Jump to content

Zweigstellenrouting Server 2008 VPN via RRAS und NPS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe ein seltsames Verhalten auf den Servern...

 

Ich richte auf 3 Servern an jeweils anderen Standorten Routing und Ras ein.

 

Die Standorte haben LAN-IP´s 192.168.2.0, 5.0 und 6.0 / 24

 

Diese werden mit PPTP verbunden.

Die Einwahl der Schnittstelle für wählen bei Bedarf funktioniert aber nur manchmal. Der Standort spielt hierbei keine Rolle. Mal hier, mal da.

Richte ich ganz normal eine VPN-Verbindung im Netzwerk- und Freigabecenter ein, funktioniert die Einwahl immer!

Auch von Clients außerhalb gibt es keine Probleme!

 

Er bleibt immer bei "Verbindungsherstellung" hängen.

 

Der Benutzer "SYSTEM" hat eine Verbindung mit dem Namen "Hauptstelle" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. ...Ursachencode:0

 

Quelle RasClient , ID 20277

 

Hat jemand hierzu eine Idee?

 

Kann es daran liegen, dass ich die WAN-Netzwerkkarte mit NAT betreibe? Hier kann ich das GRE-Protokoll nicht weiterleiten, sondern nur TCP 1723...

Konfiguration jeder Stelle: Internet -> Router mit NAT (QSC) -> Netzwerkkarte im Server 2008 "WAN" mit NAT und Portforwarding auf die IP der WAN-Schnittstelle...

bearbeitet von rt1970
Link zu diesem Kommentar

Was hat ICS mit seinem Fall zu tun gehabt? (Internet Connection Sharing oder?)

 

Was passiert, wenn ich auf dem Server im RRAS auf der WAN-Netzwerkkarte (an das Internet angeschlossene, öffentliche Schnittstelle) jetzt den Haken "NAT auf dieser Schnittstelle verwenden" raus nehme? Bleiben die Portweiterleitungen? Fliege ich aus dem Internet?

Frage deshalb, weil der Server ca. 50 km weit weg steht und ich mit Teamviewer arbeite...

Link zu diesem Kommentar
  • 2 Wochen später...

Hat nichts gebracht....

Das Routing und RAS des Server´s scheint auf "wackeligen Beinen" programmiert worden zu sein.

Die letzten Tage stand die Verbindung bis heute: Über RRAS keine Einwahl möglich: "Verbindung wird hergestellt" - und sonst nichts...

Irgendwann hatte ich eine Verbindung, aber kein Ping. Die Routingtabelle stimmte auch nicht. Daraufhin habe ich die Verbindung gelöscht und neu angelegt.

Ging immer noch nicht "Schnittstelle nicht verfügbar - Index 33" oder so ähnlich...

Die Routen waren immer noch auf eine Einwahlverbindung gebunden, die ich schon längst gelöscht hatte.

Das Ganze ging erst wieder nach einem Serverneustart. RRAS-Dienst neu starten reichte nicht!

 

Hat jemand ähnliche Erfahrungen?

Kann es mit "gebündelten Leitungen" zusammenhängen (2x 2MB SDSL)?

QSC meinte, dass die Ports korrekt weitergeleitet wurden:

ip nat static-napt tcp 192.168.0.1 1723 self 1723

Irgendwie fehlt mir aber das GRE-Protokoll und/oder PPTP Passtrough oder?

Wie sollte das auf dem Router eingetragen werden?

Link zu diesem Kommentar
  • 1 Monat später...

Wir haben ein ähnliches Problem und finden bisher keine zufriedenstellende Lösung:

  • Wir haben zwei Standorte mit drei VPN-Tunneln verbunden.
    Der eine ist "ständig" online, der andere erduldet täglich die Telekom-Zwangstrennung.
  • Da wir L2TP verwenden, darf an keinem der Standorte der TMG über NAT erreichbar sein, d.h. er muss "direkt im Internet" hängen.
    Das haben wir sichergestellt, denn beide TMGs gehen über ein DSL-Modem direkt ins Netz.
  • Von Zeit zu Zeit bricht mindestens einer dieser Tunnel zusammen (vermutlich alle drei bei Zwangstrennung),
    und dann kann mindestens einer davon nicht wieder aufgebaut werden.
  • Es SCHEINT so, als versuche die Seite, die nicht getrennt wurde ("Standleitung"), sofort die Verbindung wieder herzustellen.
    Das klappt aber nicht, da sich die zwangsgetrennte Seite ja zunächst wieder "einwählen" muss.
    Hierbei scheint sie sich aufzuhängen: Sie steckt fest in der "Verbindungsherstellung";
    wenn man "Trennen" und danach "Verbinden" wählt, klappt das in aller Regel.

Ist es tatsächlich denkbar, dass das "Routing & RAS" das nicht von allein macht? Gibt es da einen "Deadlock".
Das fände ich allerdings sehr peinlich für Microsoft... und ärgerlich für uns Anwender!

 

Aber viel wichtiger: Was kann man dagegen tun?

Es gibt ja nur die EInstellung "Wählen bei Bedarf"; ich kann nicht einmal "Persistente Verbindung" auswählen, weil der TMG dies sofort zurückstellt.

Und eine Einstellung für eine regelmäßige Trennung (wie es die Fritzbox bot), um der Zwangstrennung zuvorzukommen, kennt der TMG auch nicht...

 

Weiß jemand Rat? Dann schon jetzt ein dickes Danke!

bearbeitet von pichocki
Link zu diesem Kommentar

Hi, Daniel.

 

Danke für den Tipp, und: Ja, das wäre eventuell eine Möglichkeit, zumindest was das RRAS angeht. Aber das Problem, das ich dabei sehe, ist die Tatsache, dass das RRAS nicht mehr "allein steht", sobald es mit dem TMG zusammen arbeiten muss. Der merkt sich ja alle Einstellungen in seiner "Konfiguration", und sobald ich "von außen", also direkt in der RRAS-Konsole, eine Änderung vornehme, macht der TMG diese rückgängig nach dem Motto: "Nur ICH habe hier noch das Sagen"... also ist alles, was nicht im TMG einzustellen ist, nun gar nicht mehr einzustellen. Oder siehst Du das anders?

Link zu diesem Kommentar

Ich meinte nicht, dass Du etwas an der Konfiguration extern änderst, sondern z.B. das rasdial-Utility nutzt, um die Verbindung per Batch zu trennen und neu zu verbinden. So kannst Du der Zwangstrennung per Aufgabenplanung zuvorkommen und zu uterschiedlichen Zeiten die drei Leitungen umstellen. Kann man auch z.B. mit einem ping-Test auf die jeweils andere Seite kombinieren und automatisieren.

 

Ich habe jetzt TMG seit drei Jahren nicht mehr in der Hand gehabt, deswegen kann ich leider nicht mehr soviel zu der Konfiguration von RRAS und VPN sagen. 

 

@rt1970: Die Serverpublizierungsregeln habt ihr auch mal gecheckt? Niht das sowas hier bei Euch zutrifft: http://blogs.technet.com/b/isablog/archive/2009/12/08/rras-ports-are-not-created-after-enabling-vpn-on-isa-server-2006.aspx

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...