Probleme mit Remotedesktopverbindung

[Fellyboy 10]

Hallo zusammen

 

Habe für meine Diplomarbeit eine Testumgebung aufgebaut. Die Testumgebung habe ich ins Netzwerk unserer Firma integriert. Das heisst die drei Server sind mit einem Hub verbunden und dieser wiederum ist via Uplink mit einem Switch des bestehenden Netzes verbunden. Alle drei Rechner haben statische IP-Adressen unseres Netzes. Jedoch sind sie in einer separaten Domäne (Name: RSA).

 

System 1:

Server mit ACE/Server, Routing und RAS Server, DNS und ACE/Agent (auf Windows Server 2003 SE)

 

System 2:

Server mit IIS 6.0 und ACE/Agent for Web (auf Windows Server 2003 SE)

 

System 3:

Workstation mit Daten, um den Zugriff auf z.B. einen Terminalserver zu simulieren (Windows XP SP2)

 

Ich habe alle User so eingerichtet, dass sie eine Remotedesktopverbindung herstellen können. Auch auf den einzelnen Rechnern habe ich die Erlaubnis für den Zugriff via Remotedesktop erteilt (Firewall ist keine aktiviert, welche den Zugang blockieren könnte).

 

Nun zum Problem…

Auf meinem Rechner zu Hause (Win XP SP1) wähle ich mich auf System 1 ein (zuerst Einwahl ins Internet und anschl. VPN-Verbindung mit SecurID). Ich gebe Benutzername und Passcode ein, werde erfolgreich authentifiziert und kann danach eine Remotedesktopverbindung auf den Server 1 herstellen und mit auch dort erfolgreich einloggen.

Eine Verbindung auf System 2 oder 3 ist via Remotedesktop nicht möglich! Wenn ich aber auf Server 1 eine Remotedesktopverbindung öffne zu System 2 oder 3, dann funktioniert dies ohne Probleme?!

 

Nun das kuriose: wenn ich mich am Terminalserver der ZEIT AG anmelde (via VPN-Verbindung aber ohne SecurID) und anschliessend eine Remotedesktopverbindung zu System 2 oder 3 herstelle, funktioniert das.

Also mittlerweile ist mir klar wieso das über den Terminalserver in Netz geht. Ist ja klar ich melde mich dort an und bin im Netz. Meine Testrechner befinden sich ja auch im selben Netz - "nur" ne andere Domäne. Drum funktionierts -> ganz logisch! Aber eben bei solchen Problemen vernebelts dir die Birne *hihi*...

 

Irgendwas scheint da also nicht richtig zu „laufen“?! Liegt wohl an der Vermischung der beiden Netze – sprich Domänen, oder nicht?!

 

Bei einem Zugriff auf 2 + 3 muss meiner Ansicht nach erst eine Abfrage der Authentifizierung auf 1 geprüft werden und danach

erst eine Erlaubnis zum anmelden an 2 + 3 "freigegeben" werden?

 

Wo könnte sonst der Fehler liegen?!

Komisch ist ja, dass ich mich auf System 2 und System 3 mit der SecurID Verbindung nicht anmelden kann….

 

Besten Dank für die hilfreichen Tipps und Tricks

 

MfG

Markus

[zuschauer 10]

Hi Fellyboy !

Anscheinend fehlen auf dem Einwahlserver (System 1) die Routen zu System 2 und 3 für das Subnetz, das Du den VPN-Clients übergibst.

[Fellyboy 10]

Guten Morgen

 

Hm jetzt musst du mir weiterhelfen? Welche Einträge meinst du genau? Und wo muss ich diese einrichten?

[zuschauer 10]

Hi !

Dazu müßtest Du beschreiben, was für ein Subnetz die VPN-Clients bekommen, anscheinend eins, daß den anderen beiden Servern nicht bekannt ist.

 

Dazu wär noch interessant, welches default gateway die 3 Server eingetragen haben.

 

Für mich sieht es so aus, daß auf System 2 und 3 "gesagt" werden muß, wo sie den VPN-Client finden !

[Fellyboy 10]

Alle drei Rechner sind im selben Subnetz und haben den gleichen Standard Gageway. Folgendes ist aber noch zu sagen. Auf System 1 sind 2 Netzwerkkarten eingebaut (für den VPN-Gateway). Dort hat ich mal die Meldung, dass ich nicht zwei Mal der gleiche default gateway eintragen soll. Eintrag konnte jedoch gespeichert werden...

 

Ja wird wohl so sein seitens von SecurID. Entweder müssen die "Clients" den VPN-Gateway mit dem ACE/Server von RSA kennen oder umgekehrt. Und das scheint ja wohl momentan nicht der fall zu sein ;-)

 

MfG Fellyboy

[zuschauer 10]

Ich glaub jetzt vorerst nicht, daß es an SecureID liegt (kenn ich aber nicht).

Bekommen denn die VPN-Clients auch IP aus dem gleichen Subnetz, in dem die 3 Server stehen - oder aus einem anderen Subnetz ?

[Fellyboy 10]

Die drei Rechner haben wie gesagt IP's aus dem gleichen Subnetz. Zugriff geschieht von mir zu Hause aus. Bin somit nicht in diesem "Netz". Wähle mich dazu zuerst ins Internet und baue anschl. die VPN-Verbindung zu System 1 mit SecurID auf. Danach wird eine Remotedesktopverbindung gestartet.

[zuschauer 10]

Ja, und was für eine IP wird Dir vom VPN-Server zugewiesen - eine aus dem gleichen Subnetz, in dem die 3 Server stehen oder eine IP aus einem anderen Subnetz ?

[Fellyboy 10]

Hm da bin ich jetzt ehrlich gesagt "überfragt". Vo krieg ich das raus- was für ne IP ich vom VPN-Gateway bekomme?

 

Ich krieg ja sicher vom I-Net Provider ne IP für meinen Adapter... beim Rest brauch ich Nachhilfe ;-)

[Fellyboy 10]

Der RAS Server ist auf der System 1. Dieses RAS Server verteilt ja nun die eigenen IP Adressen. Aber diese sind auf System 2 und 3 nicht bekannt.

Hab mich nun auch ein wenig schlau gemacht. Folgendes sollte klappen...

Variante 1:

auf Server 2 und 3 ein route netras mask defaultgateway hinzufügen

oder Variante 2:

auf der RAS server das RIP Protocol einschalten. Damit werden die RAS Adressen auf allen Servern automatisch verteilt.

 

Was meint ihr dazu?

 

Hab monentan noch keine Zeit dies zu testen. Werde dies dann heute Nachmittag / Abend erledigen!

 

MfG

Markus

[zuschauer 10]

Ja, genau das hatte ich vermutet.

 

Das RIP-Protokoll laß jetzt mal beiseite.

 

Auf den Servern der System 2 und 3 muß eine zusätzliche Route eingetragen werden, damit sie wissen, wie sie dem VPN-Client antworten müssen.

 

Der Hop zu diesem VPN-Client ist der VPN-Server mit seiner internen LAN-IP. Wenn Du mal Klartext posten würdest, könnte man den erforderlichen route - Befehl auch posten ! :rolleyes:

[Fellyboy 10]

Hätt ich nur schon früher auf dich gehört - tztz Schande über mich ;-)

 

Also mit dem Befehl route add <IP> mask <subnet-mask> <IP-VPN-Gateway> -p (für permanent)

 

Hab in Anhang ein ipconfig /all vom Server 1. Hab dort 2 Netzwerkkarte wegen dem RRAS-Server. Vom Server 2 und 3 habe ich keine Verbindung auf diesen PPP Adapter (ping erfolglos). Dafür brauch ich ja diese Route...

 

Reicht dies?!

[Fellyboy 10]

das mit dem route add funktioniert nicht!

 

Hab ja nun das Problem, dass ich IP's von 2 verschiedenen Netzen habe (10.144.9.X und 10.144.3.X)

 

Aus diesem grund funktioniert dies mit der Maske 255.255.255.0 nicht. Änderung auf 255.255.248 hat auch nichts gebracht. Habe ja somit immer noch den VPN-Gateway (10.144.9.88) im anderen Netz...

[zuschauer 10]

Dann poste doch endlich mal ganz konkret, welche Subnetze Du verwendest, für die 3 Systeme und die VPN-Clients (mit Subnetzmaske).

 

Du hast nur ein Routingproblem, aber die richtigen Routen kann man Dir nur posten, wenn das Netz beschrieben wird ! :rolleyes:

[Fellyboy 10]

Also es sieht wie folgt aus:

 

System 1 (VPN-Gateway: RRAS von MS):

- LAN-Adapter 1

IP: 10.144.3.166

Subnetz: 255.255.240.0

Standardgateway: 10.144.1.1

 

- LAN-Adapter 2

IP: 10.144.9.88

Subnetz: 255.255.240.0

Standardgateway: 10.144.1.1

 

- PPP-Adapter (von SecurID)

IP: 10.144.3.167

Subnetz: 255.255.240.0

Standardgateway: 10.144.1.1

 

System 2 (Webserver: IIS 6.0):

- LAN-Adapter 1

IP: 10.144.3.170

Subnetz: 255.255.240.0

Standardgateway: 10.144.1.1

 

System 3 ("Datenserver"):

- LAN-Adapter 1

IP: 10.144.3.165

Subnetz: 255.255.240.0

Standardgateway: 10.144.1.1

 

Zugriff auf die Systeme:

Einwahl ins Internet und anschl. VPN-Verbindung (von MS Win XP) auf Server 1. Danach Remotedesktopverbindung.

 

Mehr Infos im Anhang! Sonst nur konkret nach mehr Infos fragen - dann werden diese geliefert!

 

MfG

Markus