Candy 27 Geschrieben 29. Dezember 2009 Melden Teilen Geschrieben 29. Dezember 2009 Hallo, ich möchte gerne in einer Testumgebung eine VPN Verbindung einrichten um die Zusammenhänge und die Funktionen besser zu verstehen. Ziel soll es sein, dass ich mich mit dem Notebook über das vorhandene Benutzerkonto und Kennwort bei der bestehenden Domain anmelden kann. Testumgebung: Windows Small Business Server 2003 mit eingerichteter Domain(Name: test0815) und Kaspersky Open Space Security Sicherheitssoftware, Linksys Router der die Internetverbindung (DSL) herstellt. Ein Notebook Windows XP pro SP3 und Mitglied der Domain im LAN. Ich habe mich an folgende Konfigurationsanleitung für den Server gehalten. SO WIRD'S GEMACHT: Installieren und Konfigurieren eines VPN-Servers in Windows Server 2003 Einen Punkt habe ich anders gestaltet; Ich habe „alternative Konfiguration“ bei der RAS Konfiguration gewählt, weil der Server nur eine Netzwerkschnittstelle besitzt(RAS ist jetzt aktiviert). Für das ausgewählte Benutzerkonto was sich über die VPN mittels Notebook anmelden soll, habe ich auf der Registerkarte „Einwählen“ des Benutzerkontos „Zugriff erlauben“ konfiguriert. Darüber hinaus habe ich mir einen account bei DynDNS angelegt und einen Host konfiguriert(test.go.dyndns.org). Auf dem Server und Notebook läuft die DynDNS Updater Software. Auf dem Notebook habe ich standardmäßig eine VPN Verbindung konfiguriert und den DynDNS Host Namen als Server eingetragen. Am Router habe ich noch nichts verändert. Auch bei der Server Sicherheitssoftware habe ich noch nichts konfiguriert. Grund: Ich verstehe nicht ganz wie der RAS Dienst mit dem Router zusammen arbeitet und was ich jetzt genau öffnen muss um meine Konfiguration zum Ziel zu bringen. Muss der Router die Verbindung zum DynDNS Host aufrecht erhalten, oder übernimmt das der Server mit der Updater Software von DynDNS? Sodass der Router es nur zum Server weiter leiten muss? Was ist dort besser und sicherer? Danke für Eure Unterstützung! Zitieren Link zu diesem Kommentar
calibra22 10 Geschrieben 29. Dezember 2009 Melden Teilen Geschrieben 29. Dezember 2009 Hallo, für eine Weiterleitung des VPN-Tunnels auf den Server mußt du im Router folgende Ports weiterleiten auf den Server: TCP 1723 UDP 1701 Außerdem muß dein Router das Protokoll GRE "verstehen" können. Dieses Protokoll muss ebenfalls auf den Server weitergeleitet werden. Wenn du den RAS-Dienst mit einer Netzwerkkarte konfiguriert hast, wirst du nur den "VPN-Zugriff" gewählt haben oder? Bei dieser Einstellung ist der RAS-Dienst so konfiguriert, dass er alle Anfragen durchläßt, d. h. er blockt nichts! Was er blocken sollte, mußt du anlegen. Da du aber eine Sicherheitssoftware installiert hast, mußt in dessen Firewall (wenn du sie nicht deaktivieren willst) die Ports, die ich oben genannt habe, ebenfalls durchlassen. Sollten Fragen sein...schreiben :-) schönen Tag und viel Spass beim Probieren! Michael Zitieren Link zu diesem Kommentar
calibra22 10 Geschrieben 29. Dezember 2009 Melden Teilen Geschrieben 29. Dezember 2009 nochmal ich :-) zweiter Teil der Antwort: Muss der Router die Verbindung zum DynDNS Host aufrecht erhalten, oder übernimmt das der Server mit der Updater Software von DynDNS? Sodass der Router es nur zum Server weiter leiten muss? Wenn dein Router die Möglichkeit besitzt, einen DYNDNS zu hinterlegen mußt du deinen Router nur so konfigurieren, dass er keine Trennung nach Inaktivität macht. Sollte dies dein Router nicht unterstützen, muss auf den Server der Updater laufen, da sonst keine Verbindung zum Internet hergestellt ist, und du somit auch nicht von aussen auf deinen Server zugreifen kannst. jetzt aber :-) Tschüss... Michael Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Wenn Du PPTP nutzen möchtest, musst Du TCP 1723 und IP-Protokoll 47 (GRE) nach innen leiten. GRE verbirgt sich oft hinter "PPTP-Passthrough" oder "VPN-Passthrough". UDP 1701 musst Du nicht nach innen leiten, da Du ja wahrscheinlich kein unverschlüsseltes L2TP nutzen möchtest. Willst Du allerdings L2TP/IPSec benutzen, musst Du UDP 4500 (IPSec NAT-Traversal) und UDP 500 (IKE) nach innen leiten ... Der DYNDNS-Updater der Dyndns-Seite ist inkompatibel mit Server 200x (steht auch auf der Seite) ... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Mark hat ein kleines HowTo Online gestellt: VPN Einwahl mit Zertifikaten Evtl. hilft dir das ja weiter. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Gibt es auf Serverhowto.de auch ... Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Gibt es auf Serverhowto.de auch ... Und der OP hat die Qual der Wahl. ;) Nein, beide HowTos haben ihre Daseinsberechtigung und helfen beim verstehen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Sehe ich auch so, sind ja beide sehr gut ... :) Zitieren Link zu diesem Kommentar
Candy 27 Geschrieben 30. Dezember 2009 Autor Melden Teilen Geschrieben 30. Dezember 2009 Hi, ersteimal Danke für die Hilfe! Wenn Du PPTP nutzen möchtest, musst Du TCP 1723 und IP-Protokoll 47 (GRE) nach innen leiten. GRE verbirgt sich oft hinter "PPTP-Passthrough" oder "VPN-Passthrough".... Mein Router(Linksys WAG200G) unterstützt DDNS, somit ist die Updater Software für den Server hinfällig. Und es funktioniert auch problemlos. Zum Test habe ich erst einmal alle Port geöffnet( 500. 4500, 1723, 1701) Wo ich jetzt ein wenig fest hänge ist die Geschichte mit dem GRE Protokoll, PPTP Passthrough. Dazu kann ich auf dem Router keine Einstellungen finden. Muss das direkt als frei zu gebender Eintrag auf dem Router vorhanden sein? Zitieren Link zu diesem Kommentar
XP-Fan 219 Geschrieben 30. Dezember 2009 Melden Teilen Geschrieben 30. Dezember 2009 Hi, schau mal im Handbuch oder unter Security > VPN Passthrough Zitieren Link zu diesem Kommentar
Candy 27 Geschrieben 30. Dezember 2009 Autor Melden Teilen Geschrieben 30. Dezember 2009 Gefunden, Danke! Zitieren Link zu diesem Kommentar
Candy 27 Geschrieben 3. Januar 2010 Autor Melden Teilen Geschrieben 3. Januar 2010 Hi, den RAS Dienst auf dem Server habe ich wie im ersten post konfiguriert. Alternative Konfiguration, weil nur eine Schnittstelle vorhanden ist(VPN-Zugriff). Beim Router: DYNDNS eingerichtet und Verbindung ist erfolgreich. VPN Passthrough--> Einstellung PPTP Passthrough steht auf aktiviert. Zum Test habe ich erst einmal alle Port's geöffnet( 500. 4500, 1723, 1701) Ich bin mir bei dem Router nur nicht sicher ob sie auch auf sind. Man kann die Ports eintragen, ein Häckchen bei aktiviert setzen, aber wenn ich auf Einstellungen speichern klicke, sind die Häckchen bei aktiviert wieder entfernt. Deswegen bin ich mir nicht 100%ig sicher, ob sie offen sind. Wenn ich mit dem Notebook im internen LAN verbunden bin, kann ich mich mit Hilfe der VPN und der internen IP Adresse des Servers einwählen. Versuche ich es extern mit dem DynDNS Namen, oder auch mit der vergebenen ISP IP vom DSL Anschluss des Servers kommt immer die Fehlermeldung 800. Wie könnte ich jetzt überprüfen ob die Ports frei sind(bzw. nur der eine für PPTP)? Und wie könnte ich es überprüfen ob die Firewall des Servers anfragen vom Router an den RAS Dienst zulässt? Danke für eure Unterstützung. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 3. Januar 2010 Melden Teilen Geschrieben 3. Januar 2010 Wenn ich mit dem Notebook im internen LAN verbunden bin, kann ich mich mit Hilfe der VPN und der internen IP Adresse des Servers einwählen. Versuche ich es extern mit dem DynDNS Namen, oder auch mit der vergebenen ISP IP vom DSL Anschluss des Servers kommt immer die Fehlermeldung 800. Dann klappts wohl noch nicht wie gewünscht. Wie könnte ich jetzt überprüfen ob die Ports frei sind(bzw. nur der eine für PPTP)? Von einem anderen Internetzugang aus testen. Alles andere klappt nicht. Und wie könnte ich es überprüfen ob die Firewall des Servers anfragen vom Router an den RAS Dienst zulässt? Probiers von einem zweiten Zugang aus. Kann ja eine analoge Modemverbindung sein. Zitieren Link zu diesem Kommentar
Candy 27 Geschrieben 4. Januar 2010 Autor Melden Teilen Geschrieben 4. Januar 2010 O.k. das teste ich nochmals aus. Ich versuche es ja über die gleiche Benutzeranmeldung wie intern in der Domain. Kann ich eigentlich auch ein anderes Notebook für die Einwahl benutzen? Also ein anderes Gerät was nicht in der Domain unter Computer aufgeführt wird? Oder ist das egal, Hauptsache ich habe Benutzernamen und Kennwort? Zitieren Link zu diesem Kommentar
Candy 27 Geschrieben 7. Januar 2010 Autor Melden Teilen Geschrieben 7. Januar 2010 Hat im Test alles gut geklappt. Danke für eure Untersützung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.