Hallo,
ich habe grade folgendes seltsames Problem:
Ich habe beim Zugriff auf einen Lancom 1711 mit FW6.26 eingestellt, dass vom lokalen Netz Telnet und HTTP erlaubt ist, von entfernten Netzen jeweils die Einstellung "nur per VPN".
Wenn ich mich nun per VPN einlogge klappt der Zugriff aber nicht, weder per Telnet noch per HTTP.
Ich dachte dann natürlich an ein Problem mit meinen Firewall-Regeln (DENY-All auf Default-Route und freigabe der notwendigen Ports für unsere Server/Clients wie z.B. TCP21 und TCP80).
Aber auch eine deaktivierung der DENY-All, eine freigabe für TCP23 (Telnet) oder auch das komplette Abschalten der Firewall führte zu keinem Erfolg.
Lokaler Zugriff klappt wunderbar, und auch wenn ich über entfernte Netze den Zugriff auf "Erlaubt" setze, klappt es.
Woran kann das liegen ?
VPN-Verbindung wird aufgebaut von Adv-Client 1.3, eingerichtet über den Assistenten...
Grüße
Dirk
Telnet auf 1711 nur lokal ? per VPN nicht möglich...
Moderator: Lancom-Systems Moderatoren
Es wird an den Portfreigaben auf deinem DSL-Modem liegen
Hallo ,
Es wird an den Portfreigaben auf deinem DSL-Modem liegen .
du mußt die Port für ESP , GRE, UPD und das TCP Port 1723 für PPTP
an deinem DSL-Modem freigeben .
Denke daran das das Ziel der Portfreigabe der Lancom sein muß.
Es wird an den Portfreigaben auf deinem DSL-Modem liegen .
du mußt die Port für ESP , GRE, UPD und das TCP Port 1723 für PPTP
an deinem DSL-Modem freigeben .
Denke daran das das Ziel der Portfreigabe der Lancom sein muß.
Hm, ok, würde ich verstehen, wenn ich ein Modem dran hätte... Der 1711 hängt direkt an einem Switch bei einem Serverhousing-Provider.. und ich denke dass der eigentlich alles durchlässt, oder ? (ziemlich großer Provider)...
Vor allem, der VPN-Zugriff an sich vom Büro zum 1711 im Serverhousing klappt ja problemlos, auch alle anderen Zugriffe (HTTP, FTP etc.) klappen (per VPN und auch übers Internet).
Oder hab ich jetzt was doch nicht verstanden ?
Grüße
Dirk
Vor allem, der VPN-Zugriff an sich vom Büro zum 1711 im Serverhousing klappt ja problemlos, auch alle anderen Zugriffe (HTTP, FTP etc.) klappen (per VPN und auch übers Internet).
Oder hab ich jetzt was doch nicht verstanden ?
Grüße
Dirk
Provider fragen
Hallo,
teste doch einmal, alles über den VPN-Tunnel vom entfernten zu erlauben.
Wenn es dann noch nicht geht würde ich den Provider ansprechen , so wie
ich dein Problem lese kann es eigentlich nur am Provider liegen .
Oft wird nur ein Teil über VPN erlaubt , warum auch immer !
Gruß Heinz
teste doch einmal, alles über den VPN-Tunnel vom entfernten zu erlauben.
Wenn es dann noch nicht geht würde ich den Provider ansprechen , so wie
ich dein Problem lese kann es eigentlich nur am Provider liegen .
Oft wird nur ein Teil über VPN erlaubt , warum auch immer !
Gruß Heinz
Hallo,
ich hab jetzt alle Admin-Zugänge probiert, sobald ich auf "nur per VPN" Stelle klappt keiner davon.
Im lokalen Netz geht es tadellos.
Kann es wirklich am Provider liegen ? Die VPN-Verbindung klappt ja, und auch wenn ich dem Router sage, dass er übers "entfernte Netz" admin-Zugriff erlaubt (also nicht nur per VPN, sondern allgemein erlaubt), dann klappt das auch (TFTP, HTTP, Telnet).
Wenn ich per VPN drin bin müsste es dpch mit dem Provider nichts mehr zu tun haben, oder ?
Ich habe mal noch eine Mail an den Provider geschickt (bisher noch keine Antwort), aber vielleicht gibts hier ja noch Ideen, vielleicht auch wie ich testen kann ob es am Provider liegt !?!?
Grüße
Dirk
ich hab jetzt alle Admin-Zugänge probiert, sobald ich auf "nur per VPN" Stelle klappt keiner davon.
Im lokalen Netz geht es tadellos.
Kann es wirklich am Provider liegen ? Die VPN-Verbindung klappt ja, und auch wenn ich dem Router sage, dass er übers "entfernte Netz" admin-Zugriff erlaubt (also nicht nur per VPN, sondern allgemein erlaubt), dann klappt das auch (TFTP, HTTP, Telnet).
Wenn ich per VPN drin bin müsste es dpch mit dem Provider nichts mehr zu tun haben, oder ?
Ich habe mal noch eine Mail an den Provider geschickt (bisher noch keine Antwort), aber vielleicht gibts hier ja noch Ideen, vielleicht auch wie ich testen kann ob es am Provider liegt !?!?
Grüße
Dirk
-
LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
Also eine gute Idee kann ich leider nicht bieten, aber wenn du Probleme hast den Admin-Zugang durch deinen VPN-Tunnel zu erreichen kann das sicher NICHT am Provider liegen.
Alle Daten im Tunnel sind für den Provider genau so verschlüsselt wie für jeden Anderen. (Das ist ja irgendwie der Sinn eines VPN)
Der Provider kann nicht erkennen was in deinem VPN passiert, weder das Protokoll, noch den Port, noch die Endstellen oder sonst etwas, daher kann er auch nichts "blocken".
Ich würde mal auf Firewall-Regeln tippen, falls du welche erstellt hast?
Alle Daten im Tunnel sind für den Provider genau so verschlüsselt wie für jeden Anderen. (Das ist ja irgendwie der Sinn eines VPN)
Der Provider kann nicht erkennen was in deinem VPN passiert, weder das Protokoll, noch den Port, noch die Endstellen oder sonst etwas, daher kann er auch nichts "blocken".
Ich würde mal auf Firewall-Regeln tippen, falls du welche erstellt hast?
VPN ist nicht VPN
Leider muß ich widersprechen , VPN Tunnel ist nicht gleich VPN Tunnel
Bestes Beispiel ist eine VPN Tunnel über UMTS/GPRS bei der T-Mobil der Tunnel wird aufgebaut aber man keine Verbindung herstellen obwohl der
Tunnel laut Client steht !!!!!! , erst durch Änderungen geht es !!!!!
Am besten den Provider fragen , bestimmt sind Einschrängungen vorhanden.
Gruß Heinz
Bestes Beispiel ist eine VPN Tunnel über UMTS/GPRS bei der T-Mobil der Tunnel wird aufgebaut aber man keine Verbindung herstellen obwohl der
Tunnel laut Client steht !!!!!! , erst durch Änderungen geht es !!!!!
Am besten den Provider fragen , bestimmt sind Einschrängungen vorhanden.
Gruß Heinz
-
LittleAdmin
- Beiträge: 52
- Registriert: 27 Nov 2006, 09:14
- Wohnort: Remscheid
- Kontaktdaten:
@ H.Klein
Es geht ja hier nicht darum, dass keine Verbindung möglich ist, sondern nur keine Konfigurationsverbindung wenn ich das richtig verstanden habe.
@ianeo
Wenn es bei der Einstellung "nur VPN" nicht geht, bei "erlaubt" aber funktioniert, kann es ja nur daran liegen, dass der Router aus irgendwelchen Gründen die Verbindung nicht als VPN erkennt.
Habe das gerade mal mit Adv-Client 1.3 getestet, meiner tut es.
Da ich nicht wüsste, was man da noch groß umkonfigurieren kann:
Hast du eine Möglichkeit den Tunnel neu einzurichten, oder evtl. den Router komplett neu aufzusetzen?
Es geht ja hier nicht darum, dass keine Verbindung möglich ist, sondern nur keine Konfigurationsverbindung wenn ich das richtig verstanden habe.
@ianeo
Wenn es bei der Einstellung "nur VPN" nicht geht, bei "erlaubt" aber funktioniert, kann es ja nur daran liegen, dass der Router aus irgendwelchen Gründen die Verbindung nicht als VPN erkennt.
Habe das gerade mal mit Adv-Client 1.3 getestet, meiner tut es.
Da ich nicht wüsste, was man da noch groß umkonfigurieren kann:
Hast du eine Möglichkeit den Tunnel neu einzurichten, oder evtl. den Router komplett neu aufzusetzen?
Hallo,
jetzt wird es kurios, mein Provider hat mir nochmal gemailt und mir mitgeteilt, dass der Router auch über die Unicast-Adresse erreichbar ist.
Zur Info:
wir haben das folgende Netz: x.x.x.224-231
Subnetz 255.255.255.248
Providergateway ist die x.x.x.225
Verfügbar für uns sind demnach ja die Adressen 226-230 (231 ist ja die Broadcast-Adresse...).
Den Lancom habe ich so eingerichtet, dass per PlainEthernet ins Internet kommt und er die x.x.x.230 IP dort hat, mit Router .225 und Subnet 255.255.255.248... soweit müsste das richtig sein.
Die IP-Adresse ist die .230, in der DMZ habe ich mal ebenfalls die 230 eingetragen.
Das VPN habe ich so eingerichtet dass der VPN-Client die .229 erhält, die beiden vorhandenen Server haben die 227 und 228.
Seltsamerweise habe ich nach dem Hinweis des Providers ausprobiert über die .224 auf den Router zu kommen (mit der Einstellung "nur per VPN") und siehe da, da klappt es...
Ich finde aber im Router nirgends diese .224 eingestellt, wie kann der dann mit der erreichbar sein ?
Das Problem ist mir jetzt also klar, der Router hat die 224, (welches die Unicast-Adresse ist), haben sollte er (auch laut allen Einstellungen die ich im Lanconfig finde) die .230 (die ich als von extern erreichbares Gateway auch den VPN-Tunnel vom Büro aus aufbaue !).
Wo finde ich das jetzt im Router ???
-> LittleAdmin: Wenn es sein muss kann ich auch ins Rechenzentrum fahren und ihn komplett neu aufsetzen, vom BÜro aus wäre aber natürlich bequemer...
Grüße
Dirk
jetzt wird es kurios, mein Provider hat mir nochmal gemailt und mir mitgeteilt, dass der Router auch über die Unicast-Adresse erreichbar ist.
Zur Info:
wir haben das folgende Netz: x.x.x.224-231
Subnetz 255.255.255.248
Providergateway ist die x.x.x.225
Verfügbar für uns sind demnach ja die Adressen 226-230 (231 ist ja die Broadcast-Adresse...).
Den Lancom habe ich so eingerichtet, dass per PlainEthernet ins Internet kommt und er die x.x.x.230 IP dort hat, mit Router .225 und Subnet 255.255.255.248... soweit müsste das richtig sein.
Die IP-Adresse ist die .230, in der DMZ habe ich mal ebenfalls die 230 eingetragen.
Das VPN habe ich so eingerichtet dass der VPN-Client die .229 erhält, die beiden vorhandenen Server haben die 227 und 228.
Seltsamerweise habe ich nach dem Hinweis des Providers ausprobiert über die .224 auf den Router zu kommen (mit der Einstellung "nur per VPN") und siehe da, da klappt es...
Ich finde aber im Router nirgends diese .224 eingestellt, wie kann der dann mit der erreichbar sein ?
Das Problem ist mir jetzt also klar, der Router hat die 224, (welches die Unicast-Adresse ist), haben sollte er (auch laut allen Einstellungen die ich im Lanconfig finde) die .230 (die ich als von extern erreichbares Gateway auch den VPN-Tunnel vom Büro aus aufbaue !).
Wo finde ich das jetzt im Router ???
-> LittleAdmin: Wenn es sein muss kann ich auch ins Rechenzentrum fahren und ihn komplett neu aufsetzen, vom BÜro aus wäre aber natürlich bequemer...
Grüße
Dirk
Hi ianeo,
Aber dein Proverder meint vermutlich eh, daß es daüber anpingaber ist, und das ist ja unabhängig davon, ob die Konfiguration möglich ist.
Ganz nebenbei: Sinnvollerweise gibst du dem Client auch eine Adresse aus dem Intranet, statt aus der DMZ...
Gruß
Backslash
Da hat dir dein Provider "Mist" erzählt. Die .224 ist mitnichten die "Unicast-Adresse" es ist die Netzwerkadresse und somit gleichbedeutend mit einem Broadcast. Das LANCOM antwortet auf die Netzwerkadresse, wie auf die Broadcastadresse.jetzt wird es kurios, mein Provider hat mir nochmal gemailt und mir mitgeteilt, dass der Router auch über die Unicast-Adresse erreichbar ist.
(...)
Ich finde aber im Router nirgends diese .224 eingestellt, wie kann der dann mit der erreichbar sein ?
Aber dein Proverder meint vermutlich eh, daß es daüber anpingaber ist, und das ist ja unabhängig davon, ob die Konfiguration möglich ist.
Du versuchst "über" den Client das LANCOM unter seiner öffentlichen Adresse anzusprechen - das muß ja scheitern, da du vermutlich im Client als erreichbares Netz dein Intranet angegeben hast (was eigentlich so sein sollte, denn du willst ja kaum die Server, die eh öffentlich erreichbar sind über den VPN-Tunnel ansprechen). Damit ist klar warum das mit dem "nur über VPN" nicht funktioniert - das geht schließlich gar nicht durch den Tunnel, sondern direkt durch's Internet. Du mußt das LANCOM unter der Adresse ansprechen unter der es hinter dem Tunnel zu sehen ist, also mit seiner Intranet-Adresse.Das VPN habe ich so eingerichtet dass der VPN-Client die .229 erhält, die beiden vorhandenen Server haben die 227 und 228
(...)
Das Problem ist mir jetzt also klar, der Router hat die 224, (welches die Unicast-Adresse ist), haben sollte er (auch laut allen Einstellungen die ich im Lanconfig finde) die .230 (die ich als von extern erreichbares Gateway auch den VPN-Tunnel vom Büro aus aufbaue !).
Ganz nebenbei: Sinnvollerweise gibst du dem Client auch eine Adresse aus dem Intranet, statt aus der DMZ...
Gruß
Backslash
Hi ,
danke für deine Infos, aber ich stehe auf dem Schlauch:
Intranet und DMZ sind alles das gleiche... Der Lancom hat Intranet und DMZ UND im Plain-Ethernet-Internetzugang die gleiche IP-Adresse, die .230.
Die Server hängen nicht am DMZ-Port sondern an einer ganz normal als LAN geschalteten Schnittstelle des Lancom-Switchs (in einem anderen Thread habe ich ein DMZ-Problem, aber das ist was anderes/andere Baustelle).
Die Server (227 und 228) sind übers Internet normal erreichbar, allerdings sollten nur HTTP und FTP Anfragen zu den Servern "durchdringen".
Die Server sollen per RDP/Remotedesktop gewartet werden, was nur über ein VPN-Verbindung gestattet sein soll.
Dazu habe ich auch entsprechende Firewall-Regeln angelegt und das klappt auch alles soweit ganz gut (Server ohne VPN nur HTTP/FTP erreichbar, mit VPN auch RDP).
Lediglich die Konfiguration des Lancom macht mir Probleme über die VPN-Verbindung, und da habe ich deinen Post leider nicht verstanden.
Das Problem mit der .224 (Netzwerkadresse), ist das nun ein Problem dass die anpingbar ist ? Soweit ich das weiss (zu wissen glaube) ist eine NEtzwerkadresse normalerweise nicht anpingbar.
Was ich glaube ich verstanden habe ist, dass es besser wäre nur dem Lancom eine feste IP zu geben (z.B. die 230), die Server in eine DMZ zu hängen (bekommen die dann eine interne Adresse nach dem Schema 192.168.x.x ?) und Anfragen eine die DMZ-Adresse an die Server zu routen ?!?
Vielleicht habe ich jetzt einigen Blödsinn geschrieben, hoffe aber auf euer Verständnis...
Grüße
Dirk
danke für deine Infos, aber ich stehe auf dem Schlauch:
Intranet und DMZ sind alles das gleiche... Der Lancom hat Intranet und DMZ UND im Plain-Ethernet-Internetzugang die gleiche IP-Adresse, die .230.
Die Server hängen nicht am DMZ-Port sondern an einer ganz normal als LAN geschalteten Schnittstelle des Lancom-Switchs (in einem anderen Thread habe ich ein DMZ-Problem, aber das ist was anderes/andere Baustelle).
Die Server (227 und 228) sind übers Internet normal erreichbar, allerdings sollten nur HTTP und FTP Anfragen zu den Servern "durchdringen".
Die Server sollen per RDP/Remotedesktop gewartet werden, was nur über ein VPN-Verbindung gestattet sein soll.
Dazu habe ich auch entsprechende Firewall-Regeln angelegt und das klappt auch alles soweit ganz gut (Server ohne VPN nur HTTP/FTP erreichbar, mit VPN auch RDP).
Lediglich die Konfiguration des Lancom macht mir Probleme über die VPN-Verbindung, und da habe ich deinen Post leider nicht verstanden.
Das Problem mit der .224 (Netzwerkadresse), ist das nun ein Problem dass die anpingbar ist ? Soweit ich das weiss (zu wissen glaube) ist eine NEtzwerkadresse normalerweise nicht anpingbar.
Was ich glaube ich verstanden habe ist, dass es besser wäre nur dem Lancom eine feste IP zu geben (z.B. die 230), die Server in eine DMZ zu hängen (bekommen die dann eine interne Adresse nach dem Schema 192.168.x.x ?) und Anfragen eine die DMZ-Adresse an die Server zu routen ?!?
Vielleicht habe ich jetzt einigen Blödsinn geschrieben, hoffe aber auf euer Verständnis...
Grüße
Dirk
Hi ianeo
Der Client hat die Adresse des LANCOM als VPN-Server konfiguriert und das Netz, das er erreichen soll beinhaltet genau diese Adresse. Also legt er explizit eine Route zu dieser Adresse an, die direkt durch's Internet geht. Somit routet Windows aber aber auch alles andere zu dieser Adresse (z.B. das Telnet) direkt über das Internet.
Die einige Chanche, die du hast, ist die, dem LANCOM in der DMZ eine andere Adresse aus dem Netz zu geben und es darüber zu konfigurieren, denn diese Adresse wird vom Windows nicht am Tunnel vorbei geroutet...
Gruß
Backslash
OK, dann liegt dein Problem letztendlich im Client...Intranet und DMZ sind alles das gleiche... Der Lancom hat Intranet und DMZ UND im Plain-Ethernet-Internetzugang die gleiche IP-Adresse, die .230.
Der Client hat die Adresse des LANCOM als VPN-Server konfiguriert und das Netz, das er erreichen soll beinhaltet genau diese Adresse. Also legt er explizit eine Route zu dieser Adresse an, die direkt durch's Internet geht. Somit routet Windows aber aber auch alles andere zu dieser Adresse (z.B. das Telnet) direkt über das Internet.
Die einige Chanche, die du hast, ist die, dem LANCOM in der DMZ eine andere Adresse aus dem Netz zu geben und es darüber zu konfigurieren, denn diese Adresse wird vom Windows nicht am Tunnel vorbei geroutet...
Gruß
Backslash
Hi Backslash, das ist genau so wie ich es jetzt am Schluss auch selbst verstanden zu haben glaubte... ich dachte schon ich sollte den Job wechseln...
Ich habe jetzt einen Weg gefunden wie ich klar komme:
DMZ-Adresse des Lancom: öffentliche Adresse .230
Intranet-Adresse: 192.168.100.230
Server 1: öffenltiche Adresse .227, als Gateway den Lancom mit öffentlicher .230
Server 2: öffenltiche Adresse .228, als Gateway den Lancom mit öffentlicher .230
VPN-Client bekommt interne Adresse z.B. 192.168.100.111
Server sind von aussen nach Firewallregeln erreichbar (HTTP und FTP), wenn ich per VPN eingewählt bin sind sie zusätzlich auch per RDP erreichbar (alles über ihre öffentliche Adresse).
Der Router ist von aussen nicht konfigurierbar, sobald ich per VPN drin bin kann ich über seine interne IP-Adresse 192.168.100.230 problemlos konfigurieren.
Klappt jetzt also alles, vielen Dank für eure Hilfe.
Nur eine Frage hätte ich noch: Ist es nun normal dass der Lancom über die öffentliche Netzadresse (also in meinem Fall die .224) erreichbar ist (das ist er nämlich wenn ich per VPN eingewählt bin) ?
Warum antwortet gerade der Lancom auf den Broadcast z.B. beim Zugriff per HTTP und nicht die Server ?
Wenn ihr mir die Frage noch beantworten könnt wäre ich ein noch schlauerer Mensch
Und nochmal Danke für eure Hilfe !
Grüße
Dirk
Ich habe jetzt einen Weg gefunden wie ich klar komme:
DMZ-Adresse des Lancom: öffentliche Adresse .230
Intranet-Adresse: 192.168.100.230
Server 1: öffenltiche Adresse .227, als Gateway den Lancom mit öffentlicher .230
Server 2: öffenltiche Adresse .228, als Gateway den Lancom mit öffentlicher .230
VPN-Client bekommt interne Adresse z.B. 192.168.100.111
Server sind von aussen nach Firewallregeln erreichbar (HTTP und FTP), wenn ich per VPN eingewählt bin sind sie zusätzlich auch per RDP erreichbar (alles über ihre öffentliche Adresse).
Der Router ist von aussen nicht konfigurierbar, sobald ich per VPN drin bin kann ich über seine interne IP-Adresse 192.168.100.230 problemlos konfigurieren.
Klappt jetzt also alles, vielen Dank für eure Hilfe.
Nur eine Frage hätte ich noch: Ist es nun normal dass der Lancom über die öffentliche Netzadresse (also in meinem Fall die .224) erreichbar ist (das ist er nämlich wenn ich per VPN eingewählt bin) ?
Warum antwortet gerade der Lancom auf den Broadcast z.B. beim Zugriff per HTTP und nicht die Server ?
Wenn ihr mir die Frage noch beantworten könnt wäre ich ein noch schlauerer Mensch
Und nochmal Danke für eure Hilfe !
Grüße
Dirk