EvoIT 10 Geschrieben 29. April 2010 Melden Teilen Geschrieben 29. April 2010 Hallo Gemeinde! Gegebenheiten: Router (LANCOM 1711), Server 2008+SP2 mit 2 Netzwerkkarten (LAN 1 internes Netz *192.168.99.x / LAN 2 zum Router *192.168.200.x) + RRAS mit VPN Bemerkung: Wake on LAN im internen Netz funktioniert ohne Probleme Benutzer stellt erfolgreich eine VPN-Verbindung her, danach versucht er eine RDP-Sitzung aufzubauen, was aber nicht geht da das System im Energiesparmodus ist. Jetzt meine Frage: mit welchem Tool kann ich ein Magic Packet senden das durch den VPN Tunnel geht. WoL, Wake und Co funktionieren da leider nicht. Was auch noch wichtig ist, der Bunutzer soll von dem ganzen vorhaben nichts mitbekommen. Wir wissen ja jeder Klick den ein Benutzer machen muss führt oft zu Fehlern ;). Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 29. April 2010 Melden Teilen Geschrieben 29. April 2010 Hallo, ohne dein Gerät jetzt zu kennen bieten einige Firewalls / Router die WOL Funktion im Menu um interne Rechner zu wecken. Prüfe mal ob dein Lancom das Feature auch hat. Ich setze jetzt mal vorraus das der Rechner welchen du wecken willst hinter dem Lancom steht. Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 29. April 2010 Autor Melden Teilen Geschrieben 29. April 2010 Hallo, ohne dein Gerät jetzt zu kennen bieten einige Firewalls / Router die WOL Funktion im Menu um interne Rechner zu wecken. Prüfe mal ob dein Lancom das Feature auch hat. Ich setze jetzt mal vorraus das der Rechner welchen du wecken willst hinter dem Lancom steht. Hallo, die Clients (24 Stück) hängen im Server LAN also nicht im Router LAN, damit fällt deine Möglichkeit aus. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 29. April 2010 Melden Teilen Geschrieben 29. April 2010 Hallo, und vom Server aus dann ? Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 29. April 2010 Autor Melden Teilen Geschrieben 29. April 2010 Hallo, und vom Server aus dann ? wenn ich z.B. Wake nehme funktioniert das aufwachen aber dazu muss ich mich ja auf dem Server anmelden. Benutzer haben auf dem Server ja nicht zu suchen! Habe auch schon nach einer Möglichkeit gesucht das ein Batch auf dem Server startet ohne das man sich lokal Anmelden muss aber sowas gibt es scheinbar nicht. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 29. April 2010 Melden Teilen Geschrieben 29. April 2010 wenn ich z.B. Wake nehme funktioniert das aufwachen aber dazu muss ich mich ja auf dem Server anmelden.Benutzer haben auf dem Server ja nicht zu suchen! Ich glaube es wäre sehr hilfreich wenn du dein Szenario / Anforderung mal komplett beschreibst und nicht nach und nach mit den Einzelheiten kommst. Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 29. April 2010 Autor Melden Teilen Geschrieben 29. April 2010 (bearbeitet) Ich glaube es wäre sehr hilfreich wenn du dein Szenario / Anforderung mal komplettbeschreibst und nicht nach und nach mit den Einzelheiten kommst. OK, das bekomme ich hin :-) Szenario 1. Router (LANCOM 1711 * IP 192.168.99.254) 2. Server 2008 SP2 x64 LAN1 IP 192.168.220.2 (internes Netz) / LAN2 IP 192.168.99.250 -> geht zum Router / Rollen: DC, DNS, DHCP, RRAS + VPN + NPS 3. ca. 80 Clients wovon 24 auch Remote-Arbeitsplätze sind. Alle Clients befinden sich im gleichen Subnetz wie der Server (192.168.220.x) 4. bei einen VPN-Aufbau (IPSEC - L2TP o. PPTP) Routet der Router die Daten auf den 2008er Server mit der IP 192.168.99.250, VPN, Authentifizierung, Rechte, Regeln usw. kommen alle vom Server. VPN-Clients bekommen eine IP vom DHCP aus den Subnetz vom Server (z.B. 192.168.220.101). Anforderung Nachdem ein Benutzer eine VPN-Verbindung erfolgreich aufgebaut hat, soll sein Client im Firmennetzwerk aus dem Energiesparmodus aufwachen, so das er ohne Probleme eine RDP-Verbindung zu seinem Client aufbauen kann. bearbeitet 29. April 2010 von EvoIT Zitieren Link zu diesem Kommentar
unst 10 Geschrieben 29. April 2010 Melden Teilen Geschrieben 29. April 2010 bei mc wol (Kommandozeilen Tool) kann man ein Zielnetz eingeben, also mcwol xx:xx:xx:xx:xx:xx 192.168.220.0/24 und er schickt das Magic Packet dann in das richtige netz. /Edit: http://www.matcode.com/wol.htm Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 4. Mai 2010 Autor Melden Teilen Geschrieben 4. Mai 2010 bei mc wol (Kommandozeilen Tool) kann man ein Zielnetz eingeben, alsomcwol xx:xx:xx:xx:xx:xx 192.168.220.0/24 und er schickt das Magic Packet dann in das richtige netz. /Edit: Wake-on-LAN [ MATCODE.com ] Leider funktioniert das auch nicht! :( Wenn ich MC-Wol auf einem Server im Firmennetz benutze wacht er auf, über vpn leider nicht. Im Firewall LOG beim Router ist nichts zufinden, trotzdem kommt das Paket nicht an..... kann es sein das es im RRAS verworfen wird? Zitieren Link zu diesem Kommentar
Defcon5 10 Geschrieben 4. Mai 2010 Melden Teilen Geschrieben 4. Mai 2010 Hatte das Problem seinerzeit bei einem Kunden mit einer internen Website und einem Perlskript gelöst, dass per Button das Magic Packet gesendet hat. Hat eigentlich immer gut funktioniert, abhängig von Eurem Sicherheitbedürfnis ist das aber auch nicht ohne Weiteres umsetzbar. Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 4. Mai 2010 Autor Melden Teilen Geschrieben 4. Mai 2010 Hatte das Problem seinerzeit bei einem Kunden mit einer internen Website und einem Perlskript gelöst, dass per Button das Magic Packet gesendet hat. Hat eigentlich immer gut funktioniert, abhängig von Eurem Sicherheitbedürfnis ist das aber auch nicht ohne Weiteres umsetzbar. Wir sind zwar nicht Fort Knox aber die Sicherheit ist schon sehr hoch. :D Es muss doch eine Möglichkeit geben ein Magic Packet durch einen VPN-Tunnel + RRAS in das richtige Netz zu senden. Zitieren Link zu diesem Kommentar
Gulp 252 Geschrieben 4. Mai 2010 Melden Teilen Geschrieben 4. Mai 2010 Nein, da ein VPN nur eine Verbindung auf IP-Ebene ist, ein Magic Packet für das WOL ist aber mehr ein Ethernet Broadcast, der zudem unabhängig vom Protokoll (also IP oder auch in IPX funktioniert und gesendet werden kann) ist. Das Magic Packet enthält zum einen 6 Mal den Hexadezimalen Code FF und 16 Mal die MAC Adresse der Netzwerkkarte. Ein VPN verändert aber Ethernetpakete, wie zB das Magic Packet, da sich der VPN-Router den IP-Teil jedes Pakets anschaut und ihn neu einpackt (je nach VPN-Technik unterschiedlich). Dabei verwirft er alle Pakete, die nicht ausdrücklich an IP-Adressen im entfernten Netz gehen. Deshalb bleiben die Ethernet-Broadcasts auf der Strecke. Somit gibt es derzeit keine bekannte oder gar verfügbare Technik, die das versenden von Magic Packets über ein VPN möglich macht, hier bleibt nur der Versand über das echte LAN Segment des zu weckenden Rechners als Alternative. Grüsse Gulp Zitieren Link zu diesem Kommentar
unst 10 Geschrieben 5. Mai 2010 Melden Teilen Geschrieben 5. Mai 2010 wieder was gelernt. Dann muss doch das Perl-Script her ;) Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 5. Mai 2010 Melden Teilen Geschrieben 5. Mai 2010 Somit gibt es derzeit keine bekannte oder gar verfügbare Technik, die das versenden von Magic Packets über ein VPN möglich macht, hier bleibt nur der Versand über das echte LAN Segment des zu weckenden Rechners als Alternative.Diese Aussage stimmt so einfach nicht. Mit einem WOL-Tool, welches directed broadcasts erzeugt, geht es sehrwohl. Das Problem ist nur, dass heutzutage die meisten Router diese Pakete aus Sicherheitsgründen (zumindest per default) nicht mehr weiterleiten.Siehe http://www.mcseboard.de/windows-forum-security-47/wake-on-lan-firewall-118655.html Gruß s.k. Zitieren Link zu diesem Kommentar
EvoIT 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 (bearbeitet) Diese Aussage stimmt so einfach nicht. Mit einem WOL-Tool, welches directed broadcasts erzeugt, geht es sehrwohl. Das Problem ist nur, dass heutzutage die meisten Router diese Pakete aus Sicherheitsgründen (zumindest per default) nicht mehr weiterleiten.Siehe http://www.mcseboard.de/windows-forum-security-47/wake-on-lan-firewall-118655.html Gruß s.k. Also beim Lancom-Router wird die Deny_ALL Firewall Strategie gefahren..... bedeutet alles wird erstmal geblockt, das was erlaubt werden soll bekommt eine Regel was hier natürlich der Fall ist. UDP 9 wird als Ziel erlaubt und nicht geblockt nur geht das Magic Packet trotzdem verloren. Was mich vermuten lässt das es im RRAS gefiltert wird. Werde am Montag mal ein System an den Router anschliessen und dieses in das gleiche Subnetz bringen wie der Router. Dann das Makic Packet versenden, sollte das funktionieren liegt es 100%ig nicht am Router oder am RRAS und ich habe das nachsehen... weil dann nur noch die Magic-Tools als Fehlerquelle überbleiben. bearbeitet 6. Mai 2010 von EvoIT Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.