sammy65
Goto Top

Kein VPN über LAN Verbindung

Hallo miteinander,

ich habe kürzlich schon einmal über dieses Problem geschrieben und scheinbar eine Lösung gehabt...
Keine Serverinhalte VPN über LAN Verbindung

Der Thread war scheinbar gelöst, bin aber nochmals auf einige Probleme gestoßen....

Hier Nochmal die Problematik:
ich habe ein Problem mit VPN.

Wir setzen ein eine Cisco Meraki firewall und Microsoft VPN (rasphone.pbk)

Wenn der externe User sich mit seinem Laoptop via WLAN mit seinem Router verbindet und anschließend den VPN startet, ist alles ok.
Er kann auf meine freigegebenen Serverfreigaben problemlos zugreifen.

Verbindet er sich mit dem Kabel an seinen Router, kann er zwar auch den VPN starten, aber Zugriffe sind nicht mehr möglich.


Was mache ich falsch?

Die interne IP Adresse meines Servers ist 192.168.20.80

Was mir Schleierhaft ist, die IP des Servers SAB015 ist 192.168.20.80

Wenn ich über LAN mit dem Router konnektiert bin und ich frage über nslookup die IP von sab015 ab dann erhalte ich 5.35.226.178.
Pinge ich hier aber die 192.168.20.80 an, bekomme ich keine Fehlwer


Mache ich das Ganze über WLN, dann erhalte ich die korrekte Adresse 192.168.20.80

Dazu ist noch zu sagen, das unsere lokale Domäne gleich heisst wie die TopLevel Domain xxxx.de

Hier einige infos:

Verbindung mit LAN auf die FritzBox (wo es nicht funktioniert)

C:\Users\thschmid_dom>nslookup sab015
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    sab015.xxx.de
Address:  5.35.226.178



ping sab015
C:\Users\thschmid_dom>ping sab015

Ping wird ausgeführt für SAB015.tox.de [5.35.226.178] mit 32 Bytes Daten:
Antwort von 5.35.226.178: Bytes=32 Zeit=74ms TTL=56
Antwort von 5.35.226.178: Bytes=32 Zeit=84ms TTL=56


Ping wird ausgeführt für 192.168.20.80 mit 32 Bytes Daten:
Antwort von 192.168.20.80: Bytes=32 Zeit=96ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=162ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=111ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=254ms TTL=127

Ping-Statistik für 192.168.20.80:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),

 
Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) 82579V Gigabit Network Connection
   Physische Adresse . . . . . . . . : A4-5D-36-9B-CE-5E
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::303f:67a4:b8e3:9fba%24(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.21(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 11. April 2019 09:07:23
   Lease läuft ab. . . . . . . . . . : Sonntag, 21. April 2019 09:07:23
   Standardgateway . . . . . . . . . : 192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 111435062
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-23-4F-71-BB-A4-5D-36-9B-CE-5E
   DNS-Server  . . . . . . . . . . . : 192.168.178.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert


IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.21     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
    192.168.178.0    255.255.255.0   Auf Verbindung    192.168.178.21    281
   192.168.178.21  255.255.255.255   Auf Verbindung    192.168.178.21    281
  192.168.178.255  255.255.255.255   Auf Verbindung    192.168.178.21    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.178.21    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.178.21    281
===========================================================================
Ständige Routen:
  Keine


Verbindung via WLAN mit der selben FritzBox

WLAN mit Fritzbox

C:\Users\thschmid_dom>nslookup sab015
Server:  SAB002.xxx.de
Address:  192.168.20.2

Name:    sab015.xxx.de
Address:  192.168.20.80


C:\Users\thschmid_dom>ping sab015

Ping wird ausgeführt für sab015.tox.de [192.168.20.80] mit 32 Bytes Daten:
Antwort von 192.168.20.80: Bytes=32 Zeit=60ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=71ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=59ms TTL=127
Antwort von 192.168.20.80: Bytes=32 Zeit=61ms TTL=127

Ping-Statistik für 192.168.20.80:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 59ms, Maximum = 71ms, Mittelwert = 62ms

Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Broadcom BCM943228HM4L 802.11a/b/g/n 2x2 WiFi Adapter
   Physische Adresse . . . . . . . . : 34-23-87-49-E6-46
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::11a7:a785:ea26:97ee%25(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.24(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 11. April 2019 09:01:15
   Lease läuft ab. . . . . . . . . . : Sonntag, 21. April 2019 09:01:15
   Standardgateway . . . . . . . . . : 192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 154411911
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-23-4F-71-BB-A4-5D-36-9B-CE-5E
   DNS-Server  . . . . . . . . . . . : 192.168.178.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Was mir total schreierhaft ist, die IPv4 Einstellungen im WLAN Adapter und im Ethernet Adapter sind absolut identisch. DHCP und DNS automatisch beziehen.
Mit WLAN klappt es mit LAN nicht.

Unter Windows 7 hatte ich mit der exakt selben Konfiguration keine Probleme


Mir wurde dann geraten, in der LAN Verbindung den internen DNS Server 192.168.20.2 zu hinterlegen. Als sekundären DNS habe ich die Fritz Box (192.168.178.1) hinterlegt.
Das klappt jetztg auch soweit.

Auch wurde mir geraten, den lokalen DNS der VPN Verbindung mitzugeben, wie mache ich das? Wr nehmen als VPN Client die rasphone.pbk, arbeiten also mit windows 10 Bordmitteln.

Jetzt zum weiteren Problem:
Da es sich um Laptops im Aussendienst handelt, sind diese immer wieder in anderen Netzwerken angemeldet. Wie erreiche ich es, dass der sekundäre DNSD automatisch gezogen wird, oder gibt es eine andere lösung.....

lg
Thomas

Content-Key: 441130

Url: https://administrator.de/contentid/441130

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 16.04.2019 aktualisiert um 11:43:52 Uhr
Goto Top
Wir setzen ein eine Cisco Meraki firewall und Microsoft VPN
Sorry, leider eine laienhafte und oberflächliche Aussage die wenig hilft für eine zielführende Antwort. face-sad
WAS für ein VPN Protokoll nutzt du ?? Es gibt ja einen Menge als da sind PPTP, IPsec, SSL, L2TP usw. usw. Das Protokoll ist aber auch für die Funktion und das Design essentiell wichtig. Solange du das nicht benennen kannst stochen auch wir hier nur im Trüben und müssen im freien Fall raten, was dir (und uns) ja wenig hilft !
Mehr Infos hier also...
Verbindet er sich mit dem Kabel an seinen Router,
Gleiches Problem hier wieder. WAS ist "sein Router" ??? Modell, Konfiguration, IP Adressierung ?? Wie siehts damit aus. Das kann verschiedene Ursachen haben:
  • Falsches VPN_Adressdesign
  • Firewall Fehlkonfig des Routers
  • Der Router kann GRE oder ESP Session Caching. (Hier müsste man die HW kennen!)
  • Lokale Firewall des Rechners auf dem Adapter falsch konfiguriert
Usw. usw. Wir können hier nur raten ohne diese Infos zu kennen.
Wenn ich über LAN mit dem Router konnektiert bin und ich frage über nslookup die IP von sab015 ab dann erhalte ich 5.35.226.178.
Da stimmt dann was mit deinem DNS (Nameserver) Einträgen nicht !! Mal wieder etwas raten...
  • Intern im LAN hat der Server die 192.168.20.80 /24
  • Vermutlich existiert ein externenr DNS Hostname auf den VPN Server der im Internet DNS auf eine öffentliche IP 5.35.226.178 an der Firewall gemappt ist die dann eine Port Weiterleitung auf die 192.168.20.80 hat.
Ist dem so ??
Das wäre simpler Standard, zeigt aber das du eine fehlerhafte DNS Nameserver Konfig hast !!!
Der DNS Server darf doch niemals die öffentliche Port Forwarding IP ausgeben wenn du im internen LAN arbeitest.
Damit läufst du dann sofort in ein Hairpin_NAT_Problem an der Firewall hinein !! Das hat dann weitere erhebliche Probleme in der internen Netzwerk Verbindung zur Folge mit den Symptomen die du auch aktuell siehst !
Aber das ist jetzt auch erstmal nur vorsichtig geraten weil du hier wenig bis keine Details zum Netzwerk Design, Protokoll und vor allem zur DNS Konfiguration lieferst. face-sad
Mache ich das Ganze über WLN, dann erhalte ich die korrekte Adresse 192.168.20.80
Zeigt das der DNS Server auf dem WLAN und LAN NIC wohl unterschiedlich ist, was dann ein fataler Fehler ist. Wenn der VPN Tunnel aktiv ist nutzt der User vermutlich fälschlicherweise immer noch seinen Internet DNS statt den internen DNS und kann natürlich dann so interne Namen nicht auflösen. Aber auch hier...nur wild geraten. Der ipconfig Outup lässt das aber erahnen. Dummerweise fehlt hier genau das Wichtigste nämlich das VPN Tunnelinterface.
Was mir total schreierhaft ist, die IPv4 Einstellungen im WLAN Adapter und im Ethernet Adapter sind absolut identisch.
Kann das sein das dieser Nutzer beide Interfaces aktiv hat ?? Das geht dann so nicht, da Windows damit nicht umgehen kann. Beide Adapter haben dann das gleiche IP Netz was nicht supportet ist. Er muss immer dafür sorgen das es nur ein einziges Netz aktiv ist. Also LAN Strippe ziehen oder wenn er mit LAN arbeitet das WLAN über die Taste am Laptop deaktivieren !
Mir wurde dann geraten, in der LAN Verbindung den internen DNS Server 192.168.20.2 zu hinterlegen.
Wie oben schon vermutet und gesagt weist das auf eine fehlerhafte DNS Konfig hin. Normal müsste dem Client über das VPN bzw. den Tunnelaufbau dynmaisch der interne DNS Server mitgeteilt werden. Genau das passiert bei dir nicht.
Da wir nicht wissen welches VPN Protokoll du verwendest können wir auch nur raten...
Wie erreiche ich es, dass der sekundäre DNSD automatisch gezogen wird
Über einen richtig konfigurierten VPN Server der das beim Tunnelaufbau dynamisch mitgibt !
P.S.:
Du solltest den nslookup Output etwas anonymisieren sonst weiss jeder das sein Dübel Hersteller das VPN nicht gebacken bekommt face-wink