Zentrale mit mehreren Subnetzen / RDP Problem

Chris1312 · Beitrag von **Chris1312** » 05 Mär 2013, 10:42

Guten Morgen meine Lancom Freunde

,
vorab muss ich meckern... Ich bin kurz davor, dieses Gerät gleich im Flur in Einzelteile zu zerlegen

!

Übersicht:
Provider: Telekom 10Mbit Sync
Netzwerk: öffentliches /29

Zentrale: 192.168.10.0 /24
Gateway: 192.168.10.40

Externer Standort: 192.168.0.0 /24
Gateway: 192.168.0.1

VPN Site to Site:
Beide Standorte sind mit VPN Site to Site Verbunden und dieses funktioniert mit RDP Verbindungen zwischen beiden Netzen.

So nun kommt die Fehlerbeschreibung:
In der Zentrale entsteht ein neues Serversystem welches ich auf ein anderes Netz Routen möchte was aktuell schon funktioniert (aus dem 192.168.10.0 /24er Netz).

Neues Netzwerk wo alle Server stehen ist: 172.16.50.0 /24
Ein Traceroute vom neuen Serversystem zum externen Standort funktioniert problemlos. Alle Routen habe ich schon auf beiden Lancom Routern mit den richtigen Gateways eingetragen. Klappt also.

Für die Netzwerker von euch hier noch einmal der genaue Ablauf:
1. Externer Standort
2. RDP Verbindung auf 172.16.50.230
3. Es kommt sofort die Meldung: Der Client konnte keine Verbindung mit
dem Remotecomputer herstelen
4. Ein test in das aktuelle Serversystem: 192.168.10.92 funktioniert
problemlos (Route nicht über Endian Firewall).

Hardwaretechnisch werden folgende Router verwendet:
1. Extern (Business Lan R800+ (B)
2. Zentrale (Lancom 1711 VPN)
3. Gateway in das neue Netzwerk (Endian Firewall)

Wie gesagt:
Traceroute von beiden Richtungen kommt da an wo es hin soll.
RDP in das direkte Lancom Netz klappt auch.
RDP in das NOC Netzwerk über Gateway Lancom -> Endian geht nicht
Thema Endian bin ich fitt und zum testen route und erlaube ich alles was rein und raus geht.

Muss man die neue Route noch auf dem externen Router in der Firewall irgendwo einstellen?

Das Tutorial sprich die Anleitung von Lancom Selbst Zwei Netze über VPN Routen habe ich durchgeführt und daraufhin wurde erst der Trace möglich.
RDP ist aber mein großes Problem Freunde.

Ich hoffe man kann verstehen was ich hier meine und eventuell hat jemand einen guten Tipp für mich.

Vielen Dank!

backslash · Beitrag von **backslash** » 05 Mär 2013, 12:35

Hi Chris1312

wenn Traceroute (d.h. ping) funktioniert, dann stimmen die Routen und das Problem ist woanders zu suchen, z.B. in der Firewall des Win2008-Servers (was mein erster Ansatzpunkt wäre).

Aber du kannst auch gerne auf allen beteiligten Routern einen IP-Router-Trace (möglichst eingeschränkt auf die IP des Servers, also trace # ip-router @ 172.16.50.230) starten und schauen, wo die RDP-Pakete versickern - ich vermute daß sie vom Server selbst abgelehnt werden (s.o.)

Gruß
Backslash

Chris1312 · Beitrag von **Chris1312** » 05 Mär 2013, 13:11

Hi Backslash,

vielen Dank für den doch ich nenn Ihn mal "Anfänger Tipp!" Verdammt.
Wenn man alleine ist, wird man doch echt schnell betriebsblind.

Das war der einfache Teil ^^
Routing klappt also doch wunderbar... Siehe Tracelog.

C:\Dokumente und Einstellungen\Administrator>tracert 172.16.50.230

Routenverfolgung zu NOC-DC01-VM [172.16.50.230] über maximal 30 Abschnitte:

1 <1 ms <1 ms <1 ms 192.168.0.1
2 25 ms 23 ms 24 ms 192.168.10.40
3 24 ms 24 ms 23 ms 192.168.10.12
4 24 ms 24 ms 24 ms NOC-DC01-VM [172.16.50.230]

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\Administrator>

Aber wieso um alles in der Welt bekomme ich die RDP Verbindung da nicht durchgeboxt und hier habe ich die echt beschissene Vermutung, das der kleine Onkel Lancom mir hier Steine in den Weg legen will.

Eventuell hat nun jemand von euch einen Trick.

Vielen Dank für die erste und vor allem schnelle Hilfe!

Gruß Chris

mhe · Beitrag von **mhe** » 05 Mär 2013, 14:25

von wo her geht den RDP auf den 172er Server?

Chris1312 · Beitrag von **Chris1312** » 05 Mär 2013, 14:26

Das hier funktioniert NICHT
Firma3 / Lancom3
From Client IP: 192.168.0.100 /24
To Network: 172.16.50.0 /24
To Server: 172.16.50.230

Das hier Funktioniert
Firma3 / Lancom3
From Client IP: 192.168.0.100 /24
To Network: 192.168.10.0
To Server: 192.168.10.92

Wer weiss die Lösung

Gruß Chris

mhe · Beitrag von **mhe** » 05 Mär 2013, 14:40

funktioniert denn 172.16.50.230 nach:
- Endian?
- Lancom 1?
- Lancom 3?

Chris1312 · Beitrag von **Chris1312** » 05 Mär 2013, 22:51

Sooouuu Update

2 Stunden mit der Telekom telefoniert und auch die konnten das Problem nicht richtig lösen.

Meine Routen passen nun:

192.168.0.100
--> 172.16.50.230 (net user geht auch / Ping geht auch)

--------------------------------
172.168.50.230
--> 192.168.0.100 (net use geht auch hier / Ping geht auch)

RDP funktioniert noch nicht von 192.168.0.100 -> 172.16.50.230

P4killer · Beitrag von **P4killer** » 05 Mär 2013, 23:59

hi,

wie sieht es denn vom 172.16.50.230 er her aus? kannst du von dort alle gegenstellen anpingen ?
Meine Vermutung geht dahin das die endian das klassische 192.168.0.0/24 netz schon von irgendwoher "kennt" also z.b. eine VPN zu kunde x oder ein verwaister Routing eintrag in den routen, evtl auch ein 3, lan interface (blau)

Teste mal den weg rückwärts, du wirst sicher auf Problem stossen.

mfg Peter

Chris1312 · Beitrag von **Chris1312** » 06 Mär 2013, 08:49

Hi Peter,

vielen Dank für deine Antwort um diese späte Uhrzeit.
Rückwärts funktioniert "alles"

Von: 172.16.50.230 -> 192.168.0.100 (RDP, ICMP, Netbios *Alles*)
Nur von 192.168.0.100 -> 172.16.50.230 (Ping, Net Use) Aber kein RDP....

Das kann doch nur noch eine Lancom Firewall Einstellung irgendwo sein...

Entweder auf Gateway: 192.168.0.40
Oder auf Gateway 192.168.10.40

Endian genehmigt sonst alles und die ausgehenden Ports sind frei.

An der Endian werden derzeit nur 2 Schnittstellen verwendet:
Rot: WAN / Internet
Grün: LAN

Chris1312 · Beitrag von **Chris1312** » 06 Mär 2013, 11:45

[IP-Router] 2013/03/06 11:19:55,805 Devicetime: 2013/03/06 11:19:54,890
IP-Router Rx (ZENTRALE, RtgTag: 0):
DstIP: 192.168.0.100, SrcIP: 172.16.50.230, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 3800, SrcPort: 3389, Flags: RA
Seq: 3915015424, Ack: 745450733, Win: 0, Len: 0
Route: LAN-1 Tx (INTRANET):

[Ethernet] 2013/03/06 11:19:55,810 Devicetime: 2013/03/06 11:19:54,890
Sent 54 byte Ethernet packet via LAN-1:
HW Switch Port : ETH-1
-->IEEE 802.3 Header
Dest : 00:15:17:13:34:a6 (Intel-Malaysia 13:34:a6)
Source : 00:a0:57:15:e0:c7 (LANCOM 15:e0:c7)
Type : IPv4
-->IPv4 Header
Version : 4
Header Length : 20
Type of service : (0x00) Precedence 0
Total length : 40
ID : 14494
Fragment : Offset 0 DontFrag
TTL : 125
Protocol : TCP
Checksum : 9519 (OK)
Src Address : 172.16.50.230
Dest Address : 192.168.0.100
-->TCP Header
Src Port : 3389
Dest Port : 3800
Sequence Number : 3915015424
Ack Number : 745450733
Header Length : 20
Flags : RST ACK
Window Size : 0
Checksum : 52225 (OK)
Urgent Pointer : 0

[TraceStopped] 2013/03/06 11:20:08,868
Used config:
# Trace config
trace + Ethernet @ -Telnet/SSL +172.16.50.230
trace + IP-Router @ +172.16.50.230 +"Port: 3389"[/b]

Chris1312 · Beitrag von **Chris1312** » 06 Mär 2013, 12:47

So meine Lancom Freunde

,
was man beginnt muss man auch zu Ende bringen!
Nun kann ich berichten "Alles funktioniert!"

Folgende Probleme haben mich noch eine ganze Zeit beschäftigt:
Windows XP RDP Verbindungen -> Windows Server 2008 R2

Authentifizierung auf Netzwerkebene!
Die RDP Verbindung vom Außenstandort (Windows Server 2003) war wohl
ein bisschen zu alt

....

Folglich dieser Fehler: --> Flags : RST ACK

RDP geht nun in alle Richtungen und ich habe nichts weiter konfiguriert als
mein weiteres "Internes" Netz auf dem Router wie in der Lancom Anleitung beschrieben.

Heute hab ich um wirklich sicher zu gehen noch mit der Neuen Lancom Hotline telefoniert! Wirklich klasse Suport und für den Endkunden *Kostenlos*.... Anrufen und warten heisst es hier denn die haben echt viel zu tun aber der Support kann sich sehen lassen!
Direkt Telnet auf und ich kann nur sagen "Die haben Ahnung dort!"

Vielen Dank für alle die sich das hier angeschaut haben und naja ich glaube ich werde mir nun demnächst ein paar Lancom Zertifizierungen durchlaufen

Denkt dran: BERGFEST!

Gruß Chris

stefanbunzel · Beitrag von **stefanbunzel** » 06 Mär 2013, 13:10

Hallo Chris,

schön, wenn jetzt alles läuft!

Nur noch ein Tipp am Rande: Man sollte sich hier im Forum schon überlegen, bei wem man sich für "Anfänger-Tipps" bedankt

Jedenfalls nicht bei denen, die die praktischen "Brotbüchsen" entwickeln und dir anfangs schon den entscheidenden Hinweis gegeben hatten...

Viele Grüße vom Mitlesenden
Stefan

Chris1312 · Beitrag von **Chris1312** » 06 Mär 2013, 13:20

Hi Stefan,

vielen Dank für auch deinen Beitrag.
Ich halte die Aussage immer allgemein. Aber auch hier muss ich sagen, dass backslash schon auf dem richtigen Weg war. Ich habe aber leider zu wenig Erfahrungen mit LANCOM Routern und aus diesem Grund war ich mir diesem Tacecommand völlig überfordert und habe das zwar wahrgenommen aber ich dachte der Fehler liegt def. wo anders.

Fehler:
RDP abgelehnt aufgrund von zu altem Server mit RDP Dienst.

Ergebnis:
Test von einem Windows7 PC an diesem Standort war erfolgreich.

Info:
Warum nicht gleich so?
Man probiert natürlich den Anwender am wenigsten zu stören....
Aus diesem Grund gab es nur den Server2003 als Option.

Dann noch einmal danke an Backslash!
Der Plan war der richtige....

Gruß Chris