Remotedesktop schlägt fehl OWA funktioniert aber

[EDV-Horst 10]

Hallo Board-Team,

Ich habe hier einen SBS2003 Standard mit AD, DNS, etc laufen. Funktioniert alles einwandfrei bis auf die Einwahl von ausserhalb.

Ich kann den Server anpingen (Dyndns), kann auf OWA zugreifen. Aber ich kann keine VPN-Verbindung bzw. eine Remotedesktopverbindung herstellen.

Ich nutze eine Fritzbox 2170. Die Portweiterleitungen sind alle auf die Internet-Nic gerichtet. Deswegen geht ja auch das OWA :)

Kann mir einer weiterhelfen? Ich habe keine Lösungsvorschläge mehr!

 

Gruß der EDV-Horst

[IThome 10]

Was hast Du denn alles nach innen geleitet ? Und was ist auf dem SBS bezüglich VPN konfiguriert ? Mit welchem Protokoll verbindest Du Dich via VPN (L2TP/IPSec oder PPTP) ? Du kannst den Server anpingen oder meinst Du, dass Du den Router anpingen kannst ?

[EDV-Horst 10]

Servus,

also, ich habe nur das Nötigste eingestellt:

1. VPN Port 1723

2. RPC 3389

3. HTTPS 443

4. VNC, Pop, SMTP

 

VPN wird über RAS geregelt.

Verbindungstyp wird automatisch von Vista geregelt.

Das Witzige ist, dass ich bis auf die HW genau dieselbe Konfig woanders stehen habe und da geht alles ohne Probleme.

 

Wieso geht das OWA aber die Einwahl bzw. der externe Zugriff nicht :confused:

[IThome 10]

TCP 1723 reicht nicht, es fehlt noch GRE (IP-Protokoll 47), was man entweder explizit durchleiten oder über eine Routerfunktion wie VPN-Passthrough oder ähnlich zur Verfügung stellen kann.

Ist auf dem Server die Windows-Firewall an ? Funktioniert VPN und RDP von innen ? Ist RRAS installiert ? Eine oder 2 Netzwerkkarten im SBS ?

[EDV-Horst 10]

Also, Firewall ist wohl aus. Bekomme beim Zugriff unter Systemst.-Firewall eine Meldung, dass der Dienst nicht ausgeführt werden kann (Ipnat.sys).

Es sind 2 Karten installiert:

21 für intern

22 für extern (darauf zeigen die Weiterleitungen)

Routing und Ras ist aktiviert.

VPN und RDP intern funktionieren auch!

Ich habe (von der HW mal abgesehen) die gleiche Konfig noch wo anders stehen und dort funktioniert alles einwandfrei.

Gruß

[IThome 10]

Poste mal IPCONFIG /ALL des Servers ... So wie es aussieht, ist der RRAS installiert ...

[EDV-Horst 10]

Windoes-IP-Konfiguration

Hostname: xxx

Primäre DNS-Suffix: xxx.local

Knotentyp: unbekannt

IP-Routing aktiviert: Ja

Wins-Proxy aktiviert: Ja

DNS-Suffixsuchliste: xxx.local

 

interne Nic

IP: 192.168.0.21|24

DNS: 192.168.0.21

Primärer WINS: 192.168.0.21

 

Externe Nic

IP: 192.168.0.22|24

Gateway: 192.168.0.254

DNS: 192.168.0.21

WINS: 192.168.0.21

[IThome 10]

Nun ja, bei der Konfig wundert mich das irgendwie nicht ... ;) Prüfe mal, wie der RRAS konfiguriert ist (wahrscheinlich als NAT-Router). Du musst unterschiedliche IP-Adressbereiche für intern und extern haben oder auf eine Karte verzichten und den SBS ohne NAT-Routing laufen lassen. Wenn Du beide Karten benutzt, dann konfiguriere die interne auf 192.168.0.1/24 und die externe auf 192.168.1.1/24 z.B. Bevor Du das machst, deaktiviere den RRAS. Auf der externen Karte entbindest Du alles ausser Internetprotokoll. Du musst die IP-Adresse des Routers auf den 192.168.1.0/24 Bereich ändern. Ausschliesslich auf der externen Karte wird das Default Gateway eingetragen (die neue Adresse des Routers). In der Bindungsreihenfolge stellst Du die interne Karte als erste Karte. Als DNS-Servers trägst Du auf beiden Karten die interne IP-Adresse als bevorzugten DNS-Server ein. Wenn Du das gemacht hast, startest Du den RRAS-Assistenten und wählst NAT/VPN aus, wobei Du die externe Karte als öffentlich deklarierst. Die internen Clients bekommen die interne IP-Adresse des SBS als Default Gateway (der SBS steht also zwischen den internen Clients und dem Router). Auf dem RRAS musst Du jetzt noch unter Dienste und Ports die entsprechenden Umleitungen für Deine Ports konfigurieren (die Ports, die auf dem Router zur externen Schnittstelle weitergeleitet werden). Wenn Du Dich via VPN verbindest, musst Du nur die VPN-Ports nach innen leiten (auf dem Router wie auf dem SBS). Wenn die Verbindung besteht, bist Du quasi intern und kannst RDP usw. benutzen. Alles andere wäre sicherheitstechnisch sehr bedenklich ...

[EDV-Horst 10]

Hmm, hört sich eigentlich logisch an, was Du schreibst.

Aber wieso funktioniert das dann auf dem anderen Server? Das verstehe, wer will...

Also, 2 Teilnetze?!?! Ok, werde ich probieren, wenn das Büro leer ist.

Ich dank Dir schon mal für Deine schnelle und kompetente Hilfestellung.

 

Ich melde mich auch, wenn alles geklappt hat. Andernfalls muss ich mich ja melden :wink2:

 

Frohe Ostern vom EDV-Horst!

[EDV-Horst 10]

PS:

Wo kann ich kontrollieren, ob RRAS als Nat konfiguriert ist?

[IThome 10]

In der RRAS-Konsole unter IP-Routing - NAT/Basisfirewall ...

[EDV-Horst 10]

Jaja, da steht was...

Dann werd ich heute Abend mal basteln...

 

Gruß

[IThome 10]

Hab noch was vergessen: Wenn Du DHCP zur VPN-Adressvergabe benutzt bzw. eine statische Range innerhalb des internen Adressbereiches, wirst Du Probleme mit der Namensauflösung bekommen ...

Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS