SBS 2008 - PPTP VPN: VPN-Verbindung steht, Zugriff auf SBS-Server geht, aber kein Zugriff ins LAN

[sperl42 0]

Hallo,

 

bis gestern ging unser VPN noch. Dann einmal unbedacht mit dem Netzwerkproblem-Behebungs-Assi

drüber, um das Exchange-Zertifikat zu erneuern - dabei hat er wohl irgend etwas an der Netzwerkkonfiguration

zu derbe geändert, dass unser VPN praktisch unbenutzbar ist.

 

Unser Netzaufbau sieht grob so aus:

 

Eine FritzBox mit einem WLAN-Router (und soch ein paar Gerätchen) bildet das äußere Netz.

Da schicken wir auch immer unsere Gäste rein, wenn sie Mails checken wollen.

 

Dann kommt eine SonicWall als NAT-Firewall.

 

Dahinter findet man dann unser eigentliches Produktivnetz mit den Servern und Arbeitsplatzrechnern.

 

Äußeres Netz und Produktivnetz haben unterschiedliche Adressbereiche.

 

Der VPN-Endpunkt wird von einem SBS 2008 gebildet, derzeit noch PPTP. Bis gestern konnte man über VPN

dann nicht nur den SBS sehen, sondern alle Rechner im Netz (so wie es eben sein soll).

 

Symptome jetzt:

 

VPN-Einwahl klappt, Zugriff auf den SBS klappt,auch das Mounten von Verzeichnissen des SBS klappt.

Der Testmac bekommt brav eine Adresse aus dem Produktivnetz.

Aber ich komme weder auf einen anderen Server, noch eine andere Workstation im Produktivnetz;

auch die Namensauflösung klappt nicht.

 

(Wir haben genau diesen Effekt damals, als wir wegen VPN vom 192.168.1.x Netz auf eine etwas

exotischere Adresse gewechselt sind. Da hatte ich vergessen, die Definitionen der VPN-Endpunkte auf

dem SBS anzupassen. Nach Änderung ging dann wieder alles. Aber jetzt stimmen die IP-Adressen

und trotzdem komme ich auf keinen Server im LAN.)

 

Die Routingtabelle auf dem SBS sieht wie folgt aus (192.168.199.x ist unser Produktivnetz;

allerdings habe ich für diesen Dumb die Adresse etwas geändert):

 

C:\Users\NatAdmin>route print

===========================================================================

Schnittstellenliste

 14 ...90 e2 ba 1b bd 35 ...... Intel® Gigabit ET Dual Port Server Adapter #2

 13 ...90 e2 ba 1b bd 34 ...... Intel® Gigabit ET Dual Port Server Adapter

 17 ........................... RAS (Dial In) Interface

  1 ........................... Software Loopback Interface 1

 16 ...00 00 00 00 00 00 00 e0  isatap.{C05CC304-962E-4043-B728-FBEE58BE30A3}

 15 ...00 00 00 00 00 00 00 e0  isatap.{273F11A5-808A-4F57-B874-9B051D4D913B}

 23 ...00 00 00 00 00 00 00 e0  Microsoft-ISATAP-Adapter #3

===========================================================================

 

IPv4-Routentabelle

===========================================================================

Aktive Routen:

     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik

          0.0.0.0          0.0.0.0    192.168.199.7   192.168.199.10     15

        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306

        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306

  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306

      169.254.0.0      255.255.0.0   Auf Verbindung   192.168.199.248    306

     169.254.0.17  255.255.255.255   Auf Verbindung   192.168.199.248    306

  169.254.255.255  255.255.255.255   Auf Verbindung   192.168.199.248    306

    192.168.199.0    255.255.255.0   Auf Verbindung    192.168.199.10    266

   192.168.199.10  255.255.255.255   Auf Verbindung    192.168.199.10    266

  192.168.199.248  255.255.255.255   Auf Verbindung   192.168.199.248    306

  192.168.199.255  255.255.255.255   Auf Verbindung    192.168.199.10    266

        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306

        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.199.10    266

        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.199.248    306

  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306

  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.199.10    266

  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.199.248    306

===========================================================================

Ständige Routen:

  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik

          0.0.0.0          0.0.0.0      192.168.1.7  Standard

          0.0.0.0          0.0.0.0      192.168.1.7  Standard

          0.0.0.0          0.0.0.0      192.168.1.7       5

          0.0.0.0          0.0.0.0    192.168.199.7       5

===========================================================================

 

IPv6-Routentabelle

===========================================================================

Aktive Routen:

 If Metrik Netzwerkziel             Gateway

  1    306 ::1/128                  Auf Verbindung

 13    266 fe80::/64                Auf Verbindung

 13    266 fe80::66fc:45ed:b6b9:2dd5/128

                                    Auf Verbindung

 13    266 fe80::d15f:908b:ed6:f99c/128

                                    Auf Verbindung

  1    306 ff00::/8                 Auf Verbindung

 13    266 ff00::/8                 Auf Verbindung

===========================================================================

Ständige Routen:

  Keine

  

Was mich irritiert sind die sogenannten ständigen Routen für IPv4, die ich hier bei anderen so

auch nicht gesehen habe. Vor allem, weil die 192.168.1.x Einträge für unsere alte Netzadresse

gepasst hätten, ich aber nicht weiß, wo er diese noch hernimmt.

 

Wer eine Idee zu diesem Problem hat - immer her damit. Ich bin ratlos.

 

Gruß,

Stefan Sperling

 

 

[testperson 1.677]

Hi,

 

ich würde da ganz kurzen Prozess machen und spätestens ab jetzt auf PPTP verzichten und ein sicheres VPN nutzen. Alternativ den RWA des SBS.

 

Gruß

Jan

[meinerjunge 10]

Hallo,

 

hast du die Netzwerktypen in der Netzwerkumgebung gecheckt (Domänennetzwerk, öffentliches Netzwerk usw.)?

 

Vll. ist nach Behebungs-Assi an den Netzwerktypen durcheinander, so dass das VPN-Netz nicht mehr nach Intern darf. Ggf mal zum testen die Firewall deaktivieren.

 

 

MfG Meiner

 

 

ps. testperson schon schrobte, auf ein sicheres VPN wechseln

bearbeitet 30. September 2015 von meinerjunge

[Nobbyaushb 1.471]

Was mich stört sind die beiden Intel Gigabit, beide aktiv?

 

Woher kommt die APIPA (169er) Adressen?

 

Wen die zweite Netzwerkkarte nicht aktiv ist, abschalten, am besten im Bios.

 

:)

[sperl42 0]

Hallo Nobbyaushb,

 

die beiden Intel Gigabit sind die zwei Ports einer INtel Servernetzwerkkarte; wir benützen aber nur

den einen Port.

 

An der Verkabelung hat sich seit ewiger Zeit nichts geändert.

 

Wo die 169er Adresse herkommt, kann ich dir nicht sagen.

Eben genauso wenig, wie die Nummer mit den statischen Routen im 192.168.1.x

Netz. (Was ja wie gesagt unser altes Netz war.)

 

Ich hänge jetzt irgendwie fest - die Verbindung wird aufgebaut, aber ich kann keinen Server

sehen; inzwischen auch den VPN-Server selbst nicht mehr und DNS geht auch nicht.

 

Komisch finde ich zB auch, dass der Win7-Client für die VPN-Verbindung eine Netzwerkmaske

255.255.255.255 anzeigt, der Mac hingegen gar keine anzeigt (wobei dies gewolltes Verhalten

für 255.255.255.255 sein kann; ich weiß auch nicht ob diese Maske bei VPN ok ist.)

 

Gruß,

Stefan

 

 

Was mich stört sind die beiden Intel Gigabit, beide aktiv?

 

Woher kommt die APIPA (169er) Adressen?

 

Wen die zweite Netzwerkkarte nicht aktiv ist, abschalten, am besten im Bios.

 

:)

[sprigs-glum 0]

Es wäre denke ich interessant, wie ipconfig vom VPN-Client aussieht. Meine Vermutung ist, dass der Reperaturassistent vielleicht auf den RAS-VPN internen DHCP umgeschalten hat und jetzt nicht mehr der DHCP des Servers verwendet wird.

 

https://technet.microsoft.com/de-de/library/dd469667.aspx

 

Ist denn beim VPN-Client der korrekte DNS Server und ein korrektes Gateway eingetragen?