Einzelne Ports sporadisch(!) nicht via VPN erreichbar

[Nordrouter]

Moin zusammen!

Ich habe ein Problem, auf das ich mir nicht recht einen Reim machen kann. Ausgangssituation wie folgt: Kleines Netz mit Windows-Domäne, darin ein Lancom 1790VAW mit aktueller Firmware (10.50). Glasfaser-Anschluss eines lokalen Anbieters, feste öffentliche IPv4. Es gibt einige Clients in div. Home Offices, die sich per Lancom Advanced-VPN-Client verbinden.

IM PRINZIP funktioniert das alles reibungslos. Wir haben kürzlich einen Terminal Server rausgeworfen, und die VPN-Clients arbeiten nun direkt mit den SMB-Freigaben sowie mit einigen Programmen (Warenwirtschaft, Mailsystem), die jeweils eigene TCP-Ports benutzen (4430, 267). Haben wir seinerzeit ausgiebig ausprobiert, funktionierte gut, auch bzgl. Geschwindigkeit.

Nun passiert (und das ist das Tückische: SPORADISCH) Folgendes: Einwahl ist problemlos möglich, Tunnel steht. PING auf Server 1 im LAN: alles gut. PING auf Server 2: alles gut. PING auf Server 3: Timeout. Zugriff auf die SMB-Freigaben auf Server 3 jedoch: Problemlos! Zugriff auf die anderen Ports (Wawi, Mailsystem) oder RDP-Verbindung auf Server 3: Timeout/klappt nicht!
Aus dem LAN heraus ist weiterhin alles super. Und man kann auch z. B. via VPN zu Server 2 eine RDP-Verbindung aufbauen und dann aus dieser Sitzung per RDP weiter auf Server 3 gehen. Kein Problem. Nur direkt via VPN halt nicht.

Ich habe natürlich zunächst im LAN geschaut, da sind aber nach meiner Kenntnis nirgendwo Firewalls o. ä. versteckt, die uns reingrätschen - schon gar nicht sporadisch. Der Router selbst läuft mit einer Standardkonfiguration, bei Inbetriebnahme wurden (jeweils per Assistenten) der Internet-Zugang sowie die VPN-Einwahlen eingerichtet, mehr nicht. Vorsorglich hat er auch eine 25-VPN-Verbindungen-Lizenz erhalten, in der Praxis sind aber selten mehr als 3-4 Leute gleichzeitig eingewählt. Hinter dem Router existiert ein simples Class-C-Netz.

Als überaus tückisch erweist sich die Fehlersuche, weil zwischendurch immer wieder mal alles sauber läuft. Beim letzten Mal hatte ich schnell einen Test-PC mit Shrew aufgesetzt und dort eine IKEv1-Verbindung aufgebaut, mit der klappte alles - allerdings musste ich direkt anschließend bei der normalen Einwahl mit Lancom-Client feststellen, dass es dort auch wieder funktionierte.

Ich mutmaße dennoch, dass irgendeine Art von "fehlgeleiteter Intelligenz" dahinter steckt. Insbesondere, weil im Problemfall ja offenbar alles in Richtung Server 3 geblockt wird (incl. PING) ABER die SMB-Freigabe trotzdem noch funktioniert. Das ist doch alles echt seltsam.

Hat jemand eine Idee, in welcher Richtung ich noch schauen könnte?

[Dr.Einstein]

Hm, klingt für mich irgendwie nach einem Adresskonflikt. Nutzt die Proxy ARP + IP Pool mit IP-Adressen aus dem gleichen Subnetz wie die hinterm Lancom Router? Anderen IP-Adressbereich?

Ich würde testweise auf eine feste Zuordnung je Client gehen (IP-Routing Tabelle, ein Eintrag je Client z.B. 192.168.50.10/255.255.255.255 VPN-Client1 usw) mit Adressen ungleich deines Zentralnetzes. Wichtig: Die Clients zählen dann für die Windowsfirewall als Fremdnetz.

[Nordrouter]

Rückmeldung in dieser Sache: Ich habe es in der Tat so gemacht, also manuell jedem VPN-Client eine feste Adresse zugewiesen, statt einen Adresspool zu verwenden. Stand heute (16.10.) trat das Problem beim Kunden nicht wieder auf.
Dunkel erinnere ich mich daran, etwas ähnliches vor vielen Jahren mal mit dem Lancom-Support gemacht zu haben. Gibt es an der Stelle also allgemein ein Problem, bzw. sollte man grundsätzlich mit einzelnen Adressen statt mit Pools arbeiten?
Besten Dank jedenfalls, das Problem scheint gelöst zu sein.