[VPN]Wel tunnel, geen RDP - Netwerken

vrijdag 4 juli 2008 22:13

Acties:

Verwijderd

Topicstarter

Omgeving:

Lokatie A:
Windows server 2003 terminal server
Zywall 35 VPN server
SDSL Router

Lokatie B:
Windows XP Home werkstation
The Greenbow VPN Client software
Sitecom WL-183 Router (wirelless 300N)
Ziggo kabelmodem

Ik vanuit lokatie B een vpn tunnel maken naar de Zywall vpn server op lokatie A.
Echter kan ik geen terminal server sessie openen op de terminal server van lokatie via de RDP client.

Alle overige thuiswerkers kunnen dit wel.
Ik heb de instellingen op de zywall nagelopen maar kan niks afwijkends vinden.
De zyxel support site biedt geen uitkomst.

Wat kan dit zijn?

vrijdag 4 juli 2008 22:28

Acties:

LuckY

Kan je wel pingen / shares benaderen ?

vrijdag 4 juli 2008 22:35

Acties:

DukeBox

Misschien een probleem met fragmentatie ?

vrijdag 4 juli 2008 22:42

Acties:

Cassettebandje

SA-C90 TDK

Toevalling gelijke ip ranges aan beide kanten? (net zelf tegenaan gelopen)

vrijdag 4 juli 2008 22:50

Acties:

sjaak

un giorno credi

Kan je wel telnetten op de rdp poort 3389 of op b.v. poort 135? (of een andere willekeurige poort die open staat) Zelfde probleem met andere systemen achter die firewall indien beschikbaar?

vrijdag 4 juli 2008 22:59

Acties:

Verwijderd

Topicstarter

Ik niet pingen, naar geen enkel ip adres in het LAN van lokatie A
Ik kan niet telnetten.

Lokatie A heeft als ip range 192.168.1.X
Lokatie B heeft 192.168.175.X

Ik heb geen idee wat fragmentatie is mbt netwerken. Ik ben alleen bekend met (de)fragmentatie op harde schijven.

Ik heb alleen geen inzicht in wat het kabel modem op loktaie B heeft en doet. Maar die is in principe transparant toch?

vrijdag 4 juli 2008 23:01

Acties:

Osiris

Staan de routes naar de Locatie-B-range op je client wel OK?

vrijdag 4 juli 2008 23:02

Acties:

xtra

Met sitecom en VPN heb ik wel vaker problemen gehad en gezien. Het vervangen van de (oudere modellen) sitecom was meestal de oplossing.
Kun je je PC rechtstreeks op het modem aansluiten en het dan nog eens proberen? Weet je in ieder geval dat dat het niet is, of wel.

[ Voor 3% gewijzigd door xtra op 04-07-2008 23:03 ]

vrijdag 4 juli 2008 23:03

Acties:

lier

MikroTik nerd

Krijg je op je client een IP adres van lokatie A toegewezen ?
Hoe stel je vast dat je een VPN tunnel hebt ?

Osiris schreef op vrijdag 04 juli 2008 @ 23:01:
Staan de routes naar de Locatie-B-range op je client wel OK?

Geen routes nodig hiervoor

Wat geeft een tracert naar de server op de A lokatie ?

[ Voor 55% gewijzigd door lier op 04-07-2008 23:06 ]

Eerst het probleem, dan de oplossing

vrijdag 4 juli 2008 23:05

Acties:

[ash]

Cookies :9

Wat is het subnetmasker op locatie B? Als deze te groot is zal de pc op locatie B de adressen van locatie A als lokaal behandelen.

vrijdag 4 juli 2008 23:05

Acties:

Verwijderd

Topicstarter

Ik heb geen routes ingesteld.
De zywall is de default gateway voor alle systemen op lokatie A en de sitecom router is de default gateway voor het werkstation op lokatie B.

vrijdag 4 juli 2008 23:05

Acties:

bigfoot1942

Heb het wel meegemaakt dat hitman pro (of een pakketje waarvan dit een onderdeel was) de microsoft VPN client dusdanig had toegetakeld ('beveiligd' noemen ze dat geloof ik) dat er geen data meer door de tunnel te krijgen was...

vrijdag 4 juli 2008 23:07

Acties:

Osiris

lier schreef op vrijdag 04 juli 2008 @ 23:03:
Geen routes nodig hiervoor

Erhm, als ik een point-to-point VPN-tunneltje op zet en ik laat de routes exact zoals ze waren, dan krijg ik geen verkeer over dat tunneltje heen. Wellicht vergis je je met handige Windows-settings zoals 'set gateway as default' ofzo, zodat dat automatisch gebeurt

vrijdag 4 juli 2008 23:09

Acties:

lier

MikroTik nerd

Osiris schreef op vrijdag 04 juli 2008 @ 23:07:
Erhm, als ik een point-to-point VPN-tunneltje op zet en ik laat de routes exact zoals ze waren, dan krijg ik geen verkeer over dat tunneltje heen. Wellicht vergis je je met handige Windows-settings zoals 'set gateway as default' ofzo, zodat dat automatisch gebeurt

The Greenbow VPN Client software

Client krijgt dus gewoon twee nics met twee verschillende netwerk segmenten. Kan die zelf best goed mee overweg (routeren).

Eerst het probleem, dan de oplossing

vrijdag 4 juli 2008 23:13

Acties:

Osiris

lier schreef op vrijdag 04 juli 2008 @ 23:09:
[...]

[...]

Client krijgt dus gewoon twee nics met twee verschillende netwerk segmenten. Kan die zelf best goed mee overweg (routeren).

Ah ok, if you say so, ken eerlijk gezegd dat stukje software niet. Maar juist met twee NIC's moet je goed routeren

Maar dat zal ie dan wel allemaal goed doen

vrijdag 4 juli 2008 23:28

Acties:

Verwijderd

Topicstarter

De pc staat op de 2e verdieping en de sitecom router op de begane grond. De pc verbindt via WIFI. Ik kan ze niet direct aan elkaar knopen.

Ik heb op de client een vast IP ingesteld.
Ik stel vast dat ik een tunnel heb doordat de vpn software zegt: VPN Tunnel active.
De SA monitor op de Zywall geeft aan dat de tunnel open staat.

Tracert naar de terminal server geeft op alle hops een time-out.

Subnetmask van B is 255.255.255.0

Hitman pro is op deze pc geinstalleerd geweest. Hij is inmiddels verwijderd.
Ik kan eens kijken wat er gebeurd als ik de VPN client software opnieuw installeer of als ik een andere pc pak hier en daar de VPN software op installeer en een tunnel configureer en opbouw.

zaterdag 5 juli 2008 11:08

Acties:

lier

MikroTik nerd

Kan je nog even een IPCONFIG /ALL hier posten als de tunnel opgebouwd is ?

Eerst het probleem, dan de oplossing

zaterdag 5 juli 2008 11:37

Acties:

Verwijderd

Topicstarter

Windows IP-configuratie

Host-naam . . . . . . . . . . . .: XXXXXXXXXXXXXXXX
Primair DNS-achtervoegsel. . . . .:
Knooppunttype: . . . . . . . . . .: onbekend
IP-routering ingeschakeld. . . . .: nee
WINS-proxy ingeschakeld . . . . . : nee

Ethernet-adapter Draadloze netwerkverbinding:

Verbindingsspec. DNS-achtervoegsel:
Beschrijving . . . . . . . . . . .:
Wireless-N Network PCI Card WL-181
Fysiek adres. . . . . . . . . . . : XXXXXXXXXXXXXXXXX
DHCP ingeschakeld:. . . . . . . . : nee
IP-adres. . . . . . . . . . . . . : 192.168.175.10
Subnetmasker. . . . . . . . . . . : 255.255.255.0
Standaardgateway. . . . . . . . . : 192.168.175.1
DNS-servers . . . . . . . . . . . : 192.168.175.1

Ethernet-adapter LAN-verbinding:

Status van medium . . . . . . . . : medium ontkoppeld
Beschrijving . . . . . . . . . . .:
Realtek RTL8139/810x Family Fast Ethernet NIC
Fysiek adres. . . . . . . . . . . : XXXXXXXXXXXXXXXXXXXX

zaterdag 5 juli 2008 11:40

Acties:

lier

MikroTik nerd

Ik zie helemaal niets dat op een tunnel kan wijzen...weet je zeker dat de VPN connectie opgebouwd is ?

Eerst het probleem, dan de oplossing

dinsdag 8 juli 2008 18:15

Acties:

Verwijderd

Topicstarter

The Greenbow VPN Client software zegt: VPN Tunnel active.
In de router op lokatie A verschijnt mijn tunnel in de SA monitor als actief.

Wat zou er in de ipconfig moeten verschijnen dan?

Ik zie overigens in de logfile van router A op regelniveau bij mijn ip adres het volgende een aantal keren voorbij komen:
IKE Packet Retransmit
Zou dit betekenen dat router A moeite heeft zijn pakketjes bij mij kwijt te kunnen? Ergo een router of modem probleem aan mijn kant?

Zojuist heb ik een andere pc gebruikt als werkstation. Zelfde verhaal, wel tunnel, geen rdp, geen ping.
Aan de pc ligt het dan in ieder geval niet.
Op naar de volgende test, de pc naar beneden brengen en direct aan het kabel modem koppelen.
Of iemand moet ondertussen iets weten?

[ Voor 27% gewijzigd door Verwijderd op 09-07-2008 08:14 ]

dinsdag 8 juli 2008 23:21

Acties:

Flyduck

op www.valadis.nl staat dit;

ZyXEL routers welke alleen over VPN Cliënt mogelijkheden beschikken (zoals de Prestige 324) werken niet samen met Greenbow

http://www.valadis.nl/support/z108.html

Heeft dit betrekking op jouw situatie?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

woensdag 9 juli 2008 08:09

Acties:

Verwijderd

Topicstarter

Nee want alle andere thuiswerkers werken ook met Greenbow. En daar werkt het gewoon prima.

woensdag 9 juli 2008 14:45

Acties:

Verwijderd

@ilovelamp

1. weet jij en de systeembeheerders 100% zeker dat je geen overlappende LAN subnetten hebt aan jouw kant, de kant van de server en de andere VPN gebruikers thuis. Dit betekent dus 192.168.100.x voor de kabelmodem(mits andere thuisgebruikers dit ook hebben dan zou dit dus de oorzaak kunnen zijn) en 192.168.175.x voor het LAN subnet van de Linksys. Dit ook te denken dat een andere gebruiker ook een DMZ subnet of IP Aliassen ingesteld kan hebben.

Algemeen : dit heet routeringsproblemen bij VPN en komt vaak voor in de praktijk met niet werkende VPN tunnel(s).

2. Staat in de ZyWALL 35 UDP poort 4500 aan in de WAN1 to WAN1 regel(mits de VPN verbinding binnenkomt op WAN1 (vraag dit aan de beheerders)

3. staat NAT Transversal in de ZyWALL 35 aan in de VPN regel? (vraag dit aan de beheerders)

4. Probeer anderes toch eens de kabelmodem ip-adres aan te passen naar bijvoorbeeld 192.168.199.x (mits dit subnet nog vrij is) en zoals eerder werd aangegeven dan verbinding te maken met een Dynamische VPN regel in de ZyWALL en sluit de VPN client tijdelijk rechtreeks op de kabelmodem.

5. download en installeer de laatste Greenbow versie en gebruik eventueel een andere computer op jouw locatie.

6. gebruik geen andere VPN programma's naast de Greenbow VPN client naar dezelfde ZyWALL op jouw locatie.

* Test anders de laptop op een ander locatie bij een andere thuisgebruiker en test of deze werkt met de correcte VPN-instellingen van die gebruiker.

* Ik ken de Linksys niet, maar met de bovengenoemde punten kan je naar mijn inziens makkelijker achterhalen waardoor het niet werkt.

* geef de beheerders van de ZyWALL aan dat je eventueel gebruik wilt maken van een Dynamisch VPN regel en laat je ook informeren wat je hiervoor moet instellen in de Greenbow client als je deze rechtreeks aansluit op de kabelmodem(met ip-adres 192.168.199.x?).

* dit probleem heeft overigens niets te maken met RDP, men dient eerst te kunnen pingen om uberhaubt een sessies op te bouwen.

[ Voor 15% gewijzigd door Verwijderd op 09-07-2008 16:38 ]

woensdag 9 juli 2008 16:52

Acties:

Verwijderd

Topicstarter

1. Er is één andere thuisgebruiker die het subnet 190.168.100.x heeft.
192.168.175.X is uniek.
Ik weet dat er meerdere thuisgebruikers zijn die bv.v een speedtouch hebben waarbij het IP niet aan te passen is. Daar blijft ie standaard op 192.168.1.X staan. Daar hebben we dan weer een linksys aan gehangen met een ander subnet.
192.168.1.X is ook het subnet van het LAN van lokatie A. Dan zou dat voor die thuisgebruikers ook een probleem moeten geven. Ik was altijd in de veronderstelling dat het modem transparant wordt zodra je er weer een router achter hangt.
Maar een goed idee om te kijken of ik het subnet van het kabelmodem aan kan passen.

2. Ja deze poort staat open op WAN1.

3. Nee

4. Ik zal het zsm testen en de resultaten hier posten.

5. Idem

6. Check.

Bedankt voor de input zover!

[ Voor 7% gewijzigd door Verwijderd op 09-07-2008 16:54 ]

donderdag 14 augustus 2008 12:03

Acties:

Verwijderd

Topicstarter

Mijn excuses voor het feit dat ik een ouder topic omhoog haal. Ik ben wegens privé omstandigheden op eerdere momenten niet in staat geweest bovengenoemde tests uit te voeren.
Zojuist ben ik gelukkig weer in de gelegenheid geweest mijn VPN te troubleshooten.

Ik heb het werkstation van lokatie B via een UTP kabel direct aan het kabel modem van lokatie B gekoppeld.
Er is een dynamische VPN rule aangemaakt op de zywall router van lokatie A.
De instellingen in the greenbow software zijn aangepast om met deze dynamische rule te kunnen verbinden.

Dit werkt prima! Ik kan netjes een tunnel opbouwen en via RDP een terminal server sessie openen op terminal server A.

Wat mij wel opvalt is dat ik een ander WAN ip heb wannneer werkstation B direct aan kabelmodem B zit gekoppeld als wanneer ik werkstation B hang aan WiFi router B en WiFi router B aan kabelmodem B. Gecontroleerd middels www.ipchicken.com.
Hoe kan dit? Heeft dit met MAC adressen te maken? Ik wist niet dat je met een privé aansluiting vn Ziggo ook meerdere WAN ip adressen kan hebben.
Ik heb meerdere keren gewisseld tussen direct aan kabelmodem en via router dus het kan ook niet zo zijn dat toevallig vandaaag het WAN IP gewijzigd is.

Overigens kan ik het LAN-ip van kabelmodem B niet aanpassen.

What to do? Een andere router aan kabelmodem B hangen?

[ Voor 8% gewijzigd door Verwijderd op 14-08-2008 12:17 ]

vrijdag 15 augustus 2008 01:23

Acties:

AndriesLouw

Een modem-router combinatie kan ook in bridge mode staan, waarbij de gekoppelde PC of router erachter het IP-adres verzorgt. Hier bij is de modem-router dus niks meer dan een modem (Modulator/Demodulator). Maar waarschijnlijker bevat je kabelmodem gewoon geen router functie. (Onze vroegere modem had dit ook niet, en die nam zelfs het MAC-adres en de netbios-naam over van het apparaat dat erachter hing).

Indien je kabelmodem dus geen router is, kan dit verklaren waarom het wel direct op de modem werkt. Immers staan op een modem alle poorten open. Het ligt hem dus hoogstwaarschijnlijk aan de firewall instellingen op het WiFi accesspoint/router dat erachter hangt. Wellicht kun je, om te testen, daar de firewall eens van uit zetten.

Specificaties | AndriesLouw.nl

vrijdag 15 augustus 2008 08:18

Acties:

Verwijderd

Topicstarter

De firewall van WiFi router B staat al uit. TCP/UDP port 500 is doorgezet vanuit Wifi router B naar werkstation B. Ik snap er echt niks van, we hebben dit op zoveel locaties voor elkaar kunnen krijgen met een modem + router setup.

dinsdag 26 augustus 2008 14:08

Acties:

Verwijderd

Dan test eens met een andere router(anders leen er een of werk de firmware bij van de huidige router).

[ Voor 83% gewijzigd door Verwijderd op 27-08-2008 11:59 ]

woensdag 27 augustus 2008 11:39

Acties:

Verwijderd

Je zou inderdaad eens kunnen testen met een andere router of probeer voor de zekerheid(dat zou ik doen) alsnog IKE poort 500 door te zetten in je router naar je lokale ip-adres van je VPN-client(dit voor de onderhandeling van de versleuteling).

Het kan overigens niet aan je kabelmodem(=LAN subnet) meer liggen, maar wijzig eventueel het LAN ip-adres van Router B en maak wel een bedrade VPN verbinding. Denk eraan je Dynamische tunnel uit te zetten en maak een "nieuwe" LAN to LAN VPN tunnel aan(denk wel aan je Local- en Remote subnet/range) en zet de apparaten uit en aan, zowel aan de server- en client-kant(ter voorkoming van "zombie-tunneling")
http://www.zyxelsupport.nl/vpndebug.html (symptoon 7)

[ Voor 11% gewijzigd door Verwijderd op 27-08-2008 11:42 ]