none
Client di dominio e VPN Cisco RRS feed

  • Domanda

  • Situazione: Dominio Windows SBS 2003, client Windows XP SP3 tutti sotto
    dominio.
    E' andato tutto liscio finché su due postazioni è stato installato (non
    da me) un client VPN Cisco per la connessione remota ad un gestionale.
    Il problema è che, solo su una delle due postazioni su cui è stato
    installato il client, quando la VPN viene attivata, il PC perde la
    connessione col server SBS. Salta fuori il fumetto che indica che il
    server non è più in linea e, di conseguenza, il client non riesce più a
    raggiungere le condivisioni (tranne quelle che funzionano in modalità
    non in linea, come la redirect dei suoi documenti). L'altra postazione
    su cui il client Cisco è installato, invece, non presenta questo
    problma.
    I due PC sono configurati nella medesima maniera (IP assegnato da DHCP)
    ed anche i client VPN hanno parametri identici.
    La cosa strana è che quando il PC finisce fuori linea riesco comunque a
    pingare l'IP del server, ma non riesco ad accedervi.
    Qualche suggerimento?
     
    giovedì 27 ottobre 2011 11:17

Risposte

  • Per quanto posso dedurre (dal fatto che vedo IP nella subnet
    192.168.0.x che non esistono sulla rete locale), sembra che una delle
    reti remote a cui ci si collega trmite VPN abbia una subnet uguale a
    quella locale.
     


    ed è proprio questo che genera il problema. l'unico modo per evitarlo è quello di avere sui due capi della vpn delle sottoreti diverse. o fai cambiare la subnet di là oppure sei contretto a cambiare la tua.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta Anca Popa mercoledì 2 novembre 2011 11:23
    mercoledì 2 novembre 2011 09:18
    Moderatore

Tutte le risposte

  • In genere i client VPN Cisco quando vengono attivati modificano le route IP per permettere l'accesso alle reti remote.

    Se fai un route print dal client, prima con VPN non attivo e poi con VPN attivo, noterai delle differenze.

    Probabilmente una policy che si applica al client "problematico" è errata.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    • Proposto come risposta Fabrizio Volpe giovedì 27 ottobre 2011 11:37
    • Proposta come risposta annullata Anca Popa mercoledì 2 novembre 2011 11:23
    giovedì 27 ottobre 2011 11:37
  • posta un ipconfig /all del client con la vpn connessa e disconnessa.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 27 ottobre 2011 11:48
    Moderatore
  • Nell'IPCONFIG vedo una differenza sostanziale: in pratica viene
    cambiato l'elenco di ricerca dei suffissi DNS.
     IPCONFIG NO VPN
    -------------------------------------------------------------
     
    Configurazione IP di Windows
            Nome host . . . . . . . . . . . . . . : PCXXX
           Suffisso DNS primario  . . . . . . .  : DOMINIOLOCALE.local
           Tipo nodo . . . . . . . . . . . . . .  : Ibrido
           Routing IP abilitato. . . . . . . . . : No
           Proxy WINS abilitato . . . . . . . .  : No
           Elenco di ricerca suffissi DNS. . . . : DOMINIOLOCALE.local
                                               DOMINIOLOCALE.local
     
    Scheda Ethernet Connessione alla rete locale (LAN):
            Suffisso DNS specifico per connessione: DOMINIOLOCALE.local
           Descrizione . . . . . . . . . . . . . : Intel(R) PRO/100 VE
    Network Connection
           Indirizzo fisico. . . . . . . . . . . : 00-1F-93-26-B8-3E
           DHCP abilitato. . . . . . . . . . . . : Sì
           Configurazione automatica abilitata   : Sì
           Indirizzo IP. . . . . . . . . . . . . : 192.168.0.18
           Subnet mask . . . . . . . . . . . . . : 255.255.255.0
           Gateway predefinito . . . . . . . . . : 192.168.0.1
           Server DHCP . . . . . . . . . . . . . : 192.168.0.10
           Server DNS . . . . . . . . . . . . .  : 192.168.0.10
           Server WINS primario . . . . . . . .  : 192.168.0.10
           Lease ottenuto. . . . . . . . . . . . : venerdì 28 ottobre 2011
    8.53.08
           Scadenza lease . . . . . . . . . . .  : sabato 5 novembre 2011
    8.53.08
    -------------------------------------------------------------------
     
    IPCONFIG CON VPN
    -------------------------------------------------------------------
    Configurazione IP di Windows
            Nome host . . . . . . . . . . . . . . : PCXXX
           Suffisso DNS primario  . . . . . . .  : DOMINIOLOCALE.local
           Tipo nodo . . . . . . . . . . . . . .  : Ibrido
           Routing IP abilitato. . . . . . . . . : No
           Proxy WINS abilitato . . . . . . . .  : No
           Elenco di ricerca suffissi DNS. . . . : DOMINIOremoto.local    
      <------ DIFFERENTE
                                               DOMINIOLOCALE.local
     
    Scheda Ethernet Connessione alla rete locale (LAN):
            Suffisso DNS specifico per connessione: DOMINIOLOCALE.local
           Descrizione . . . . . . . . . . . . . : Intel(R) PRO/100 VE
    Network Connection
           Indirizzo fisico. . . . . . . . . . . : 00-1F-93-26-B8-3E
           DHCP abilitato. . . . . . . . . . . . : Sì
           Configurazione automatica abilitata   : Sì
           Indirizzo IP. . . . . . . . . . . . . : 192.168.0.18
           Subnet mask . . . . . . . . . . . . . : 255.255.255.0
           Gateway predefinito . . . . . . . . . : 192.168.0.1
           Server DHCP . . . . . . . . . . . . . : 192.168.0.10
           Server DNS . . . . . . . . . . . . .  : 192.168.0.10
           Server WINS primario . . . . . . . .  : 192.168.0.10
           Lease ottenuto. . . . . . . . . . . . : venerdì 28 ottobre 2011
    8.53.08
           Scadenza lease . . . . . . . . . . .  : sabato 5 novembre 2011
    8.53.08
     
    Scheda Ethernet Connessione alla rete locale (LAN) 4:
            Suffisso DNS specifico per connessione: DOMINIOremoto.local
           Descrizione . . . . . . . . . . . . . : Cisco Systems VPN
    Adapter
           Indirizzo fisico. . . . . . . . . . . : 00-05-9A-3C-78-00
           DHCP abilitato. . . . . . . . . . . . : No
           Indirizzo IP. . . . . . . . . . . . . : 10.168.30.193
           Subnet mask . . . . . . . . . . . . . : 255.255.252.0
           Gateway predefinito . . . . . . . . . :
           Server DNS . . . . . . . . . . . . .  : 192.168.50.32
                                               192.168.50.17
     
    venerdì 28 ottobre 2011 11:36
  • Posta anche il route print, e vedrai che le sorprese non sono finite :-)

    Evidentemente chi ha creato il profilo per il VPN Cisco ha impostato in modo che tu non possa utilizzare la tua rete locale quando connesso alla rete remota.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    VMware Certified Professional on vSphere 4
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 28 ottobre 2011 12:20
  • Evidentemente chi ha creato il profilo per il VPN Cisco ha impostato in modo che tu non possa utilizzare la tua rete locale quando connesso alla rete remota.

    ... combinando una grossa sciocchezza.... percè se l'esigenza effettiva è quella di isolare la macchina dal dominio in cui si trova allora è preferibile utilizzare una macchina dedicata per il dominio remoto.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 28 ottobre 2011 13:24
    Moderatore
  • Ecco il route print, con e senza vpn.
     Senza VPN
    -------------------------------------------------------------------
    ===========================================================================
    Elenco interfacce
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 1d 92 25 b7 3f ...... Intel(R) PRO/100 VE Network Connection
    - Miniport dell'Utilità di pianificazione pacchetti
    ===========================================================================
    ===========================================================================
    Route attive:
    Indirizzo rete             Mask             Gateway       Interfac. 
    Metric
             0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.18     
    20
           127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
         192.168.0.0    255.255.255.0     192.168.0.18    192.168.0.18     
    20
        192.168.0.18  255.255.255.255        127.0.0.1       127.0.0.1     
    20
       192.168.0.255  255.255.255.255     192.168.0.18    192.168.0.18     
    20
           224.0.0.0        240.0.0.0     192.168.0.18    192.168.0.18     
    20
     255.255.255.255  255.255.255.255     192.168.0.18    192.168.0.18      1
    Gateway predefinito:       192.168.0.1
    ===========================================================================
    Route permanenti:
     Nessuno
    ---------------------------------------------------------------------
     
    Con VPN
    ---------------------------------------------------------------------
    ===========================================================================
    Elenco interfacce
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 1d 92 25 b7 3f ...... Intel(R) PRO/100 VE Network Connection
    - Miniport dell'Utilità di pianificazione pacchetti
    0x30004 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter -
    Miniport dell'Utilità di pianificazione pacchetti
    ===========================================================================
    ===========================================================================
    Route attive:
    Indirizzo rete             Mask             Gateway       Interfac. 
    Metric
             0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.18     
    20
         10.168.28.0    255.255.252.0    10.168.30.193   10.168.30.193     
    20
       10.168.30.193  255.255.255.255        127.0.0.1       127.0.0.1     
    20
      10.255.255.255  255.255.255.255    10.168.30.193   10.168.30.193     
    20
          78.6.254.5  255.255.255.255      192.168.0.1    192.168.0.18      1
           127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
         192.168.0.0    255.255.255.0     192.168.0.18    192.168.0.18     
    20
        192.168.0.10  255.255.255.255     192.168.0.18    192.168.0.18      1
        192.168.0.18  255.255.255.255        127.0.0.1       127.0.0.1     
    20
       192.168.0.137  255.255.255.255    10.168.30.193   10.168.30.193      1
       192.168.0.255  255.255.255.255     192.168.0.18    192.168.0.18     
    20
       192.168.50.43  255.255.255.255    10.168.30.193   10.168.30.193      1
      192.168.60.184  255.255.255.255    10.168.30.193   10.168.30.193      1
           224.0.0.0        240.0.0.0    10.168.30.193   10.168.30.193     
    20
           224.0.0.0        240.0.0.0     192.168.0.18    192.168.0.18     
    20
     255.255.255.255  255.255.255.255    10.168.30.193   10.168.30.193      1
     255.255.255.255  255.255.255.255     192.168.0.18    192.168.0.18      1
    Gateway predefinito:       192.168.0.1
    ===========================================================================
    Route permanenti:
     Nessuno
    ---------------------------------------------------------------------
     
    Per quanto posso dedurre (dal fatto che vedo IP nella subnet
    192.168.0.x che non esistono sulla rete locale), sembra che una delle
    reti remote a cui ci si collega trmite VPN abbia una subnet uguale a
    quella locale.
     
    mercoledì 2 novembre 2011 08:11
  • Per quanto posso dedurre (dal fatto che vedo IP nella subnet
    192.168.0.x che non esistono sulla rete locale), sembra che una delle
    reti remote a cui ci si collega trmite VPN abbia una subnet uguale a
    quella locale.
     


    ed è proprio questo che genera il problema. l'unico modo per evitarlo è quello di avere sui due capi della vpn delle sottoreti diverse. o fai cambiare la subnet di là oppure sei contretto a cambiare la tua.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    • Contrassegnato come risposta Anca Popa mercoledì 2 novembre 2011 11:23
    mercoledì 2 novembre 2011 09:18
    Moderatore
  • Ho sentito chi gestisce la VPN e, come temevo, loro non possono
    cambiare le loro struttura (certo che per chi fornisce un tale
    servizio, dovrebbe essere una regola di base quella di non impostare
    reti interne con le subnet più comuni), quindi dovrò cambiare la mia.
    Il cambio di subnet non sarebbe un grosso problema per gli apparati che
    gestisco io (server, client, stampanti di rete).
    Il router, però, non posso modificarlo perché non vi ho accesso (è in
    carico al gestore di telefonia-adsl). Devo fare una richiesta a loro,
    aspettare che facciano il cambio e poi correre con la sirena per
    cambiare tutto il resto altrimenti il cliente resta senza internet!
     
    Vabbè... non ho molta alternativa!
     
    Grazie dei chiarimenti
     
    mercoledì 2 novembre 2011 09:44
  • prego, ciao.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 2 novembre 2011 10:01
    Moderatore
  • io prima di cambiare tutto proverei a fare quanto segue:

    contatta il tizio della VPN e fatti togliere il DNS dalla configurazione che ti manda tramite cisco oppure prova da solo (con VPN disconnessa) metti tu a mano i parametri 10.168.30.193 e 255.255.252.0 senza DNS sul primo PC e successivamente il secondo ip su secondo PC.

    con VPN attiva e tutta l'altra rete tua scollegata prova con un IP scan sulla classe 192.168.0.x e verifica quanti ip  ti tira fuori dall'altro lato magari capisci anche il nome del server remoto.

    Preparati un file host dove risolverai senza il loro DNS il nome del server remoto 192.168.0.137 e aggancialo nei due PC.

    Cambia nella tua rete locale l'ip (se esiste) 192.168.0.137 e fai in modo che non venga usato da nessun PC.

    Configura nelle impostazioni avanzate delle connessioni di rete, nell'elenco delle schede e biding la priorità delle connessioni di rete. Dai la preferenza alla scheda locale LAN e come secondaria la VPN cisco ecc.. stessa cosa nei protocolli e nell'ordine provider.

    Massimiliano

    martedì 29 novembre 2011 23:16
  • Scusate se riapro questo thread ma ai tempi, non avendo più avuto ragguagli dal cliente, davo la cosa per risolta. Ora mi ha richiamato per altri problemi e mi sono reso conto che è ancora nella stessa situazione.

    Ora ho cambiato la loro subnet in modo che non vi siano conflitti con altri nodi (come si vedeva nel route print che avevo postato ai tempi), ma il problema è sempre lo stesso: quando il cliente si collega alla VPN Cisco, il PC (XP SP3) segnala di non essere più in linea col server (SBS 2003). La cosa buffa è che, invece, Outlook risulta comunque in linea con Exchange.

    La subnet attuale è 192.168.6.0.

    Posto il nuovo route print con VPN connessa:

    ===========================================================================
    Elenco interfacce
    0x1 ........................... MS TCP Loopback interface
    0x20002 ...00 1d 92 25 b7 3f ...... Intel(R) PRO/100 VE Network Connection - Miniport dell'Utilità di pianificazione pacchetti
    0x30004 ...00 05 9a 3c 78 00 ...... Cisco Systems VPN Adapter - Miniport dell'Utilità di pianificazione pacchetti
    ===========================================================================
    ===========================================================================
    Route attive:
    Indirizzo rete             Mask             Gateway       Interfac.  Metric
              0.0.0.0          0.0.0.0      192.168.6.1    192.168.6.19      20
          10.168.28.0    255.255.252.0    10.168.29.233   10.168.29.233      20
        10.168.29.233  255.255.255.255        127.0.0.1       127.0.0.1      20
       10.255.255.255  255.255.255.255    10.168.29.233   10.168.29.233      20
           78.6.254.5  255.255.255.255      192.168.6.1    192.168.6.19      1
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1      1
          169.254.0.0      255.255.0.0     192.168.6.19    192.168.6.19      20
        192.168.0.137  255.255.255.255    10.168.29.233   10.168.29.233      1
          192.168.6.0    255.255.255.0     192.168.6.19    192.168.6.19      20
          192.168.6.2  255.255.255.255     192.168.6.19    192.168.6.19      1
         192.168.6.19  255.255.255.255        127.0.0.1       127.0.0.1      20
        192.168.6.255  255.255.255.255     192.168.6.19    192.168.6.19      20
        192.168.50.43  255.255.255.255    10.168.29.233   10.168.29.233      1
       192.168.60.184  255.255.255.255    10.168.29.233   10.168.29.233      1
            224.0.0.0        240.0.0.0    10.168.29.233   10.168.29.233      20
            224.0.0.0        240.0.0.0     192.168.6.19    192.168.6.19      20
      255.255.255.255  255.255.255.255    10.168.29.233   10.168.29.233      1
      255.255.255.255  255.255.255.255     192.168.6.19    192.168.6.19      1
    Gateway predefinito:       192.168.6.1
    ===========================================================================
    Route permanenti:
      Nessuno

    sabato 1 febbraio 2014 18:39
  • posta un ipconfig /all di questo client con la vpn connessa e scollegata.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 2 febbraio 2014 11:50
    Moderatore
  • Il 02/02/2014, Edoardo Benussi [MVP] ha detto :

    posta un ipconfig /all di questo client con la vpn connessa e scollegata.

    Praticamente identico a quello postato ai tempi, cambia solo la subnet locale:
     IPCONFIG NO VPN
    -------------------------------------------------------------

    Configurazione IP di Windows
           Nome host . . . . . . . . . . . . . . : PCXXX
          Suffisso DNS primario  . . . . . . .  : DOMINIOLOCALE.local
          Tipo nodo . . . . . . . . . . . . . .  : Ibrido
          Routing IP abilitato. . . . . . . . . : No
          Proxy WINS abilitato . . . . . . . .  : No
          Elenco di ricerca suffissi DNS. . . . : DOMINIOLOCALE.local
                                              DOMINIOLOCALE.local

    Scheda Ethernet Connessione alla rete locale (LAN):
           Suffisso DNS specifico per connessione: DOMINIOLOCALE.local
          Descrizione . . . . . . . . . . . . . : Intel(R) PRO/100 VE
    Network Connection
          Indirizzo fisico. . . . . . . . . . . : 00-1F-93-26-B8-3E
          DHCP abilitato. . . . . . . . . . . . : Sì
          Configurazione automatica abilitata   : Sì
          Indirizzo IP. . . . . . . . . . . . . : 192.168.6.19
          Subnet mask . . . . . . . . . . . . . : 255.255.255.0
          Gateway predefinito . . . . . . . . . : 192.168.6.1
          Server DHCP . . . . . . . . . . . . . : 192.168.6.2
          Server DNS . . . . . . . . . . . . .  : 192.168.6.2
          Server WINS primario . . . . . . . .  : 192.168.6.2
          Lease ottenuto. . . . . . . . . . . . : venerdì 31 gennaio 2014
    11.41.12
          Scadenza lease . . . . . . . . . . .  : sabato 8 febbraio 2014
    11.41.12
    -------------------------------------------------------------------

    IPCONFIG CON VPN
    -------------------------------------------------------------------
    Configurazione IP di Windows
           Nome host . . . . . . . . . . . . . . : PCXXX
          Suffisso DNS primario  . . . . . . .  : DOMINIOLOCALE.local
          Tipo nodo . . . . . . . . . . . . . .  : Ibrido
          Routing IP abilitato. . . . . . . . . : No
          Proxy WINS abilitato . . . . . . . .  : No
          Elenco di ricerca suffissi DNS. . . . : DOMINIOremoto.local
     <------ DIFFERENTE
                                              DOMINIOLOCALE.local

    Scheda Ethernet Connessione alla rete locale (LAN):
           Suffisso DNS specifico per connessione: DOMINIOLOCALE.local
          Descrizione . . . . . . . . . . . . . : Intel(R) PRO/100 VE
    Network Connection
          Indirizzo fisico. . . . . . . . . . . : 00-1F-93-26-B8-3E
          DHCP abilitato. . . . . . . . . . . . : Sì
          Configurazione automatica abilitata   : Sì
          Indirizzo IP. . . . . . . . . . . . . : 192.168.6.19
          Subnet mask . . . . . . . . . . . . . : 255.255.255.0
          Gateway predefinito . . . . . . . . . : 192.168.6.1
          Server DHCP . . . . . . . . . . . . . : 192.168.6.2
          Server DNS . . . . . . . . . . . . .  : 192.168.6.2
          Server WINS primario . . . . . . . .  : 192.168.6.2
          Lease ottenuto. . . . . . . . . . . . : venerdì 31 gennaio 2014
    11.41.12
          Scadenza lease . . . . . . . . . . .  : sabato 8 febbraio 2014
    11.41.12

    Scheda Ethernet Connessione alla rete locale (LAN) 4:
           Suffisso DNS specifico per connessione: DOMINIOremoto.local
          Descrizione . . . . . . . . . . . . . : Cisco Systems VPN
    Adapter
          Indirizzo fisico. . . . . . . . . . . : 00-05-9A-3C-78-00
          DHCP abilitato. . . . . . . . . . . . : No
          Indirizzo IP. . . . . . . . . . . . . : 10.168.30.193
          Subnet mask . . . . . . . . . . . . . : 255.255.252.0
          Gateway predefinito . . . . . . . . . :
          Server DNS . . . . . . . . . . . . .  : 192.168.50.32
                                              192.168.50.17

    domenica 2 febbraio 2014 14:16
  • questa è la situazione sul client che perde la connessione o l'altro ?

    comunque posta la stessa cosa anche dell'altro client


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 4 febbraio 2014 09:31
    Moderatore
  • Edoardo Benussi [MVP] ci ha detto :

    questa è la situazione sul client che perde la connessione o l'altro ?

    comunque posta la stessa cosa anche dell'altro client

    Dei tre PC presenti in rete, solo due usano la VPN e hanno entrambi lo stesso problema: quando è attiva la VPN, il PC risulta fuori linea (e le cartelle di rete risultano irraggiungibili) ma contemporaneamente Outlook risulta correttamente in linea con Exchange. Il server è un SBS 2003 e svolge tutti i ruoli (lo so, molti storceranno il naso...), per questo mi sembra strano che alcuni servizi siano raggiungibili ed altri no.

    martedì 4 febbraio 2014 13:25
  • di solito quando si attiva una connessione vpn, questa prevale sulla connessione di rete esistente e dirotta tutte le richieste su di essa (vpn). 

    se la vpn attivata non permette tutti i protocolli ma solo alcuni, ad esempio le porte di print e file sharing, ma non altri. ad esempio il pop, smtp, ecc.ecc. ecco che con la vpn attiva le richieste di accesso alle risorse di rete vanno sulla vpn mentre le altre richeste vanno sulla connessione lan.

    puoi verificare se questa vpn filtri i protocolli permettendo il passaggio solo di alcuni di essi ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 5 febbraio 2014 13:49
    Moderatore