Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

DigiBox premium VPN Zugriff ins dahinter liegende Netz

Ich habe im Augenblick das Problem dass bei einer bestehenden VPN Verbindung kein Zugriff auf einige Rechner hinter der Box besteht. Bei diesen Rechnern, die alle mit einem Windows OS ausgestattet sind, wird maximal genau ein Ping beantwortet während bei anderen Rechnern der Zugriff korrekt funktioniert. Es spielt übrigens keine Rolle mit welchem Client das VPN aufgebaut wird und von welchem Betriebssystem aus dies geschieht, das Verhalten ist in jedem Fall identisch. Falls es hilft hänge ich mal die VPN Konfiguration an. Wo soll ich suchen ?.

Evt. Ein Antivirensoftware auf den Rechnern? Möglich das diese die VPN Verbindung blocken. Zum testen mal ausschalten und wenn es klappt die Verbindung als vertrauenswürdig einstufen.


@KarlNapp2016 schrieb:

Evt. Ein Antivirensoftware auf den Rechnern? Möglich das diese die VPN Verbindung blocken. Zum testen mal ausschalten und wenn es klappt die Verbindung als vertrauenswürdig einstufen.


Auf den Rechnern läuft eine AntiVirenSoftware doch die blockt kein Ping, immerhin ist der VPN Client Teil des lokalen LAN's aber ich werde das ausprobieren weil mir im Augenblick auch nichts besseres einfällt :-).

So... tja, netter Versuch aber leider ohne Wirkung. Auch bei deaktiviertem Virenscanner keine Antwort. Natürlich kann ich die betreffenden Rechner von innerhalb des LAN's anpingen, hätte ich wohl noch erwähnen sollen.

Schade hätte ja sein können Zwinkernd

 

da manche Rechner gehen und manche nicht könnte es auch daran liegen das DHCP von einem anderen Gerät gesteuert wird und nicht von der digibox selbst.  

Und bei den Rechnern wo es geht sind feste IP vergeben. Dann kann es sein das über den VPN die Geräte mit den per DHCP vergebenen IP's nicht gesehen werden. 

 

Angelege statische Routings können auch ein Grund sein.

 

Aber ich höre nun mal auf mit dem Raten. Zwinkernd  lag ja schon mal daneben. Fröhlich

 

oh oh oh, ne ne mach das nicht, rate nur ruhig weiter denn Deine Intuition ist goldrichtig. Alle im Netz erreichbaren Hosts sind tatsächlich mit fest verdrahteter IP konfiguriert während alle nicht erreichbaren eine dynamische IP haben, das habe ich Hornochse wegen des merkwürdigen Verhaltens bei der Antwort nicht gesehen. Ich sollte wohl langsam darüber nachdenken, Straßenbahnfahrkarten zu verkaufen... vielleicht war es aber einfach zu spät.

 

Im LAN läuft ein DHCP Server bei dem auch Jene Geräte eingetragen sind die eine feste IP haben um Probleme zu vermeiden, die machen dann eben einfach keinen Request und der DHCP Server wird diese Adressen nicht verwenden.

Die anderen beziehen schön brav Ihre IP und die DigiBox hat diesen DHCP Server unter "DHCP-RELAY-EINSTELLUNGEN" auch eingetragen obwohl Ihre Bridge natürlich eine feste IP hat. Ich werde das mal testweise ändern...

Feste IP vergeben oder den DHCP Server der Digibox benutzen. 

So sollte es dann klappen. 

Melde dich mal wenn du fertig getestet hast. 


@KarlNapp2016 schrieb:

Feste IP vergeben oder den DHCP Server der Digibox benutzen. 

So sollte es dann klappen. 

Melde dich mal wenn du fertig getestet hast. 


So, habe jetzt diverse Dinge ausprobiert, leider ohne Erfolg. Hier mal ein Abriss:

1. Auf einem Windows Client IP fest vergeben, gleiches Ergebnis. Der erste Ping geht durch, danach nichts mehr. Auch alle anderen Protokolle werden geblockt.

2. Externen DHCP Server in der DigiBox auf Standard, also 0.0.0.0 gestellt, gleiches Ergebnis.

3.Richtlinie erstellt nach der dem IPSEC Client beim Zugriff auf die Bridge alle Protokolle erlaubt werden, gleiches Ergebnis.

4. Firewall komplett deaktiviert, gleiches Ergebnis

Ich will noch anmerken das meiner Meinung nach alle diese Dinge nicht nötig sein sollten. Der IPSEC Client bekommt IP aus dem Bereich der Bridge. Erstaunlich ist das er fast immer eine Antwort bekommt, also maximal ein Ping, danach ist schluss. Die Geräte die antworten sind der LAN Server (linux), eine andere Box und die DigiBox selbst. Außerdem eine Kamera und ein Drucker. Das NAS dagegen antwortet auch nicht obwohl auf dem ein Linux laufen dürfte. Alle Geräte sind natürlich von innerhalb des LAN's voll erreichbar. Den DHCP Server der DigiBox zu nutzen ist keine Option da Sie nicht ansatzweise die Konfigurationsmöglichkeiten eines ISC DHCPd bietet, aus diesem Grunde packe ich selbst auf Fritten und Speedports immer ein anders OS wenn ich Sie in Firmen einsetze.

 

So und nu ?...

 

ps. Ich glaube mittlerweile nicht mehr das es sich hier um ein Problem mit Filtern handelt. Ich vermute ein Problem mit IPsec doch ich weiß im Augernblick auch nicht wo ich noch drehen kann zumal mehrere IPsec Clients dasselbe Verhalten zeigen.

Telekom hilft Team

Hallo @Buccaneer,

da haben Sie schon viel getestet. Schade, dass Sie den Fehler noch nicht finden konnten.

Da Sie festgestellt haben, dass eine feste Vergabe der IP und auch Linux und Windows Rechnern keiner Veränderung ergab. Komme ich aus der Ferne zu dem Ergebnis, dass die funktionierenden Rechner anders im Netzwerk eingebunden sein müssen.
An welchen Rädchen Sie nun drehen müssen, um auf alle Rechner zuzugreifen, müsste man wissen wo der Unterschied zwischen den Rechnern liegt.
Mehr kann ich dazu nicht sagen und bin mit meinem Latein auch schon wieder am Ende.

Vielleicht kommt noch ein anderer User, der eine Idee dazu hat. Danke @KarlNapp2016 für deine Unterstützung.

Gruß Jörg D.

Ja, leider. Ich hatte jetzt auch nicht sooo viel Zeit mich weiter damit zu befassen, aber ich werde das schon noch finden. Leider dauert das auch alles sooo lange weil mir schon das Bedienkonzept nicht passt, kann ich bei einer Fritte gerade noch tolerieren aber bei einem "Profigerät" eher nicht. Ich mag es z.B. überhaupt nicht wenn mir ein Browser die Log's interpretiert oder wenn ich Befehle wie "ip" und "iptables" nicht nutzen kann obwohl ich sicher davon ausgehe das dies möglich wäre oder wenn ich lokale IP-Pools für IPSec konfigurieren muss obwohl ich Adressen per externem DHCP Server zuweisen will. Im Übrigen stimmt Ihre Schlussfolgerung nicht denn tatsächlich sind alle Rechner im gleichen Subnetz, am selben Switch ohne VLan konnektiert. Da Sie idR. alle Ihre NIC's per dhcp konfigurieren sollten, sind auch Fehler bei Routing und DNS etc. ausgeschlossen.

@Buccaneer

 

Profi? Ein Profi hätte schon längst einen syslog-Server aufgesetzt und mit Wireshark den Traffic analysiert.

Habe ich längst und selbstverstänlich loggt die Digitalisierungsbox auf dem LAN Server mit rsyslog und müllt mein Systemlog zu, für Wireshark hatte ich noch keine Zeit weil der Output dafür extra aufgearbeitet werden müsste.