Hallo Lancomgemeinde,
ja ich schon wieder, ich habe noch ein Problem.
Situation
Es gibt zwei Standorte A und B die über VPN Lan – Lan verbunden sind.
Standort A
Netzwerksituation:
Es gibt einen Server mit 2 Netzwerkkarten um eine logische und physikalische Trennung im Netz zu erreichen. Die NICs haben unterschiedliche IP Adressräume.
NIC 1 internes Kunden Netz 10.2.159.0 / 255.255.255.0 mit eigenem DNS, Gateway usw.
NIC 2 Service Netz 10.2.1.0 / 255.255.255.0.
Im Service Netz NIC2 steht ein Lancom 1711 IP 10.2.1.1 / 255.255.255.0 mit SDSL fester öffentl. IP und VPN LAN -LAN nach Standort B.
Standort B
Lancom 1711 IP 10.2.2.1 / 255.255.255.0 mit SDSL fester öffentl. IP und VPN LAN -LAN nach Standort A.
Was ich will
Das interne Kunden Netz 10.2.159.0 von Standort A soll über das VPN auf einen Server am Standort B auf eine Anwendung mit MS SQL Server zugreifen können.
Was ich durchgeführt habe
Den Lancom 1711 10.2.1.1 Standort A habe ich mit Netzwerkkabel am Switch des Kundennetzes 10.2.159.0 verbunden. Damit habe ich die Physikalische Trennung aufgehoben.
Auf dem Lancom 1711 IP 10.2.1.1 Standort A habe ich nun in der TCP / IP Konfiguration ein zusätzliches IP-Netzwerk 10.2.159.5 eingerichtet. Der Lancom kann jetzt aus dem Kundennetz direkt angesprochen werden (ping).
Auf den PC’s des Kundennetzes habe ich mit route add 10.2.2.0 mask 255.255.255.0 10.2.159.5 –p bestimmt das das Netz 10.2.2.0 Standort B über den Router 10.2.159.5 erreicht werden kann. Das funktioniert mit Ping auch.
Auf dem Kunden PC’s Standort A ist ein Client Programm installiert. Dieses versucht jetzt auf dem SQL Server Standort B zuzugreifen. Das gelingt leider nicht obwohl der Ping vom PC auf dem Server durchging. Vorgestern habe ich dann mal die Firewall Lancom 1711 Standort A deaktiviert. Dann hat der Zugriff mit Clientprogramm funktioniert.
Ich habe mir dann die Portangaben besorgt:
WZNET-Port 8003
WZNET-Port 8004
WZNET-Port 8005
SQL-Port 1433
SQL-Port 1434
Muss ich diese Ports auf dem Lancom Standort A zum Server 10.2.2.3 Standort B forwarden? Denke ich zu kompliziert in dieser Konfiguration? Ich kann doch die Firewall nicht deaktiviert lassen. Hoffentlich könnt ihr mir helfen!
Danke und Gruß
whitesharky
Zugriff Server VPN über zusätzliches IP-Netzwerk geht nicht
Moderator: Lancom-Systems Moderatoren
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06
Hi whitesharky
Mit den WZNET-Ports (was auch immer das für Ports sind) verfährst du entsprechend
Dazu gehst du mit Telnet/SSH auf das LANCOM und gibst trace # firewall ein...
Gruß
Backslash
nein, denn das ist ja eine unmaskierte Verbindung... In der Firewall müssen sie aber erlaubt seinMuss ich diese Ports auf dem Lancom Standort A zum Server 10.2.2.3 Standort B forwarden?
Code: Alles auswählen
Aktion: übertragen
Quelle: Netz des Standorts A
Ziel: IP des Servers
Dienste: TCP/UDP, Zielports 1433,1434Nein das nicht, aber du kannst natürlich einen Firewall-Trace anwerfen, um zu sehen, warum der Zugriff abgelehnt wurde...Ich kann doch die Firewall nicht deaktiviert lassen.
Dazu gehst du mit Telnet/SSH auf das LANCOM und gibst trace # firewall ein...
Gruß
Backslash
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06
Hallo Backslash,
ich komme nicht auf den Server mit und ohne Firewall. Ich komme nicht über den Lancom Standort A hinaus.
Die Konfiguration der Ports habe ich nach deiner Anleitung konfiguriert.
Ich habe ein Verbindungsversuch gestartet und dann den Trace lancom Standort A laufen lassen.
root@LANCOM02_KWM:/
>
[Firewall] 1900/01/30 00:23:53,120
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:23:54,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:23:56,100
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:00,210
Packet matched rule TEST
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 139, SrcPort: 1541, Flags: S
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:00,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:02,100
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:03,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:07,500
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:08,990
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:10,490
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
So richtig Schlau werde ich nicht.
Gruß
whitesharky
ich komme nicht auf den Server mit und ohne Firewall. Ich komme nicht über den Lancom Standort A hinaus.
Die Konfiguration der Ports habe ich nach deiner Anleitung konfiguriert.
Ich habe ein Verbindungsversuch gestartet und dann den Trace lancom Standort A laufen lassen.
root@LANCOM02_KWM:/
>
[Firewall] 1900/01/30 00:23:53,120
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:23:54,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:23:56,100
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:00,210
Packet matched rule TEST
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 48, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 139, SrcPort: 1541, Flags: S
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:00,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:02,100
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:03,600
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:07,500
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:08,990
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
no NetBIOS rights,
packet rejected
[Firewall] 1900/01/30 00:24:10,490
Packet matched rule WINS
DstIP: 10.2.2.3, SrcIP: 10.2.159.149, Len: 78, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 137, SrcPort: 137
So richtig Schlau werde ich nicht.
Gruß
whitesharky
Hi whitesharky
der Trace sagt doch, was nicht funktioniert: Für die Gegenstelle ist NetBIOS-Traffic verboten.
Um NetBIOS-Traffic zu erlauben gibt es zwei Möglichkeiten:
a) du aktivierst das NetBIOS-Modul und trägst die VPN-Gegenstelle unter NetBIOS-> Allgemeín -> NetBIOS über IP Routing-Tabelle als Router ein oder
b) du erstellst für die VPN-Gegenstelle einen Eintrag in der PPP-Tabelle (Kommunikation -> Protokolle -> PPP-Liste) und setzt dort die Häkchen bei IP-Routing aktivieren und NetBIOS über IP aktivieren
Gruß
Backslash
der Trace sagt doch, was nicht funktioniert: Für die Gegenstelle ist NetBIOS-Traffic verboten.
Um NetBIOS-Traffic zu erlauben gibt es zwei Möglichkeiten:
a) du aktivierst das NetBIOS-Modul und trägst die VPN-Gegenstelle unter NetBIOS-> Allgemeín -> NetBIOS über IP Routing-Tabelle als Router ein oder
b) du erstellst für die VPN-Gegenstelle einen Eintrag in der PPP-Tabelle (Kommunikation -> Protokolle -> PPP-Liste) und setzt dort die Häkchen bei IP-Routing aktivieren und NetBIOS über IP aktivieren
Gruß
Backslash
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06
Hi whitesharky
a) nur auf der Defaultroute aktiv ist und
b) auf die Quellports und nicht auf die Zielports matcht
Die Meldung "no NetBIOS rights" kommt, wenn der Zielport 137, 138 oder 139 ist und NetBIOS für die Gegenstelle, auf die das Paket geroutet wird, oder von der das Paket empfangen wurde, nicht explizit erlaubt ist (über die NetBIOS-Routing-Tabelle und/oder den PPP-Eintrag)
Diese Prüfung ist unabhängig davon, ob die Firewall aktiviert ist oder nicht (eine deaktivierte Firewall bedeutet i.Ü. nur, daß alle Regeln bis auf die implizite Regel "DEFAULT (ACCEPT-ALL)" deaktiviert sind)
Gruß
Backslash
nein, da diese Regel (zumindest im Auslieferungszustand)es gibt in den Firewallregeln eine aktive Standardregel "block NetBIOS/WINS name resolution via DNS" auf dem Lancom Standort A. Kann diese dafür eventuell mit verantwortlich sein?
a) nur auf der Defaultroute aktiv ist und
b) auf die Quellports und nicht auf die Zielports matcht
Die Meldung "no NetBIOS rights" kommt, wenn der Zielport 137, 138 oder 139 ist und NetBIOS für die Gegenstelle, auf die das Paket geroutet wird, oder von der das Paket empfangen wurde, nicht explizit erlaubt ist (über die NetBIOS-Routing-Tabelle und/oder den PPP-Eintrag)
Diese Prüfung ist unabhängig davon, ob die Firewall aktiviert ist oder nicht (eine deaktivierte Firewall bedeutet i.Ü. nur, daß alle Regeln bis auf die implizite Regel "DEFAULT (ACCEPT-ALL)" deaktiviert sind)
Gruß
Backslash
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06
Hallo Backslash,
ich habe auf beiden Routern die VPN LAN - LAN Verbindung noch einmal mit dem Häkchen bei NetBios neu eingerichtet. Ich meine, das ich bei der ersten Einrichtung auf dem Router Lancom Standort A das Häkchen nicht gesetzt hatte. Daher waren die NetBios Einstellungen in diesem Router nicht gesetzt. Morgen werde ich sehen ob es funktioniert. Dann gebe ich dir Bescheid.
Danke erst einmal für deine Hilfe. Ich hoffe das ich nicht zu nervig bin.
Ich würde mich gerne mehr mit der Konfiguration der Lancomrouter beschäftigen, aber als eierlegene-it-wollmilchsau muss man halt von allen ne' Ahnung haben aber von allen nicht unbedingt 100 % und vor allem die Zeit fehlt.
Gruß
whitesharky
ich habe auf beiden Routern die VPN LAN - LAN Verbindung noch einmal mit dem Häkchen bei NetBios neu eingerichtet. Ich meine, das ich bei der ersten Einrichtung auf dem Router Lancom Standort A das Häkchen nicht gesetzt hatte. Daher waren die NetBios Einstellungen in diesem Router nicht gesetzt. Morgen werde ich sehen ob es funktioniert. Dann gebe ich dir Bescheid.
Danke erst einmal für deine Hilfe. Ich hoffe das ich nicht zu nervig bin.
Ich würde mich gerne mehr mit der Konfiguration der Lancomrouter beschäftigen, aber als eierlegene-it-wollmilchsau muss man halt von allen ne' Ahnung haben aber von allen nicht unbedingt 100 % und vor allem die Zeit fehlt.
Gruß
whitesharky
-
whitesharky
- Beiträge: 76
- Registriert: 24 Jan 2006, 14:06