FritzBox 7110 - SPI deaktivieren

    Hallo Zusammen,


    wenn ich mich mit einem Firmennotebook von Daheim in unser Firmennetzwerk einwählen will habe ich ein paar Probleme:
    die eigentliche VPN-Verbindung klappt soweit, sprich ich bekomme eine Verbindung zustande (Anmeldung mittels SmartCard), auch kann ich dann ohne Probleme SAP aufrufen und damit arbeiten.
    Aber ich kann z.B. nicht die "Netlogon-Datei" ausführen, sie wird einfach nicht gestartet (eine Batchdatei auf dem Firmenserver, die autom die Netzlaufwerke verbindet), auch die Syncronisation des Outlook-Kontos funktioniert nicht. Outlook läuft einfach irgendwann ins leere.
    Die Netzlaufwerke manuell über den Explorer verbinden klappt jedoch ohne Probleme :rolleyes:
    Wenn wir es in der Firma dann über einen stand-alone DSL-Router quasi von Aussen versuchen, läuft es ohne Probleme.
    Ich habe den EIndruck, dass die Datein von außen einfach nicht durch meine FritzBox kommen, obwohl ja ein VPN-Tunnel steht
    :confused:


    Habe auch schon an MTU-Werte gedacht und auch schon versucht, diese anzupassen (INetDoc), aber leider auch ohne Erfolg.


    Jetzt hatte ich die Idee, das evtl. das SPI meiner FritzBox 7170 dazwischen funkt, aber ich finde keine Möglichkeit, SPI zu deaktivieren :(


    Hat jemand einen Tip für mich ?


    Danke & viele Grüße
    reffi

    Grüße aus dem Sauerland:
    reffi

    Hallo,


    Nimm doch mal den DSL Router der Firma mit nach Hause und teste damit.


    Was für Fehlermeldungen werden denn angezeigt, wenn man die Batchdatei ausführt.


    Ich würde hier ein DNS Problem vermuten, da ja SAP geht und Outlook nicht.


    Gruß
    Thomas

    Eine Fehlermeldung kommt nicht ! Es passiert einfach nicht (egal ob Doppelklick, oder Rechtsklick -> Ausführen bzw. Öffnen), nur ganz kurz, aber wirklich nur Bruchteil von einer Sekunde die Eieruhr und dann wechselt der Cursor wieder zum Pfeil und das war es.


    Mit dem Router wird eher schwierig, hat interne Gründe (ist offiziell der für die separate Internetverbindung des BR :rolleyes: )


    viele Grüße
    reffi

    Grüße aus dem Sauerland:
    reffi

    Wenn der VPN-Tunnel korrekt aufgebaut und dein Laptop richtig konfiguriert ist, dann funkt die Firewall der Box da doch nicht mehr zwischen.


    Alle Pakete werden doch in dem Tunnel eingepackt, bspw. in Port 500 und nur über diesen zwischen den öffentlichen IPs ausgetauscht.


    Beispiel:
    Dein Laptop hat die öffentliche IP 80.0.0.1, der Firmenserver 80.0.0.2.
    Zwischen beiden wird ein VPN-Tunnel aufgebaut und neue virtuelle NICs erzeugt, im Laptop die private IP 192.168.0.1 und der Server 192.168.0.2.


    Jetzt weiß der Laptop ja über seine Routing-Tabelle, dass alles was an 192.168.0.2 gesendet werden soll, durch den VPN-Tunnel muss.


    Also werden daraus Pakete mit der Zieladresse 80.0.0.2 und dem Port 500.
    Wenn dieser durch die Firewall durchgeht, dann ist es egal welche Ports die Programme sonst benutzen, da aus Sicht der Firewall nur Verkehr auf Port 500 läuft.

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    Zitat

    Original geschrieben von reffi
    Eine Fehlermeldung kommt nicht ! Es passiert einfach nicht (egal ob Doppelklick, oder Rechtsklick -> Ausführen bzw. Öffnen), nur ganz kurz, aber wirklich nur Bruchteil von einer Sekunde die Eieruhr und dann wechselt der Cursor wieder zum Pfeil und das war es.


    Ok Dann siehst du den Fehler nur nicht.
    Ich gehe mal davon aus, dass die Datei die Endung BAT oder CMD hat.
    Kopiere die Datei mal auf deinen Desktop und öfffne die Datei mit dem Editor. Schreibe ans Ende der Datei in eine neue Zeile mal pause.
    Führe die Datei dann mal mit einem Doppelclick aus.
    Pause bewirkt was der Name sagt.


    Zum Thema Outlook. Habt Ihr in der Firma einen Exchange Server oder was anderes?


    Wenn du ein Notebook hast, gehe doch mal zu einen Freund und probiere dort mal ob der VPN Zugang geht.


    Gruß
    Thomas

    mit dem Laptop zum Kumpel werde ich am Wochenende mal testen.


    Momentan deutet sich wirklich ein DNS Problem an- glaube ich zumindest :o
    Wenn ich die VPN-Verbindung aufbaue und dann "ipconfig /all" ausführe, werden mir zu dem "VPN-Adapter" die richtigen DNS- und WINS-Server zurückgemeldet.
    Setze ich dann einen Ping mit dem Namen (nicht IP, sondern halt der vergebene Name) auf einen vorhandenen Server in unserer Firma ab, so wird zu dem Namen eine vollkommen falsche IP-Adresse gefunden und es kommen Zeitüberschreitungen.
    Habe es mit zwei Servern getestet. Es werden IP's gefunden, die wirklich rein nichts mit unserem Firmennetz zutun haben.
    Habe die gefundenen IP's mal bei DNSstuff.com abgefragt und dabei kam heraus, dass es sich um Server von T-Online handelt :eek:
    Ich bin nur gerade echt überfragt, ob das Problem nur an unserer Firma liegt, oder ab es an mir bzw. an meiner FritzBox liegt (kann ich in der FB etwas in diese Richtung verstellt haben :confused: ).
    Andere Kollegen habe keinerlei Probleme, wobei ein Teil der Kollegen auch die FB 7170 nutzen.


    viele Grüße
    reffi

    Grüße aus dem Sauerland:
    reffi

    Zitat

    Original geschrieben von raix
    Also werden daraus Pakete mit der Zieladresse 80.0.0.2 und dem Port 500.
    Wenn dieser durch die Firewall durchgeht, dann ist es egal welche Ports die Programme sonst benutzen, da aus Sicht der Firewall nur Verkehr auf Port 500 läuft.


    Da muss ich aber klugscheißen ;-)


    Lediglich IKE/ISAKMP (Schlüsselaustauschprotokoll) geschieht über TCP-Port 500 (und dann auch eher über 4500 UDP). Der eigentlich IPSec-Traffic geschieht über IP-Port (!) 50.

    In Search of Sunrise

    Da muss ich mich zur Verteidigung selber zitieren:


    Zitat

    Original geschrieben von raix


    Alle Pakete werden doch in dem Tunnel eingepackt, bspw. in Port 500


    ;)


    reffi, ich vermute der Ping wird über den DNS-Server der Fritzbox aufgelöst, statt intern über euren Firmendns, der über den VPN-Tunnel erreichbar ist.
    Wenn du direkt die IP statt des Namens pingst, geht das problemlos, oder?

    Original geschrieben von bernbayer:
    "Eine Kampagne in ZUsammenhang mit Guttenberg kann man der Bild-Zeitung nicht vorwerfen."

    genau, das klappt !
    Habe jetzt einen Teil in die hosts gepackt, ABER das kann es doch nicht sein, vorallem haben wir ein großes Netz und ich kann nicht alle Domains dort eintragen (lokale Domains, nicht Top-Level)


    mich wundert, warum es über den DNS der Freitzbox geht und nicht über den der Firma, schließlich steht doch der VPN-Tunnel :confused:


    Gibt es eine Möglichkeit, dass so einzustellen das bei bestehendem VPN-Tunnel nicht der DNS der Fritzbox angesprochen wird, sondern der der Firma ?


    viele Grüße
    reffi

    Grüße aus dem Sauerland:
    reffi

    so, jetzt haben wir die Lösung:
    man höre und staune, schuld war nicht eine fehlerhafte EInstellung in den VPN-Verbindungen oder im Router, oder ein Hardwareproblem, oder sonst etwas, NEIN nur ein kleiner Haken um Kundencenter meines Providers T-Online :eek:
    T-Online hat nämlich einfach für alle seine Kunden pauschal das super duper Feature "Navigationshilfe" aktiviert :eek: Dieses tolle "Feature" sorgt dafür das DNS-Anfragen unter Umständen vollkommene Fantasie-IPs zurückgemeldet bekommen - schönen Dank liebe T-Com :mad:


    viele Grüße
    reffi

    Grüße aus dem Sauerland:
    reffi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden