Hallo an alle,
ich habe ein Problem mit zwei 1781EF+ Lancom Router. Da ich wenig Erfahrung mit Routing habe, wäre es nett, wenn ihr euch das mal anseht.
momentane Situation:
zwei alte Router haben einen (LAN-LAN) VPN-Tunnel aufgebaut. Hier läuft alles prima (Außenstelle kann via RDP auf den Terminalserver in der Hauptstelle.)
Neu: zwei 1781EF+ habe ich für SHDSL-Nutzung fertig eingerichtet. Zweigstelle hat Internet, Hauptstandort hat Internet. Tunnel via VPN habe ich mit 1click Konfiguration eingerichtet. Tunnel steht, Ping von Zweigstelle auf Hauptstelle geht. (Rückwärts übrigens nicht?!).
Da ich von der Zweigstelle den Terminalserver erreichen will, habe ich gedacht, wenn man pingen kann, kann man auch RDP. Aber das geht nur, wenn ich die Firewall in beiden Routern abschalte.
Ich hatte versucht in der Firewall eine Regel für Port 3389/RDP einzurichten, ging aber nicht (Habe auch nicht wirklich Ahnung wie man da rangeht.)
Was kann ich machen?
Gruß Stefan
RDP geht nicht durch die Firewall
Moderator: Lancom-Systems Moderatoren
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
Hi,
Am besten einen ICMP-Trace "tr # icmp" und einen IP-Router-Trace "tr # ip-r" ausführen.
Der IP-Router-Trace wird hier erklärt.
http://www2.lancom.de/kb.nsf/1275/181CE ... enDocument
Die beiden Traces am besten auf beiden Geräten ausführen.
Wenn du dann nicht selber lösen kannst, die Ausgaben hier posten.
Zur Firewall kann dir vielleicht Backslash helfen.
Gruß
P.S.: hier werden Traces im Allgemeinen erklärt: http://www2.lancom.de/kb.nsf/1276/37221 ... enDocument
Wie sah denn der Pingbefehl aus den du abgesetzt hast?Ping von Zweigstelle auf Hauptstelle geht. (Rückwärts übrigens nicht?!).
Am besten einen ICMP-Trace "tr # icmp" und einen IP-Router-Trace "tr # ip-r" ausführen.
Der IP-Router-Trace wird hier erklärt.
http://www2.lancom.de/kb.nsf/1275/181CE ... enDocument
Die beiden Traces am besten auf beiden Geräten ausführen.
Wenn du dann nicht selber lösen kannst, die Ausgaben hier posten.
Zur Firewall kann dir vielleicht Backslash helfen.
Gruß
P.S.: hier werden Traces im Allgemeinen erklärt: http://www2.lancom.de/kb.nsf/1276/37221 ... enDocument
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: RDP geht nicht durch die Firewall
Hi,
ich habe die Firewall Regeln in folgender Art, dass ich sämtlichen Traffic im VPN Tunnel zulasse:
In der Zentrale für die Außenstelle 10.9.2.0/24:
In der Außenstelle für die Zentrale 10.10.0.0/16, zusätzlich RDP Bandbreite reserviert:
Viele Grüße
Heiko
ich habe die Firewall Regeln in folgender Art, dass ich sämtlichen Traffic im VPN Tunnel zulasse:
In der Zentrale für die Außenstelle 10.9.2.0/24:
Code: Alles auswählen
Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Rtg-tag Comment
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ZENTRALE_1721BBW ANY LOCALNET %A10.9.2.0 %M255.250.255.0 ACCEPT No 1 Yes No Yes 0
E1721BBW_ZENTRALE ANY %A10.9.2.0 %M255.250.255.0 LOCALNET ACCEPT No 1 Yes No Yes 0
Code: Alles auswählen
Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Rtg-tag Comment
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
MIN_BANDWIDTH ANY ANYHOST RDP ICA ANYHOST %Qcds160 %Lcds0 @v %A No 3 Yes No Yes 0 RDP pro Session 160 kBit/s
LADEN-ZENTRALE2 ANY %LINTRANET %A10.10.0.0 %M255.255.0.0 %Lcds0 %A No 1 Yes No Yes 0
ZENTRALE2-LADEN ANY %A10.10.0.0 %M255.255.0.0 %LINTRANET %Lcds0 %A No 1 Yes No Yes 0
Heiko
Man lernt nie aus.
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
Danke euch,
ich komme momentan nicht auf die Router.
Werde am Montag die Tipps checken und mich zurückmelden.
Gruß
Stefan
ich komme momentan nicht auf die Router.
Werde am Montag die Tipps checken und mich zurückmelden.
Gruß
Stefan
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
Hallo, ich bin wieder da.
Es scheint jetzt zu funktionieren.
Ich hatte in den Netzwerkeinstellungen am Terminalserver das Standardgateway des "alten" Routers eingetragen.
Nun komme ich per RDP drauf.
Ich habe aber eine weitere Frage:
Und zwar möchte ich weiterhin den Internetverkehr der PCs Hauptstelle und Zweigstelle über die alten Router, die am schnellen 16000/1000 DSL angeschlossen sind, routen.
Wie kann ich das erreichen?
Standardgateway ist ja nun der Lancomrouter mit dem synchronen SDSL (langsamer Download). Gibt es eine Möglichkeit IP-Adressen des Internet durch die alten Router zu leiten?
Gruß
Stefan
Es scheint jetzt zu funktionieren.
Ich hatte in den Netzwerkeinstellungen am Terminalserver das Standardgateway des "alten" Routers eingetragen.
Nun komme ich per RDP drauf.
Ich habe aber eine weitere Frage:
Und zwar möchte ich weiterhin den Internetverkehr der PCs Hauptstelle und Zweigstelle über die alten Router, die am schnellen 16000/1000 DSL angeschlossen sind, routen.
Wie kann ich das erreichen?
Standardgateway ist ja nun der Lancomrouter mit dem synchronen SDSL (langsamer Download). Gibt es eine Möglichkeit IP-Adressen des Internet durch die alten Router zu leiten?
Gruß
Stefan
Re: RDP geht nicht durch die Firewall
Hi,
Ja wenn man einmal anfäng und was versteht kommen weitere Fragen auf, also keine Angst das ist natürlich.
Ansich müsstest du nur die Standart-Route auf die passende Gegenstelle(Gegenstellenname/IP) verweisen.
Da alle "IPs des Internets" jene IP sind, die nicht privaten Netzten gehören.
Also hast du eine Default-Route und Routen in deine privaten Netze.
Für diese brauchst du weitere Einträge.
> ls Setup/IP-Router/IP-Routing-Table/
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
192.168.0.0 255.255.0.0 0 0.0.0.0 0 No Yes block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Yes block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Yes block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes block multicasts: 224-255.x.y.z
Also entweder:
255.255.255.255 0.0.0.0 0 172.16.2.253 0 on Yes
Wenn der Router eine IP im lokalen Netz hat.
oder:
255.255.255.255 0.0.0.0 0 INTERNET2 0 on Yes
Wenn der Router eine DSL-Gegenstelle ist wie in:
> ls Setup/WAN/DSL-Broadband-Peers/
Peer SH-Time AC-name Servicename WAN-layer MAC-Type user-def.-MAC VLAN-ID
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
INTERNET2 9999 INTERNET local 000000000000 1
Was sind das denn für alte Router?
Gruß
Ja wenn man einmal anfäng und was versteht kommen weitere Fragen auf, also keine Angst das ist natürlich.
Ansich müsstest du nur die Standart-Route auf die passende Gegenstelle(Gegenstellenname/IP) verweisen.
Da alle "IPs des Internets" jene IP sind, die nicht privaten Netzten gehören.
Also hast du eine Default-Route und Routen in deine privaten Netze.
Für diese brauchst du weitere Einträge.
> ls Setup/IP-Router/IP-Routing-Table/
IP-Address IP-Netmask Rtg-tag Peer-or-IP Distance Masquerade Active Comment
192.168.0.0 255.255.0.0 0 0.0.0.0 0 No Yes block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 0.0.0.0 0 No Yes block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 0.0.0.0 0 No Yes block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 0.0.0.0 0 No Yes block multicasts: 224-255.x.y.z
Also entweder:
255.255.255.255 0.0.0.0 0 172.16.2.253 0 on Yes
Wenn der Router eine IP im lokalen Netz hat.
oder:
255.255.255.255 0.0.0.0 0 INTERNET2 0 on Yes
Wenn der Router eine DSL-Gegenstelle ist wie in:
> ls Setup/WAN/DSL-Broadband-Peers/
Peer SH-Time AC-name Servicename WAN-layer MAC-Type user-def.-MAC VLAN-ID
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------
INTERNET2 9999 INTERNET local 000000000000 1
Was sind das denn für alte Router?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
Hallo MariusP,
danke für die Hinweise.
Werde ich testen. Melde mich dann zurück.
Ich denke solche Konstellationen sind häufiger in Firmennetzen. Gegebenenfalls haben andere User auch die Probleme. Oder bin ich der einzige Ahnungslose
Könnte man auch mit "add route" + "metric" an jedem pc arbeiten?
Mir ist klar, dass das umständlich ist, aber fürs Verständniss...
Die alten Router sind von Drytek (Vigor).
danke für die Hinweise.
Werde ich testen. Melde mich dann zurück.
Ich denke solche Konstellationen sind häufiger in Firmennetzen. Gegebenenfalls haben andere User auch die Probleme. Oder bin ich der einzige Ahnungslose
Könnte man auch mit "add route" + "metric" an jedem pc arbeiten?
Mir ist klar, dass das umständlich ist, aber fürs Verständniss...
Die alten Router sind von Drytek (Vigor).
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: RDP geht nicht durch die Firewall
Hi,
Du hast für diese Fragestellung min. 3 verschieden Möglichkeiten.
Vorab, es handelt sich immer um eine 3er Beziehung, PC - Router1 - Router 2. Man muss nun entscheiden, welches die beste Variante für das Netz ist. Der Router, der als Standardgateway fungiert, muss ordentlich konfiguriert sein (Firewall) und der muss auch alle Anfragen aus dem Intranet "abkönnen" (egal ob ins Internet oder VPN Tunnel) und dabei nicht in die Knie gehen.
1. VPN-Router ist Standard-Gateway, Einrichtung im VPN Router mit Weiterleitung Internet Verkehr an alten Router.
Vorteil: VPN Tunnel kann bedient werden, auch wenn "alter Router" aus/defekt ist.
Nachteil: Der VPN-Router muss auch alle Internetverbindungen routen. Das kann zur Folge haben, dass auch der VPN-Tunnel langsam wird.
2. "alter Router" ist Standard-Gateway, am alten Router wird zum VPN Router der Tunnel verkehr weiter geleitet.
Nachteil: Ist der "alte Router" aus/defekt, geht weder Internet noch VPN-Tunnel. Ganz zu schweigen, ob er die Performance hat.
3. "alter Router" ist Standard-Gateway, alle Hosts erhalten explizite Route ins andere VPN-Netz mit "route add" Befehl und Angabe des VPN-Routers als Gateway
Vorteil: Internet Traffic geht an "alter Router", VPN Traffic geht an VPN-Router
Nachteil: Muss halt auf jeder Maschine von Hand angelegt werden, wenn kein DHCP im EInsatz ist
4. Vielleicht habe noch andere Kollegen Vorschläge...
Viele Grüße
Heiko
Du hast für diese Fragestellung min. 3 verschieden Möglichkeiten.
Vorab, es handelt sich immer um eine 3er Beziehung, PC - Router1 - Router 2. Man muss nun entscheiden, welches die beste Variante für das Netz ist. Der Router, der als Standardgateway fungiert, muss ordentlich konfiguriert sein (Firewall) und der muss auch alle Anfragen aus dem Intranet "abkönnen" (egal ob ins Internet oder VPN Tunnel) und dabei nicht in die Knie gehen.
1. VPN-Router ist Standard-Gateway, Einrichtung im VPN Router mit Weiterleitung Internet Verkehr an alten Router.
Vorteil: VPN Tunnel kann bedient werden, auch wenn "alter Router" aus/defekt ist.
Nachteil: Der VPN-Router muss auch alle Internetverbindungen routen. Das kann zur Folge haben, dass auch der VPN-Tunnel langsam wird.
2. "alter Router" ist Standard-Gateway, am alten Router wird zum VPN Router der Tunnel verkehr weiter geleitet.
Nachteil: Ist der "alte Router" aus/defekt, geht weder Internet noch VPN-Tunnel. Ganz zu schweigen, ob er die Performance hat.
3. "alter Router" ist Standard-Gateway, alle Hosts erhalten explizite Route ins andere VPN-Netz mit "route add" Befehl und Angabe des VPN-Routers als Gateway
Vorteil: Internet Traffic geht an "alter Router", VPN Traffic geht an VPN-Router
Nachteil: Muss halt auf jeder Maschine von Hand angelegt werden, wenn kein DHCP im EInsatz ist
4. Vielleicht habe noch andere Kollegen Vorschläge...
Viele Grüße
Heiko
Man lernt nie aus.
Re: RDP geht nicht durch die Firewall
Code: Alles auswählen
Internet Internet
/\ /\
/\ (VPN) /\ (Internet)
/\ /\
1781EF+----------------------------------->Drytek
/\ (Internet-Daten)
/\ (Daten)
/\
PCs
Wie Punkt 1 von Bernie.
Ich glaube so stellt sich kadett das vor.
Der 1781EF+ sollte auch genug Leistung dafür haben.
Hängt natürlich davon ab wieviele PCs an dem 1781EF+ hängen.
Wieviele hängen denn dran?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: RDP geht nicht durch die Firewall
Und wieviel die so machen im Internet und über VPN-Tunnel, ob gewollt oder ungewollt (z.B. verseuchte Rechner).Hängt natürlich davon ab wieviele PCs an dem 1781EF+ hängen.
Viele Grüße
Heiko
Man lernt nie aus.
Re: RDP geht nicht durch die Firewall
Hi Bernie137,
Daher ist Lösung1 die aus meiner Sicht sinnvollste - auch wenn sie den Nachteil hat, daß mit Ausfall des VPN-Routers auch gleich das Internet tot ist.
Hier wäre ggf. noch eine Lösung mit VRRP denkbar, über die zumindest das Internet in jedem Fall erhalten bleibt - ganz gleich, welcher Router gerade ausfällt
Gruß
Backslash
Da LANCOMs normalerweise Redirects schicken und Standard-PCs auch auf Redirects reagieren, ist die Last im "VPN"-Router fast schon vernachlässigbar: Auf das erste Paket an einen Server im Internet schickt das LANCOM dieser ein Redirect, der dem PC sagt, daß der Server über den "alten" Router erreichbar ist, woraufhin der PC alle folgenden Pakete direkt an den "alten" Router schickt. Und der "alte" Router schickt die Antworten sowieso direkt an den PC...1. VPN-Router ist Standard-Gateway, Einrichtung im VPN Router mit Weiterleitung Internet Verkehr an alten Router.
Vorteil: VPN Tunnel kann bedient werden, auch wenn "alter Router" aus/defekt ist.
Nachteil: Der VPN-Router muss auch alle Internetverbindungen routen. Das kann zur Folge haben, dass auch der VPN-Tunnel langsam wird.
Daher ist Lösung1 die aus meiner Sicht sinnvollste - auch wenn sie den Nachteil hat, daß mit Ausfall des VPN-Routers auch gleich das Internet tot ist.
Hier wäre ggf. noch eine Lösung mit VRRP denkbar, über die zumindest das Internet in jedem Fall erhalten bleibt - ganz gleich, welcher Router gerade ausfällt
Gruß
Backslash
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
Hi an alle,
ich hab das (wie oben erwähnt) versucht, mit der Route 255.255.255.255 0.0.0.0 ip-Adresse-"alter" Router (in der Lanconfig) auf das schnelle Internet umzulenken.
Internet läuft zwar jetzt mit den 16000/1000 über den "alten" Router, der Tunnel zwischen den Lancom Routern baut sich aber nicht mehr auf.
Die Zeichnung von MariusP ist so wie ich´s mir vorstelle.
Nun geht aber VPN nicht mehr über die SHDSL-Verbindung.
Der Router trennt sofort die bestehende Verbindung ins 2000/2000 SDSL-Netz und VPN bricht ab.
Any suggestions?
Stefan
ich hab das (wie oben erwähnt) versucht, mit der Route 255.255.255.255 0.0.0.0 ip-Adresse-"alter" Router (in der Lanconfig) auf das schnelle Internet umzulenken.
Internet läuft zwar jetzt mit den 16000/1000 über den "alten" Router, der Tunnel zwischen den Lancom Routern baut sich aber nicht mehr auf.
Die Zeichnung von MariusP ist so wie ich´s mir vorstelle.
Nun geht aber VPN nicht mehr über die SHDSL-Verbindung.
Der Router trennt sofort die bestehende Verbindung ins 2000/2000 SDSL-Netz und VPN bricht ab.
Any suggestions?
Stefan
Re: RDP geht nicht durch die Firewall
Hi,
ja die Routingtabelle des LANCOMs posten.
Weil ohne diese ist das wie in die Kristallkugel schauen.
Gruß
ja die Routingtabelle des LANCOMs posten.
Weil ohne diese ist das wie in die Kristallkugel schauen.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
kadettkadett
- Beiträge: 7
- Registriert: 30 Aug 2013, 13:45
Re: RDP geht nicht durch die Firewall
IPv4-Routing-Tabelle
IP-Adresse Netzmaske Routing-Tag Schaltzustand Router Distanz Mask. Kommentar
192.168.115.0 255.255.255.0 0 An, sticky für RIP ROUTERLH_192 0 Aus
192.168.0.0 255.255.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 0 An, sticky für RIP RAUS 0 An
Den letzten Eintrag hatte ich auf den "alten" Router abgeändert.
255.255.255.255 0.0.0.0 0 An, sticky für RIP 192.168.115.1 0 An
stefan
IP-Adresse Netzmaske Routing-Tag Schaltzustand Router Distanz Mask. Kommentar
192.168.115.0 255.255.255.0 0 An, sticky für RIP ROUTERLH_192 0 Aus
192.168.0.0 255.255.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private networks: 192.168.x.y
172.16.0.0 255.240.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private networks: 172.16-31.x.y
10.0.0.0 255.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block private network: 10.x.y.z
224.0.0.0 224.0.0.0 0 An, sticky für RIP 0.0.0.0 0 Aus block multicasts: 224-255.x.y.z
255.255.255.255 0.0.0.0 0 An, sticky für RIP RAUS 0 An
Den letzten Eintrag hatte ich auf den "alten" Router abgeändert.
255.255.255.255 0.0.0.0 0 An, sticky für RIP 192.168.115.1 0 An
stefan
-
Bernie137
- Beiträge: 1700
- Registriert: 17 Apr 2013, 21:50
- Wohnort: zw. Chemnitz und Annaberg-Buchholz
Re: RDP geht nicht durch die Firewall
Hi,
Viele Grüße
Heiko
Damit hast ja auch den Internetzugang für den 1781EF selbst über den SDSL tot gelegt. Du brauchst für Variante 1 policy based Routing. Bitte hier im Forum suchen, war erst die letzten Tag hier irgendwo oder Inder KB bei Lancom. Kann es Grade nicht genauer schreiben vom Smartphone aus.Den letzten Eintrag hatte ich auf den "alten" Router abgeändert.
255.255.255.255 0.0.0.0 0 An, sticky für RIP 192.168.115.1 0 An
stefan
Viele Grüße
Heiko
Man lernt nie aus.