sperl42 0 Geschrieben 30. September 2015 Melden Teilen Geschrieben 30. September 2015 Hallo, bis gestern ging unser VPN noch. Dann einmal unbedacht mit dem Netzwerkproblem-Behebungs-Assi drüber, um das Exchange-Zertifikat zu erneuern - dabei hat er wohl irgend etwas an der Netzwerkkonfiguration zu derbe geändert, dass unser VPN praktisch unbenutzbar ist. Unser Netzaufbau sieht grob so aus: Eine FritzBox mit einem WLAN-Router (und soch ein paar Gerätchen) bildet das äußere Netz. Da schicken wir auch immer unsere Gäste rein, wenn sie Mails checken wollen. Dann kommt eine SonicWall als NAT-Firewall. Dahinter findet man dann unser eigentliches Produktivnetz mit den Servern und Arbeitsplatzrechnern. Äußeres Netz und Produktivnetz haben unterschiedliche Adressbereiche. Der VPN-Endpunkt wird von einem SBS 2008 gebildet, derzeit noch PPTP. Bis gestern konnte man über VPN dann nicht nur den SBS sehen, sondern alle Rechner im Netz (so wie es eben sein soll). Symptome jetzt: VPN-Einwahl klappt, Zugriff auf den SBS klappt,auch das Mounten von Verzeichnissen des SBS klappt. Der Testmac bekommt brav eine Adresse aus dem Produktivnetz. Aber ich komme weder auf einen anderen Server, noch eine andere Workstation im Produktivnetz; auch die Namensauflösung klappt nicht. (Wir haben genau diesen Effekt damals, als wir wegen VPN vom 192.168.1.x Netz auf eine etwas exotischere Adresse gewechselt sind. Da hatte ich vergessen, die Definitionen der VPN-Endpunkte auf dem SBS anzupassen. Nach Änderung ging dann wieder alles. Aber jetzt stimmen die IP-Adressen und trotzdem komme ich auf keinen Server im LAN.) Die Routingtabelle auf dem SBS sieht wie folgt aus (192.168.199.x ist unser Produktivnetz; allerdings habe ich für diesen Dumb die Adresse etwas geändert): C:\Users\NatAdmin>route print =========================================================================== Schnittstellenliste 14 ...90 e2 ba 1b bd 35 ...... Intel® Gigabit ET Dual Port Server Adapter #2 13 ...90 e2 ba 1b bd 34 ...... Intel® Gigabit ET Dual Port Server Adapter 17 ........................... RAS (Dial In) Interface 1 ........................... Software Loopback Interface 1 16 ...00 00 00 00 00 00 00 e0 isatap.{C05CC304-962E-4043-B728-FBEE58BE30A3} 15 ...00 00 00 00 00 00 00 e0 isatap.{273F11A5-808A-4F57-B874-9B051D4D913B} 23 ...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.199.7 192.168.199.10 15 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 169.254.0.0 255.255.0.0 Auf Verbindung 192.168.199.248 306 169.254.0.17 255.255.255.255 Auf Verbindung 192.168.199.248 306 169.254.255.255 255.255.255.255 Auf Verbindung 192.168.199.248 306 192.168.199.0 255.255.255.0 Auf Verbindung 192.168.199.10 266 192.168.199.10 255.255.255.255 Auf Verbindung 192.168.199.10 266 192.168.199.248 255.255.255.255 Auf Verbindung 192.168.199.248 306 192.168.199.255 255.255.255.255 Auf Verbindung 192.168.199.10 266 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.199.10 266 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.199.248 306 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.199.10 266 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.199.248 306 =========================================================================== Ständige Routen: Netzwerkadresse Netzmaske Gatewayadresse Metrik 0.0.0.0 0.0.0.0 192.168.1.7 Standard 0.0.0.0 0.0.0.0 192.168.1.7 Standard 0.0.0.0 0.0.0.0 192.168.1.7 5 0.0.0.0 0.0.0.0 192.168.199.7 5 =========================================================================== IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel Gateway 1 306 ::1/128 Auf Verbindung 13 266 fe80::/64 Auf Verbindung 13 266 fe80::66fc:45ed:b6b9:2dd5/128 Auf Verbindung 13 266 fe80::d15f:908b:ed6:f99c/128 Auf Verbindung 1 306 ff00::/8 Auf Verbindung 13 266 ff00::/8 Auf Verbindung =========================================================================== Ständige Routen: Keine Was mich irritiert sind die sogenannten ständigen Routen für IPv4, die ich hier bei anderen so auch nicht gesehen habe. Vor allem, weil die 192.168.1.x Einträge für unsere alte Netzadresse gepasst hätten, ich aber nicht weiß, wo er diese noch hernimmt. Wer eine Idee zu diesem Problem hat - immer her damit. Ich bin ratlos. Gruß, Stefan Sperling Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 30. September 2015 Melden Teilen Geschrieben 30. September 2015 Hi, ich würde da ganz kurzen Prozess machen und spätestens ab jetzt auf PPTP verzichten und ein sicheres VPN nutzen. Alternativ den RWA des SBS. Gruß Jan Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 30. September 2015 Melden Teilen Geschrieben 30. September 2015 (bearbeitet) Hallo, hast du die Netzwerktypen in der Netzwerkumgebung gecheckt (Domänennetzwerk, öffentliches Netzwerk usw.)? Vll. ist nach Behebungs-Assi an den Netzwerktypen durcheinander, so dass das VPN-Netz nicht mehr nach Intern darf. Ggf mal zum testen die Firewall deaktivieren. MfG Meiner ps. testperson schon schrobte, auf ein sicheres VPN wechseln bearbeitet 30. September 2015 von meinerjunge Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 30. September 2015 Melden Teilen Geschrieben 30. September 2015 Was mich stört sind die beiden Intel Gigabit, beide aktiv? Woher kommt die APIPA (169er) Adressen? Wen die zweite Netzwerkkarte nicht aktiv ist, abschalten, am besten im Bios. :) Zitieren Link zu diesem Kommentar
sperl42 0 Geschrieben 2. Oktober 2015 Autor Melden Teilen Geschrieben 2. Oktober 2015 Hallo Nobbyaushb, die beiden Intel Gigabit sind die zwei Ports einer INtel Servernetzwerkkarte; wir benützen aber nur den einen Port. An der Verkabelung hat sich seit ewiger Zeit nichts geändert. Wo die 169er Adresse herkommt, kann ich dir nicht sagen. Eben genauso wenig, wie die Nummer mit den statischen Routen im 192.168.1.x Netz. (Was ja wie gesagt unser altes Netz war.) Ich hänge jetzt irgendwie fest - die Verbindung wird aufgebaut, aber ich kann keinen Server sehen; inzwischen auch den VPN-Server selbst nicht mehr und DNS geht auch nicht. Komisch finde ich zB auch, dass der Win7-Client für die VPN-Verbindung eine Netzwerkmaske 255.255.255.255 anzeigt, der Mac hingegen gar keine anzeigt (wobei dies gewolltes Verhalten für 255.255.255.255 sein kann; ich weiß auch nicht ob diese Maske bei VPN ok ist.) Gruß, Stefan Was mich stört sind die beiden Intel Gigabit, beide aktiv? Woher kommt die APIPA (169er) Adressen? Wen die zweite Netzwerkkarte nicht aktiv ist, abschalten, am besten im Bios. :) Zitieren Link zu diesem Kommentar
sprigs-glum 0 Geschrieben 12. Oktober 2015 Melden Teilen Geschrieben 12. Oktober 2015 Es wäre denke ich interessant, wie ipconfig vom VPN-Client aussieht. Meine Vermutung ist, dass der Reperaturassistent vielleicht auf den RAS-VPN internen DHCP umgeschalten hat und jetzt nicht mehr der DHCP des Servers verwendet wird. https://technet.microsoft.com/de-de/library/dd469667.aspx Ist denn beim VPN-Client der korrekte DNS Server und ein korrektes Gateway eingetragen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.