VPN mit Server hinter einem Router - bin mit Latein am Ende

[av.ka 10]

Hallo!

 

Folgende Ausgangssituation:

 

2k3 Server mit aktivierten TS-Diensten

IP: 192.168.14.2

DLink DSL Router DI604 (HW:D1)

Ports 1723 und 3389 sind freigegeben (bzw. zeigen auf den Server)

NO-IP eingerichtet und funktioniert auch

 

W2k Pro als Client

ISDN-DFÜ Verbindung mit PPTP

 

Ich baue mit dem Client eine Verbindung ins Internet auf, und dann die VPN Verbindung zum Server. Das funktioniert auch, ich kann mich anmelden und am Server sehe ich unter den RAS-Clients meinen Client.

 

Dann geht's aber nicht weiter. Ich kann mit net use keine Laufwerke verbinden. Starte ich die Remotedesktopverbindung, sucht er den Server eine Weile und bricht ab mit der Meldung, daß der Server nicht erreicht werden kann, da entweder das NEtz oder der Server überlastet ist.

 

Der Witz ist der:

Ich habe hier einen W2K Server stehen, mit einem älteren Modell des DLink 604 (1/2 Jahr), und da funktioniert das einwandfrei. Und der Router hat nicht mal Port 3389 freigegeben.

 

Ich habe alle Einstellungen verglichen, sowohl am Router als auch am Server unter RRAS. Auch in den diversen Foren finde ich nichts, was mich weiterbringt.

 

Ich vermute jetzt schon fast, daß es am Router liegt und der irgendwelche Pakete nicht durchläßt.

 

Hat hier schon mal jemand dieses Problem erfolgreich gelöst?

 

Welcher Router ist denn für diesen Zweck gut geeignet und Praxistauglich?

 

Bin für alle Denkanstöße dankbar :wink2:

 

Annette

[Wildi 10]

Hallo Annette,

 

wenn ich das richtig gelesen habe, versuchst Du zunächst mit dem Client eine VPN Verbindung über Deinen Router zu Deinem Server aufzubauen und dann eine TS-Sexxion zu starten.

 

Wenn Du eine VPN Verbindung aufbaust, geht das alles über Port 1723. Auch wenn Du dann eine TS-Session öffnest. Das heißt, den Port 3389 kannst Du eh wieder schließen.

 

Da Du ja vom VPN Server scheinbar authentifiziert wirst (also Du kommst zumindest dahin) könnte ich mir vorstellen, dass das was mit dem Routing oder der Namensauflösung zu tun hat.

 

Welche IP hat Dein Server, respektive Dein LAN und welche IP erhält der PPP am Client, wenn Du die Verbindung aufbaust.

 

Gruß

Roland

[Wildi 10]

Sorry habs gerade überlesen.

 

Server 192.168.14.2

Somit Dein Lan 192.168.14.x ????

 

Jetzt wäre die IP des Client beim PPP interessant und, wie der Client seine IP dazu erhält. Per richtigem DHCP oder RRAS "DHCP"

[av.ka 10]

Hallo!

 

Ich hatte zuerst die Adresse mit "echtem" DHCP vergeben lassen, jetzt habe ich aber eingestellt, daß das RRAS eine Adresse aus dem Bereich 192.168.14.201 - 210 vergibt.

 

Der Client hat dann die Adresse 206

 

Server hat die 192.168.14.2, Netmask ist 255.255.255.0

 

Ich habe am Client außerdem ausgeschaltet, daß das Gateway der Verbindung verwendet wird.

 

Da fällt mir noch was ein:

 

Im RRAS habe ich unter Allgemein das Netzwerk stehen, und dann noch eine Zeile "Intern" - für was ist die denn gut?

 

Gruß,

Annette

[Wildi 10]

Original geschrieben von av.ka

Hallo!

 

 

Ich habe am Client außerdem ausgeschaltet, daß das Gateway der Verbindung verwendet wird.

 

 

Hä, das Gateway ausgeschaltet? Das kannst doch ned machen, er muss doch wissen, wo er die Anfragen hinschickt, nämlich auf seine eigene Netzwerkkarte. Der Client müsste somit auch die Subnetmask 255.255.255.255 haben

 

Gruß

Roland

[av.ka 10]

Hallo Roland!

 

Hmmm, das blöde ist, daß es vorher auch schon nicht ging, und ich es dann ausgeschaltet habe, um zu testen.

 

Noch 'ne Idee ?

 

Viele Grüße

Annette

[grizzly999 11]

Hi Annette,

 

also wie wildi schon sagte, den Port 3389 kannst du am Router wieder rausnehmen, soll ja verschlüsselt drüber gehen.

 

1) Kannst du den VPN-Server mit seiner virtuellen IP-Adresse anpingen? (Ich denke ja)

 

2) Kannst du ihn mit seinem Computernamen anpingen (serverx)

 

3) Kannst du ihn mit seinem FQDN anpingen (serverx.meinedomäne.de)?

 

4) Wie versuchst du das Laufwerksmapping bzw. Remotedesktop? Mit IP oder Name. Wenn mit Name der Fehler kommt, geht es mit der virtuellen IP?

 

So weit mal.... ;)

 

grizzly99

[av.ka 10]

Hallo Grizzly!

 

Den 3389 habe ich wieder zu gemacht.

 

Ich weiß nicht, was Du mit virtueller IP-Adresse meinst. Welche ist denn das?

 

 

Ich habe jetzt das komplette RRAS noch mal gelöscht und neu konfiguriert.

 

Dazu bin ich auf benutzerdefinierte Konfiguration gegangen und habe im folgenden Fenster DFÜ-Zugriff und VPN Zugriff ausgewählt.

 

Die IP-Adresse wird jetzt wieder vom DHCP Server zugewiesen und ist für den Client zur Zeit die 107. Ein Ping vom Server auf den Client funktioniert!

 

In den Eigenschaften des Servers ist unter Allgemein

 

Aktiv: Router - LAN und bei Bedarf wählendes Routing

Aktiv: RAS-Server

 

IP Routing ist auch aktiviert

 

 

Ich habe jetzt mal verschiedene Pings getestet (alle mit der Fehlermeldung "Zeitüberschreitung der Anforderung).

IP des Servers: 192.168.14.2

IP des Routers: 217.236.121.92

 

Wenn ich den Servernamen anpinge, löst er mir den in eine IP-Adresse 192.168.14.109 auf

Pinge ich 192.168.14.109 an, wieder Zeitüberschreitung.

 

 

Hier mal die Rückmeldung von ipconfig/all:

 

PPP-Adapter "vpn zu servername":

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP-aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.14.107

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 192.168.14.107

DNS-Server. . . . . . . . . . . . : 192.168.14.2

 

PPP-Adapter ":ISDN Wählverbindung

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP-aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 145.254.204.83

Subnetzmaske. . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 145.254.204.83

DNS-Server. . . . . . . . . . . . : 145.253.2.196

145.253.2.81

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

 

 

Der PC von dem aus ich teste, hängt selbst in einer anderen Domäne und bekommt seine IP dort per DHCP zugewiesen. Kann das damit zusammenhängen?

 

 

Gruß, Annette

[grizzly999 11]

Der PC von dem aus ich teste, hängt selbst in einer anderen Domäne und bekommt seine IP dort per DHCP zugewiesen. Kann das damit zusammenhängen?

Nein, denn die VPN-Verbindung bekommt ja eine passende IP vom VPN-Server.

Die virtuelle IP ist übrigens die IP mit der 192.168.14.X, die der VPN-Server sich und dem VPN-Client zuweist. Und die Namensauflösung funktioniert auch, der Server hat sich wie es aussieht auf der externen Schnittstelle die 109 gegeben.

 

Ein ping vom Server auf den Client funktioniert, aber anders herum nicht? Dann hast du vielleicht auf dem VPN die Firewall aktiviert?

 

Kannst du kurz beschreiben, mit welchen Clicks bzw. Auswahlen du den VPN eingerichtet hast?

 

grizzly999

[av.ka 10]

Hi!

 

Das ging ja schnell :-))))

 

Ich habe vorhin das RRAS neu konfiguriert:

 

Im 1. Fenster "benutzerdefinierte Konfiguration" gegangen und habe im folgenden Fenster DFÜ-Zugriff und VPN Zugriff ausgewählt.

 

Das war's eigentlich schon.

 

In den Eigenschaften des Servers ist unter Allgemein

 

Aktiv: Router - LAN und bei Bedarf wählendes Routing

Aktiv: RAS-Server

 

IP Routing ist auch aktiviert

 

 

Reicht das, oder brauchst Du noch mehr Infos?

 

Annette

[av.ka 10]

Noch mal ich!

 

Ich habe in einem anderen Beitrag von Dir folgende Bemerkung gefunden:

 

"Grundsätzlich muß der Router zusätzlich zum Forwarden des Ports 1723 auch das IP-Protokoll 47 weiterleuíten können (GRE-Pakete)."

 

Ich kann beim D-Link Router den Port 47 nicht weiterleiten. Unter Virtual Server kann ich nur unter TCP und UDP wählen - kann es das sein?

[grizzly999 11]

Das sieht gut aus, von der Einrichtung her gesehen. Da werden so keine Filter gesetzt und die Verbindung sollte tadellos klappen.

ich habe hier keine Probleme mit dieser Konfiguration, werde es aber noch mal testen.

 

Oh, sehe gerade, dass du noch einen Anhang geschrieben hast.

Mit dem Port hast du was durcheineander gebracht: es geht nicht um den PORT 47, sondern um die Protokollnummer 47. Das sind die eingekapselten und verschlüsselten GRE-Pakete. Aber diese pakete weiterleiten, das tut dein Router ja, denn die Verbindung baut der Client ja problemlos und ohne Fehlermeldung auf, und Verkehr kommt auch zustande (Namensauflösung klappt).

 

Ich muss hier mal testen......

 

 

grizzly999

[av.ka 10]

Jaja, zu viel mit Ports und Protokollen am späten abend ;-)

 

Ich meinte ja, daß ich Protokoll 47 nicht weiterleiten kann. Ich habe gerade noch den Thread von vor 2 Wochen gefunden, da ging es ja auch um VPN Passthrough. Ich gehe also mal davon aus, der der DLink das brav macht.

 

Ich dachte mir ja auch, daß das so wie es ist klappen sollte :(

 

Na denn ... bin mal gespannt, was Du rauskriegst.

 

Danke auf alle Fälle mal bis hierher :-)

 

Annette

[grizzly999 11]

Habe schnell eine Testumgebung aufgebaut, andere IP-Adressen halt, und kein Router dazwischen. Was soll ich sagen, es funktioniert, wie es sollte.

 

Was jetzt der nächste Schritt wäre, ist auf beiden Seiten, Client und Server, einen Netzwerkmonitor laufen zu lassen und zu sehen, geht beim Client überhaupt was raus beim pingen und kommt beim Server überhaupt was an. Mitlesen kann man eh' nicht viel, da verschlüsselt (Mist-VPN :D ), aber nur um zu sehen, ob da was geht.

 

Und ich muss mal morgen in Ruhe die bisherigen Details des Threads gedanklich in Ruhe sortieren. Vielleicht findet ja auch jemand anders zwischenrein die Lösung ....

 

 

grizzly999

[grizzly999 11]

Welches Netz hat eigentlich die "andere" Domäne, die in der der Client hängt?

 

Kannst du auch mal die Routingtabelle des Clients nach Einwahl posten (als kleiner aber lesbarer Screenshot vom CMD-Fenster)?

 

grizzly999