[Andreas12]

Habe einen VPN-Tunnel aufgebaut, um mich remote auf den W2k3-Server aufzusetzten. Der Tunnel steht wunderbar und ich kann sowohl den Firewall-Router als auch die dahinterliegenden Workstations erreichen. Beim Versuch den Server anzusprechen werde ich allerdings geblockt. Das Problem kann nur beim Server liegen. Die Firewall am Server ist deaktiviert. Wer kann mir helfen

[Andreas12]

Möchte meine Angaben noch etwas präzisieren:
als Router im Büro setze ich den D-Link DFL-200 (Router + SoHo-Firewall) ein. Als VPN-Client-Software habe ich auf die D-Link-Lösung Net-Defend DS-601 zurückgegriffen. In einem anderen Büro habe ich genau diese Konstellation (allerdings mit W2k3 SBS ohne SP2) auch stehen und alles funktioniert!
Die Workstation laufen mit WinXP SP2; der W2K3-Server hat ebenfalls die neuesten SPs.
Wenn ich nun von zuhause aus den VPN-Tunnel aufbaue, so steht die Verbindung: ich kann die Workstations im Zielnetzwerk anpingen und auch den Router per Browser und IP konfigurieren. Nur der Server läßt sich nicht anpingen. Vermute, dass noch irgendwie die Windows-Firewall des Servers herumspuckt und die ping-Anfrage blockt: Genau an diesem Punkt brauche ich wohl Hilfe.

[puppet]

Tja trotzdem zu wenig angaben!
Hast du denn schonmal geschaut ob der Server überhaupt eine Route zu dir hat?
Schon mal was anderes als ICMP Echo probiert (z.B. UDP Ping oder Direktzugriff auf einen Service)?

[Rika]

1. Welches Protokoll benutzt du zum Tunneln?
2. Welchen Client?
3. Liegt der Server im gleichen Subnetz wie die Workstations? Ist der Zugriff auf und das Routing zum Server im VPN-Client aktiviert? IP-Routing am Tunnelendpunkt aktiv?

[Andreas12]

Erstmal danke für Eure Fragen!

A)
Hast du denn schonmal geschaut ob der Server überhaupt eine Route zu dir hat?
> das Gateway ist am Server eingetragen und darüber komme ich mit meinem VPN ins System: die anderen Rechner im Subnetz antworten schließlich auch; werde dies aber nochmal kontrollieren

Schon mal was anderes als ICMP Echo probiert (z.B. UDP Ping oder Direktzugriff auf einen Service)?
>habe jetzt noch ftp und telnet versucht, funktionierte aber auch nicht; udp-ping noch nicht versucht: wie geht das? (Habe gerade darüber etwas recherchiert aber keine befriedigente Antwort gefunden)

B)
1. Welches Protokoll benutzt du zum Tunneln? >ipsec
2. Welchen Client? D-Link Net Defend DS-601 auf WinXP
3. Liegt der Server im gleichen Subnetz wie die Workstations? > ja

Ist der Zugriff auf und das Routing zum Server im VPN-Client aktiviert? > ja

IP-Routing am Tunnelendpunkt aktiv? > dies habe ich noch nicht geprüft! Jedoch mußte ich bei dem anderen Tunnelendpunkt unter W2K3 SBE keinen Tunnelendpunkt aktivieren und es funktioniert!

[Rika]

Zitat

1. Welches Protokoll benutzt du zum Tunneln? >ipsec

Genauer? ESP, AH, ESP in GRE, ESP in UDP mit NAT-T?
Schlüsselaustausch per IKE oder händisch?
Gelten die Security Associations nur für den Tunnel oder für den gesamten Transport?

Zitat

udp-ping noch nicht versucht: wie geht das?

Mit Tools, die Windows nicht enthält. Wobei TCP-Pings etwas üblicher sind und genauer zur Diagnose beitragen, zumal auch eine tcpping.exe für Windows existiert.