VPN-Zugriff

[scarabeo 10]

Hallo zusammen.

Ich bin schier am verzweifeln. Seit Tagen versuche ich 2 Notebooks eines Kunden per VPN an Server zu bringen, aber es gelingt einfach nicht.

Bin Im Bereich VPN auch noch ziemlicher Neuling.

Ich hoffe, irgendjemand kann mir helfen!

 

Server Win 2003

2 NIC (eine LAN, eine zu Router)

RAS/Routing aktiviert

Server steht in der RAS/Ias-Servergruppe

Benutzer mit Zugriffsrechten in der Gruppe VPN-Benutzer, die wiederum in den RAS-Einstellungen

 

Clients:

1 x Win XPPor, 1 x Win Vista Business

 

Um Routerprobleme erst mal auszuschließen versuche ich den Zugriff innerhalb de Netzwerk, was auch problemlos mit PAP und CHAP klappt.

Sobald ich MS-CHAP 2.0 versuche - Fehler 778 - Server wird nicht erkannt.

Im Netzwerkprotokoll meldet des Server nach Übertragung der Anmeldedaten "Success", aber die Antwort scheint den Client nicht zu gefallen.

Die Situation - mit PAP/CHAP ok, mit MS-CHAP20 nicht - ist innerhalb und ausserhalb des LAN die gleiche.

 

Wenn ich Versuche über Zertifikate (EAP) zuzugreifen, so meldet das XP-Notebook Fehler 691; Zugriff verweigert, weil Benutzername oder Kennwort ungültig. Bei Vista nur ein Fenster mit der Meldung:" Das Dialogfenster kann nicht geladen werden. Fehler 0x080420100" :confused:

Mir würde ja erst schon mal der Zugriff über MS-CHAP 2.0 ausreichen und ich verstehe einfach nicht warum das nicht hinhaut - hat jemand einen Tip?

 

Bin wirklich um jeden Hinweis dankbar! :cry:

[IThome 10]

Ist diese Authentifizierungsmethode auf dem Server überhaupt zugelassen (in der RRAS-Konsole Eigenschaften Server - Sicherheit - Authentifizierungsmethoden) ?

[scarabeo 10]

ja - und auch in der RAS-Richtlinie.

[IThome 10]

Poste bitte mal IPCONFIG /ALL des Servers. Ist der als NAT-Router konfiguriert ?

[scarabeo 10]

So - hat leider etwas gedauert, aber jetzt bin ich beim Kunden im Büro.

Hier die ipconfig:

 

Microsoft Windows [Version 5.2.3790]

© Copyright 1985-2003 Microsoft Corp.

 

C:\Dokumente und Einstellungen\Administrator>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : server09

Primäres DNS-Suffix . . . . . . . : ludwig.local

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : ludwig.local

 

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.61

Subnetzmaske . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . :

 

Ethernet-Adapter Fritz-Box:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Realtek RTL8139-Familie-PCI-Fast Ethernet

-NIC

Physikalische Adresse . . . . . . : 00-E0-7D-E5-32-D2

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.178.21

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.178.1

DNS-Server . . . . . . . . . . . : 194.97.173.124

194.97.173.125

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

 

Ethernet-Adapter LAN:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-19-99-42-7A-BF

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.1

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 192.168.0.1

 

Da ich einen Router verwende habe ich den Server nicht als NAT-Router konfiguriert - zumindest nicht wissentlich.

Vielleicht dumme Frage jetzt, aber wo würde ich das denn einstellen / erkennen?

 

Vielen Dank für die Hilfe

 

Stefan

[IThome 10]

Was hast Du denn für einen Assistenten ausgewählt ? Falls NAT konfiguriert ist, siehst Du das in der RRAS-Konsole unter IP-Routing. Konfiguriere auf der externen Karte, dass auch dort als bevorzugter DNS-Server die 192.168.0.1 steht. Konfiguriere auch nach dem folgenden Artikel, falls auf dem RRAS auch WINS/DNS installiert ist ...

Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Wenn das fertig ist und der Server einmal neu gestartet wurde, schauen wir weiter ...

[scarabeo 10]

So - alles gemacht ,ber leider hat sich nur die Fehlermeldung geändert:

Fehler 619 - es konnte keine Verbindung zum Remotecomputer hergestellt werden.

 

Woran kann das nun liegen?

 

Die Rechner im LAN können aber problemlos auf die Domäne zugreifen.

[IThome 10]

Macht er denn jetzt NAT oder nicht ?

Auf der externen Karte aktivierst Du ausschliesslich die Bindung für das Internetprotokoll (die anderen Haken raus). In der Bindungsreihenfolge setzt Du die interne Karte an die erste Stelle (Eigenschaften Netzwerkverbindungen - Erweitert - Erweiterte Einstellungen). Im DNS-Server konfigurierst Du, dass er nur auf der internen Adresse abhört, im DHCP-Server auch.

Danach deaktivierst Du den RRAS noch mal und startest dessen Assistenten neu, wählst VPN-Zugriff und NAT aus und deklarierst die externe Karte als öffentlich, legst die Adressvergabe fest (falls DHCP, musst Du die DHCP-Server Adresse noch im Relay Agent eintragen) und lässt den RRAS authentifizieren. Auf einem internen Client erzeugst Du dann eine neue VPN-Wählverbindung mit Standardeinstellungen, probierst es aus und meldest Dich dann noch mal ...

[scarabeo 10]

So - hier bin ich wieder.

Die Einstellungen NIC angepasst, RRAS neu konfiguriert und gestartet, neue VPN-Verbindung auf Client angelegt. Verbindung aufgebaut.

Ergebnis:

Fehler 778 - Die Identität des Servers konnte nicht verifiziert werden.

:cry:

HEUL!

[IThome 10]

Von intern ? Was hast Du denn als Authentifizierung ausgewählt ? Hast Du diesbezüglich etwas auf dem Server oder dem Client verändert ? Hört sich so an, als hättest Du RADIUS für die Authentifizierung ausgewählt ...

[scarabeo 10]

Habe ja einen neuen VPN-Zugang angelegt.

Dabei wählt XP unter Sicherheitsoptionen "Typisch" (was immer sich dahinter verbirgt) und "Sicheres Kennwort erforderlich".

Geändert habe ich am Server gar nichts. Einfach nur DHCP eingetragen - sonst nix.

[IThome 10]

Was steht in der RRAS-Konsole in den Eigenschaften des Server - Sicherheit bei Authentifizierungsanbieter und Kontoanbieter ?

[scarabeo 10]

Nein - Radius/IAS läuft auf dem Server gar nicht.

In der Standardeinstellung habe ich nichts geändert - also nur normale Windows-Authentifizierung.

–

wie gesagt - ausschlieslich Windows

[IThome 10]

Okay, also steht im RRAS Windows-Authentifizierung und Windows-Kontoführung ?! Und mit aktiviertem PAP auf dem Server und dem Client funktioniert der Zugriff ? Werden Meldungen in der Ereignisanzeige protokolliert ? Ist das eigentlich ein DC ? Oder ist das Member bzw. Standalone Server, der RRAS ausführt ? Welche Firewall läuft auf dem Server ?

[scarabeo 10]

Durch die DNS-Änderungen scheint aber deutliche Netzwerkaktivität entstanden zu sein.

Ist mir aufgefallen, weil alles im Netz etwas "verzögert" abläuft.

Im Netzwerkmonitor erscheint permanent folgender Eintrag mit unterschiedlichen UDP-Portangaben sowie immer wechselnden Quell- und Ziel- IPadressen:

 

1 0.743164 00199953296A LOCAL UDP Src Port: Unknown (20166); Dst Port: Unknown (22289); Length = 97 (0x61) 192.168.0.10 SERVER09 IP

–

Okay, also steht im RRAS Windows-Authentifizierung und Windows-Kontoführung ?!

 

Genau.

 

Und mit aktiviertem PAP auf dem Server und dem Client funktioniert der Zugriff ?

 

Ja, aber nur wenn am Client ausschließlich PAP ausgewählt ist.

 

Werden Meldungen in der Ereignisanzeige protokolliert ?

 

Am Server: Bei Verbindungsfehlschlag 20014, sonst 20088

Am Client bei erfolgreicher Anmeldung 20158 und 20159

 

Ist das eigentlich ein DC ?

 

Ja - ist DC.

Oder ist das Member bzw. Standalone Server, der RRAS ausführt ?

 

Welche Firewall läuft auf dem Server ?

 

Nur Firewall im Router. Am Server nur Windows-FW