Gegeben ist folgendes:
- SBS2003 Standard mit Exchange und POP3-Connector
- 2 Nic
- internes Netz1 (192.168.1.0) an NIC1 (192.168.1.2) mit den Clients (DHCP)
- internes Netz2 (172.16.1.0) an NIC2 (172.16.1.1) nur Lancom 1611 (172.16.1.5)
- Routing an SBS2003 aktiviert
- statische Route in Routingtabelle des Lancom eingetragen für Zieladresse 192.168.0.0 auf Router 172.16.1.1
Normaler Datenverkehr ins Internet läuft problemlos; also DNS-Auflösung auch HTTPS-Anfragen. Auch der lokale Advanced VPN-Client erreicht über diese Konfiguration seine definierten Ziele (jeweils Lancom 1611+).
Was nicht funktioniert:
1. HTTPS-Anfragen ins Internet unter Port z.B x.x.x.x:8443
2. Zugriff per Remotedesktop über entfernten Advanced VPN-Client auf die IP 192.168.1.2 (SBS2003). VPN-Verbindung wird jedoch aufgebaut.
Meine Frage nun:
1. Funktioniert dies überhaupt mit dem 1611 ? Wenn ja, was habe ich nicht beachtet oder bedacht ?
2. Gibt es ein Papier mit Konfigurationsbeispielen ?
Vielen Dank für Eure Beiträge.
Gruß Theodor
SBS2003 mit 2 NICs
Moderator: Lancom-Systems Moderatoren
Hi twidmann
Im Client trägst du das 192.168.1.x Netz als zusätzliches entferntes Netz ein.
Im LANCOM brauchst du dazu folgende Firewallregel:
Gruß
Backslash
hast du das ggf. in der Firewall des LANCOMs oder des SBS gefiltert?1. HTTPS-Anfragen ins Internet unter Port z.B x.x.x.x:8443
wie sind die IPSec-Regeln hierfür? Das LANCOM generiert automatische IPSec-Regeln nur für sein lokales Netz (d.h. 172.16.1.x). Wenn du das 192.168.1.x Netz erreichen willst, dann mußt du das sowohl im Client als auch im LANCOM explizit konfigurieren.2. Zugriff per Remotedesktop über entfernten Advanced VPN-Client auf die IP 192.168.1.2 (SBS2003). VPN-Verbindung wird jedoch aufgebaut.
Im Client trägst du das 192.168.1.x Netz als zusätzliches entferntes Netz ein.
Im LANCOM brauchst du dazu folgende Firewallregel:
Code: Alles auswählen
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Aktion: übertragen
Quelle: IP-Netz 192.168.1.0/255.255.255.0
Ziel: Gegenstelle VPN-Client
Dienste: alle DiensteBackslash
Hallo,
würde mich freuen, wenn es Euch möglich wäre mir an dieser Stelle auch etwas weiterzuhelfen. Ich habe hier ebenfalls einen SBS2003 mit dem es keinerlei Probleme bzgl. Zugriff von extern gibt - insofern ich meinen VPN-Client nicht nutze
Allerdings bereitet mir die VPN-Konfiguration etwas Kopfzerbrechen. Ich habe mittels der 1Click-VPN Konfiguration eine Datei erzeugt, die ich im Client installierte. So weit so gut - VPN zum Router steht. IP-Adresse vorhanden - der Router auf dem Netz 192.168.249.0 ist erreichbar und sendet eine Antwort, ebenso die 2. NIC 192.168.249.65 (WAN) vom SBS2003 ist "pingbar". Allerdings ist das interne Netz unter 192.168.250.0 nicht erreichbar. Dies bedeutet für mich, dass hier irgendetwas nicht richtig geroutet wird. Hier liegt dann mein Problem - ich bin absoluter Neuling auf dem Gebiet.
- Soweit ich es nachvollziehen kann, ist im SBS2003 die Route vom 250-Netz auf das 249´er - Netz gelegt
- Im Client ist als Zielnetz das 250´er - Netz aktiviert bzw. eingetragen
- die Firewall-Regel wurde mit der 1Click-VPN Einrichtung ebenfalls erzeugt (Firewall steht allerdings auf AUS?!)
- Meines Erachtens fehlt eine Route im Lancom, die vom 249´er - Netz in das 250´er - Netz verweist (Wo wird diese aktiviert bzw. eingetragen?)
Frage an "twidmann"
- Routing an SBS2003 aktiviert - (statische Routen hinzugefügt?)
- statische Route in Routingtabelle des Lancom eingetragen für Zieladresse 192.168.0.0 auf Router 172.16.1.1 (dies ist wahrscheinlich meine obige Frage, da ich das so nicht nachvollziehen kann " Bin halt Anfänger")
Ich muss mit dem Notebook (VPN-Vlient) unbedingt auf mein internes Netz und dem VoIP-Client auf den Router (also externes 249´er - Netz)
Vielen Dank für Eure Hilfe
würde mich freuen, wenn es Euch möglich wäre mir an dieser Stelle auch etwas weiterzuhelfen. Ich habe hier ebenfalls einen SBS2003 mit dem es keinerlei Probleme bzgl. Zugriff von extern gibt - insofern ich meinen VPN-Client nicht nutze
Allerdings bereitet mir die VPN-Konfiguration etwas Kopfzerbrechen. Ich habe mittels der 1Click-VPN Konfiguration eine Datei erzeugt, die ich im Client installierte. So weit so gut - VPN zum Router steht. IP-Adresse vorhanden - der Router auf dem Netz 192.168.249.0 ist erreichbar und sendet eine Antwort, ebenso die 2. NIC 192.168.249.65 (WAN) vom SBS2003 ist "pingbar". Allerdings ist das interne Netz unter 192.168.250.0 nicht erreichbar. Dies bedeutet für mich, dass hier irgendetwas nicht richtig geroutet wird. Hier liegt dann mein Problem - ich bin absoluter Neuling auf dem Gebiet.
- Soweit ich es nachvollziehen kann, ist im SBS2003 die Route vom 250-Netz auf das 249´er - Netz gelegt
- Im Client ist als Zielnetz das 250´er - Netz aktiviert bzw. eingetragen
- die Firewall-Regel wurde mit der 1Click-VPN Einrichtung ebenfalls erzeugt (Firewall steht allerdings auf AUS?!)
- Meines Erachtens fehlt eine Route im Lancom, die vom 249´er - Netz in das 250´er - Netz verweist (Wo wird diese aktiviert bzw. eingetragen?)
Frage an "twidmann"
- Routing an SBS2003 aktiviert - (statische Routen hinzugefügt?)
- statische Route in Routingtabelle des Lancom eingetragen für Zieladresse 192.168.0.0 auf Router 172.16.1.1 (dies ist wahrscheinlich meine obige Frage, da ich das so nicht nachvollziehen kann
" Bin halt Anfänger")Ich muss mit dem Notebook (VPN-Vlient) unbedingt auf mein internes Netz und dem VoIP-Client auf den Router (also externes 249´er - Netz)
Vielen Dank für Eure Hilfe
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...
Ich habe noch einmal in die Routingtabelle des Lancom´s geschaut. Dort wird für die Zieladresse 192.168.0.0 standardmäßig auf den Router 0.0.0.0 gesetzt. Wenn ich analog der Konfiguration von twidmann diesen Eintrag aktiviere, also 192.168.0.0 auf Router 192.168.249.65 (WAN-NIC des SBS2003) kommt eine Fehlermeldung, das dieser Router nicht existiert - Kann das ignoriert werden???
Please help und gib mir die Erleuchtung
- Kann das ignoriert werden???Please help und gib mir die Erleuchtung
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...
Hi AS1306
Trotzdem wirst du damit nicht wirklich weiterkommen, weil das VPN vermutlich so konfiguiriert ist, daß der Client nur das direkte LAN des Lancoms erreichen darf. Wenn du das 192.168.250.x Netz ereichen willst, dann mußt du einerseits dem Client dieses Netz als entferntes Netz bekannt machen und andererseist mußt du dem LANCOM sagen, daß der Client das Netz auch erreichen darf - letzteres geht über eine Firewallregel:
wenn dein VPN so konfiguriert ist, daß der Client alles durch den Tunnel sendet, dann brauchst du diese Regel natürlich nicht (sie ist ja schon mit der umfassenden Regel abgedeckt)
Gruß
Backslash
das ist keine Fehlermeldung, sondern eine Warnung, die dann kommt, wenn der Router, den du dort einträgst, nicht als WAN-Gegenstelle konfiguriert istkommt eine Fehlermeldung, das dieser Router nicht existiert
ja - hier muß es sogar ignoriert werdenKann das ignoriert werden
Trotzdem wirst du damit nicht wirklich weiterkommen, weil das VPN vermutlich so konfiguiriert ist, daß der Client nur das direkte LAN des Lancoms erreichen darf. Wenn du das 192.168.250.x Netz ereichen willst, dann mußt du einerseits dem Client dieses Netz als entferntes Netz bekannt machen und andererseist mußt du dem LANCOM sagen, daß der Client das Netz auch erreichen darf - letzteres geht über eine Firewallregel:
Code: Alles auswählen
Quelle: Netzwerk 192.168.250.0 / 255.255.255.0
Ziel: Gegenstelle VPN-Client
Dienste: alle Dienste
Aktion: übertragen
[x] Diese Regel wird zur Erzwugung von VPN-Regeln herangezogenwenn dein VPN so konfiguriert ist, daß der Client alles durch den Tunnel sendet, dann brauchst du diese Regel natürlich nicht (sie ist ja schon mit der umfassenden Regel abgedeckt)
Gruß
Backslash
Hallo Backslash,
vielen Dank für Deine Antwort. Bin leider heute erst zum Ausprobieren gekommen. Dummerweise funktioniert es auch so nicht. Vom internen Netz (also vom SBS2003) sind alle Clients auch im Netzsegment des Lancom-Routers "pingbar" - selbst die statisch vergebene IP des VPN-Clients ist erreichbar ???
Leider wird keine Route in die andere Richtung "gefunden". Ein Zugriff durch den Tunnel auf die WAN IP des SBS2003 ist möglich. Hier lande ich dann per SSL auf die Standardwebsite des Servers. Ein "Erreichen" des internen Netzes ist aber weiterhin nicht möglich ?????
Andreas
vielen Dank für Deine Antwort. Bin leider heute erst zum Ausprobieren gekommen. Dummerweise funktioniert es auch so nicht. Vom internen Netz (also vom SBS2003) sind alle Clients auch im Netzsegment des Lancom-Routers "pingbar" - selbst die statisch vergebene IP des VPN-Clients ist erreichbar ???
Leider wird keine Route in die andere Richtung "gefunden". Ein Zugriff durch den Tunnel auf die WAN IP des SBS2003 ist möglich. Hier lande ich dann per SSL auf die Standardwebsite des Servers. Ein "Erreichen" des internen Netzes ist aber weiterhin nicht möglich ?????
Wird diese Regel nicht schon durch den Wizard per 1Click-VPN erzeugt??? Diese Regel steht allerdings auf AUS.Quelle: Netzwerk 192.168.250.0 / 255.255.255.0
Ziel: Gegenstelle VPN-Client
Dienste: alle Dienste
Aktion: übertragen
[x] Diese Regel wird zur Erzwugung von VPN-Regeln herangezogen
Hier wird doch der Name eingetragen, wie er bei der Einrichtung erzeugt worden ist? Bsp.: CLIENT_m0001? Selbst it der Angabe eines IP Bereiches greift dies aber nicht? Wäre es Dir eventuell mal möglich meine Config anzusehen? Ich weiß echt nicht mehr weiter ...Ziel: Gegenstelle VPN-Client
Andreas
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...
Hi AS1306
Gruß
Backslash
weil die VPN-Regeln das nicht zulassen...Leider wird keine Route in die andere Richtung "gefunden". Ein Zugriff durch den Tunnel auf die WAN IP des SBS2003 ist möglich. Hier lande ich dann per SSL auf die Standardwebsite des Servers. Ein "Erreichen" des internen Netzes ist aber weiterhin nicht möglich ?????
nein der 1Click-Wizard legt die Regel mit dem Intranet das LANCOMs als Quelle an - also 172.16.1.0/255.255.255.0. Du willst aber mit dem Client das Netz hinter dem SBS - also 192.168.200.0/255.255.255.0 - erreichen. Daher mußt du auch genau das Netz in die Regel eintragen (und natürlich auch dem Client mitteilen)...Wird diese Regel nicht schon durch den Wizard per 1Click-VPN erzeugt???
sie steht für die Firewall auf aus, für das VPN sollte sie aktiviert sein (Häkchen bei "Diese Regel wird zur Ereugung von VPN-Regeln herangezogen" gesetzt)Diese Regel steht allerdings auf AUS.
korrektHier wird doch der Name eingetragen, wie er bei der Einrichtung erzeugt worden ist? Bsp.: CLIENT_m0001?
Gruß
Backslash
Hallo, da bin ich mal wieder 
,
habe nun alles getestet, was bereits oben beschrieben war - leider ohne Erfolg. In meinen Verzweiflung habe ich mich nun über den 1811´er per WLAN in das 249´er Netz lokal angemeldet. Auch hier verhält sich alles wie über VPN - d. h. für mich, dass ich die VPN-Regeln als Fehlerursache mal ausschließen kann.
Frage an twidmann: - da es bei Dir ja offensichtlich geht
Was muss außer RAS und Routing am SBS2003 eingerichtet bzw. aktiviert werden? Ports freischalten - wenn ja, welche???
Basisfirewall hatte ich auch schon deaktiviert - kein Erfolg bzw. keine Veränderung. Ich habe aber dennoch den Eindruck, dass mein Problem wohl eher hier liegt.
Im Lancom unter IP-Routing befindet sich eine statische Route zum internen Netz des SBS2003, die auf die WAN-NIC führt.
Was bzw. welches Programm kann eine Anfrage auf der WAN-NIC noch abblocken. Die Routen hinter dem SBS2003 funktionieren in beide Netze, mein Problem besteht nur in der Route oder "Hindernis" über die WAN-NIC ins lokale Netz zu kommen. VPN zum äußeren "Lancom-Netz" läuft und macht für dieses Netz augenscheinlich erst einmal keine Probleme.
Hat irgendwer noch eine Idee? Kommt mir bitte aber nicht mit googl´n - mach ich schon ca. 3 Wochen. Es gibt leider kein "How to ..." Würde dies aber mal gerne zusammenstellen, da es sehr viele gibt, die dieses Problem wohl haben ...
Vielen Dank für Eure Hilfe
Andreas
,habe nun alles getestet, was bereits oben beschrieben war - leider ohne Erfolg. In meinen Verzweiflung habe ich mich nun über den 1811´er per WLAN in das 249´er Netz lokal angemeldet. Auch hier verhält sich alles wie über VPN - d. h. für mich, dass ich die VPN-Regeln als Fehlerursache mal ausschließen kann.
Frage an twidmann: - da es bei Dir ja offensichtlich geht
Was muss außer RAS und Routing am SBS2003 eingerichtet bzw. aktiviert werden? Ports freischalten - wenn ja, welche???
Basisfirewall hatte ich auch schon deaktiviert - kein Erfolg bzw. keine Veränderung. Ich habe aber dennoch den Eindruck, dass mein Problem wohl eher hier liegt.
Im Lancom unter IP-Routing befindet sich eine statische Route zum internen Netz des SBS2003, die auf die WAN-NIC führt.
Was bzw. welches Programm kann eine Anfrage auf der WAN-NIC noch abblocken. Die Routen hinter dem SBS2003 funktionieren in beide Netze, mein Problem besteht nur in der Route oder "Hindernis" über die WAN-NIC ins lokale Netz zu kommen. VPN zum äußeren "Lancom-Netz" läuft und macht für dieses Netz augenscheinlich erst einmal keine Probleme.
Hat irgendwer noch eine Idee? Kommt mir bitte aber nicht mit googl´n - mach ich schon ca. 3 Wochen. Es gibt leider kein "How to ..." Würde dies aber mal gerne zusammenstellen, da es sehr viele gibt, die dieses Problem wohl haben ...
Vielen Dank für Eure Hilfe
Andreas
VDSL100MBit ... Lancom 1793VAW, 1783VAW, 1781AW/EW, 1781(V)A-4G - L-1702, L-1302, 452AGN - GS2326, GS2328P ... diverse VPN- und VoIP-Clients sowie Telefonieanbindung: Starface PBX, DX800A, DX900, N510/N870, Maxwell IP Pro, Patton SmartNode FXS ...