VPN Server

[edv life 10]

Hallo,

 

habe folgendes Problem. Soll für unseren Verein eine VPN-Verbindung über W2K Server realisieren. Lt. Beschreibung der Assistenten in W2K ja einfach, Routing und RAS ausführen und müßte gehen, aber denkste.

 

Also folgendes zur Konfiguration:

 

W2K mit 1 NIC 192.168.10.1

Dort läuft der Routing und RAS-Dienst über Assistent konfiguriert. Darin ist DHCP genutzt um Adressbereich .20 - .29 für RAS zu verwenden.

 

Der Server hängt hinter einem Router, an dem TCP IP Port 1723 und 47 auf den Server gemappt sind.

 

Und jetzt das komische: Anmeldung klappt. IP's werden aus dem korregten Bereich zugewiesen. Allerdings kommt vom Server überhaupt kein Traffic auf den Client zurück- Der Client bleibt mehrfach bei 399 bytes stehen.

 

Am Client kann es aber nicht liegen, habe mehrere ausprobiert.

 

Wer hat noch eine Idee ? Bitte Hilfe.

 

Danke, Leif Bürkle

[Jim di Griz 13]

hast du routen auf dem Server definiert, oder ist da evtl als Standardgateway oder aehnliches der Router vermerkt?

[edv life 10]

Danke für die schnelle Antwort.

 

Also: Für eine ISDN-gestützte VPN Verbindung benötige ich dort Routen, die ich im Moment am gekillt habe.

 

Der Router ist als Standardgateway eingetragen, als DNS der W2K Server, der gleichzeitig auch PDC ist.

 

Bin in dem Fach relativ neu, was müßte ich da wohin routen ? Auf dem Server oder auf dem Client ?

 

Danke !

 

Leif Bürkle

[grizzly999 11]

So wie ich das sehe, brauchst du am Server nur den Router als DG eintragen.

Du schreibst: "Anmeldung klappt". Du meinst, Benutzernamen, Kennwort, Domäne, das alles geht am Client? Dann müsste aber auch der Rest gehen. Was geht denn genau nicht? ping? Zugriff auf Resourcen? Fehlermeldung am Client? Ereignis Logs am Client, am Server?

 

grizzly999

[Jim di Griz 13]

So wie ich das sehe, brauchst du am Server nur den Router als DG eintragen.

 

hmmmmm auf dem Server laeuft aber RAS, da muss die Defaultroute im RAS definiert sein glaub ich sonst gabs stress.

 

Allerdings kommt vom Server überhaupt kein Traffic auf den Client zurück- Der Client bleibt mehrfach bei 399 bytes stehen.

 

wer sendet wieviel an wen? und wer empfaengt wieviel?

[edv life 10]

Also:

 

Der Client kann sich am Server mittels Anmeldung identifizieren, die Anmeldung wird dort auch akzeptiert. IP's dann für den Server zugewiesen und der Client bekommt auch eine.

 

Dann geht schon der Ping auf die Server-IP von Seiten Client nicht mehr. :mad:

 

Eine Prüfung ob ich auf freigegebene Resourcen komme, war also gar nicht möglich. Was ist ein DG ? Defaultgateway ?

 

Gruß Leif Bürkle

[grizzly999 11]

DG=Defaultgateway, korrekt.

Ist auf dem Client ICS an, oder eingehende Verbindung eingerichtet?

Steht was in den Logs?

 

grizzly999

[edv life 10]

Also,

 

im Client Ereignisprotokoll ist nur im Systemprotokoll als Information vermerkt, mit welchem User über was verbunden wurde.

 

Im Server ist rein gar nichts eingetragen.

 

DG ist im NIC eingetragen, muß das irgendwo anders noch eingetragen werden ?

 

Gruß Leif

[edv life 10]

Achso, was ist ICS ? Ist das die Internetfreigabe ? Die wäre dann nicht genutzt. Händische DFÜ-Verbindung des Clients ins Internet.

 

Danke.

[grizzly999 11]

Langsam gehen mir ohne davorsitzen die Ideen aus :(

Nächste Idee: verhindern RAS Eingabe/AusgabeFilter was? Sonst was in den RAS-Profilen eingestellt?

 

Dann gäbe es die Möglichkeit, das Tracing einzuschalten und in den erzeugten Logs nachzuschauen. Wie man es einschaltet steht hier:

http://support.microsoft.com/default.aspx?scid=kb;en-us;313564

 

grizzly999

[Jim di Griz 13]

Hallo?

 

DG ist im NIC eingetragen, muß das irgendwo anders noch eingetragen werden ?

 

nimms da mal raus......... und dann trags unter RAS als statische Route ein

[Jim di Griz 13]

Sobald deine Clients angemeldet sind, sind sie mit IP im Netz und der Server sendet Pakete an Sie ueber die Lokale Netzwerkverbindung. die Defaultroute DORT verweist aber auf den Router, der die Pakete aber nicht liefern kann, da die Firewall alles sperrt. deswegen kommen die Leute rein und bekommen keine Daten.

[Jim di Griz 13]

Oerks sorry fuer ......... und dann trags unter RAS als statische Route ein ......NUR ZUM TESTEN

 

Das Problem ist, das deine Clients im selben Subnetz sind, traegst du NIC als DG ein geht alles hierdrueber und die Clients kriegen nichts mit. traegst du die VPN-Verbindung ein geht auch dein ganzer lokaler Verkehr ueber diese, was performance/sicherheitstechnisch mist ist. Zwei Interfaces mit demselben Subnetz zu definieren hoert sich irgendwie verboten an.

[edv life 10]

Hi Jim di Griz,

 

vielen Dank für Tipps. Effekt war, daß der Server nicht mehr ins Internet gekommen ist. Ansonsten war VPN-mäßig alles beim Alten.

 

grizzly999, habe die traces für ras aktiviert, allerdings dort nichts brauchbares finden können. Hast Du mir einen Tip, nach was ich Ausschau halten muß ?

 

Ich finde das alles sehr sehr merkwürdig. Kann es unter Umständen noch was mit DHCP oder DNS zu tun haben ? Eigetlich ja nicht, denn dann müßte ja mindestens der Ping tun, was er auch nicht macht.

 

Danke.

 

Leif