Wünschen völlig überfordert und die wollen ihren Router nicht "hergeben" / gegen einen von mir austauschen... Zitieren
testperson 1.758 Geschrieben 7. September 2015 Melden Geschrieben 7. September 2015 Hi, wir haben einige QSC Anschlüsse mit eigenen Routern dahinter draußen. Du kannst bei QSC anrufen und entweder alles benötigte NATten lassen oder auch den Router so umkonfigurieren lassen, dass du deinem Gerät dahinter die öffentliche IP zuweisen kannst. Was für einen Anschluss hast du denn bei QSC? Den Lancom 1611+ solltest du so oder so mal austauschen. Die aktuellste Firmware für das Gerät ist aus 2013. Gruß Jan Zitieren
rt1970 10 Geschrieben 10. September 2015 Autor Melden Geschrieben 10. September 2015 Ich habe jetzt öffentliche IP´s. Um VPN umzusetzen habe ich mir Testweise 2 Laptops und 2 Router zu Hause an die Fritzbox angeschlossen. Hier komme ich irgendwie nicht weiter - die Router verbinden sich nicht miteinander :confused: Also das 178er Netz der Fritzbox ist mein "Internet" Der LANCOM 1611+ hat auf eth3 192.168.178.103 bekommen und auf eth1 192.168.6.1 mit entsprechenden Internetzugang über den Assistenten. Der Laptop am eth1 kommt ins Internet und alles so, wie es sein soll. Der LANCOM 1781VA-4G hat auf eth4 192.168.178.101 bekommen und auf eth1 192.168.2.1 auch über den Assi. Auch der Laptop kommt ins Internet wie es sein soll. ABER: VPN zwischen den Boxen funktioniert nicht! Ich kann werder auf die 6.1 noch auf die 2.1 von der "Gegenstelle" pingen... Eingerichtet habe ich die VPN mit dem Assi "2 lokale Netze miteinander verbinden". Logging VPN: [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,270 selecting next remote gateway using strategy eFirst for LANCOM-P => no remote gateway selected [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,270 selecting first remote gateway using strategy eFirst for LANCOM-P => CurrIdx=0, IpStr=>192.168.178.101<, IpAddr=192.168.178.101, IpTtl=0s [VPN-Status] 2015/09/10 21:30:55,646 Devicetime: 2015/09/10 21:30:51,271 VPN: WAN state changed to WanIdle for LANCOM-P (192.168.178.101), called by: 0019b2f3 [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: WAN state changed to WanCall for LANCOM-P (192.168.178.101), called by: 0019b2f3 [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: connecting to LANCOM-P (192.168.178.101): physical channel not available for keep alive [VPN-Status] 2015/09/10 21:30:55,849 Devicetime: 2015/09/10 21:30:51,479 VPN: WAN state changed to WanIdle for LANCOM-P (192.168.178.101), called by: 0019b2f3 Kann mir jemand den Grund nennen? Zitieren
testperson 1.758 Geschrieben 10. September 2015 Melden Geschrieben 10. September 2015 Welche Firmware ist denn auf den Routern? Die Interfaces im FritzBox Netz sind am Lancom WAN Interfaces? Du hast auf beiden Routern den Assistenten genommen und die Werte jeweils über Kreuz eingetragen? Ansonsten wäre der Trace von beiden Routern interessant. Zitieren
rt1970 10 Geschrieben 10. September 2015 Autor Melden Geschrieben 10. September 2015 (bearbeitet) Firmware jeweils aktuellste (8.82.0100 und 9.10.0333) Die Interfaces im FritzBox Netz sind am Lancom WAN Interfaces? Nein. jeweils eth3 bzw. eth4. Ging nicht anders beim 1781 wenn ich mit dem Assi für Internetzugang "nicht aufgeführter Anbieter" und "externes Modem" gewählt habe. eth1 haben jeweils einen Laptop dran. Du hast auf beiden Routern den Assistenten genommen und die Werte jeweils über Kreuz eingetragen? Ja, hab ich! Was soll ich denn Tracen? VPN? siehe oben... Mehr kommt nicht :confused: Was mir noch auffällt: Ich kann keines meiner Geräte im 178er Netz (Fritzbox) erreichen. Durch gleichem Subnet? Vielleicht können sich die Router auch nicht untereinander erreichen? Ich kann auch nicht auf die 178er IP´s der LANCOMs pingen und auch http://192.168.178.1 geht nicht... FEHLER GEFUNDEN! In der Routing-Tabelle war ein Eintrag "Block private Networks"! Diese Route hab ich deaktiviert -> ALLES PERFEKT! Vielen Dank für Eure Mühen!!! bearbeitet 10. September 2015 von rt1970 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.