VPN kann via DFÜ DynDnsDom nicht anpingen

[Gerre 10]

Hallo :)

Hoffe, Ihr hattet schöne Weihnachten ;)

 

Ich habe da folgende Situation:

 

Ich möchte von meinem Schlepptop, PI 233Mhz, mit Win98 eine VPN-Verbindung zu meinem Büro aufbauen.

 

Wenn ich mich mit ISDN ins Internet einwähle, kann ich meine DYN-DNS-Domäne jedoch nicht anpingen und bekomme auch keine Verbindung, ebenso beim Ping auf die IP-Adresse der DDYN-DNS-Dom.

Internet selbst funktioniert, und ich kann auch z. B to-online.de mit Erfolg anpingen, aber nicht meine DynDNS.

 

Wenn ich den Schlepptop ins Büro-LAN hänge, kann ich die DYN-DNS-Domäne pingen, sofern keine DFÜ-Verbindung aufgebaut ist, denn sobald ich dies tue, läuft der Ping wieder in den Timeout.

 

Von meinem Büro-PC funktioniert der Ping ebenfalls.

 

Firewall-Software ist auf dem Laptop keine installiert.

 

Lokales LAN mit 1 PC (XP-Home) und 1 Schlepptop (Win98), WLAN-Router als Inet-Router und DHCP Siemens SE515, ISDN-Anlage T-Eumex 220 PC USB.

 

 

Vielleicht habt Ihr ja 'ne Lösung.

 

 

Folgende Konfiguration Schlepptop:

 

Windows 98 IP-Konfiguration

Hostname . . . . . . . . . : SCHLEPPI.home

DNS-Server . . . . . . . . : 195.50.140.252

145.253.2.75

161.100.100.1

Knotentyp . . . . . . . . . : Broadcast

NetBIOS-Bereichs-ID . . . . :

IP-Routing aktiviert. . . . : Nein

WINS-Proxy aktiviert. . . . : Nein

NetBIOS-Auflösung mit DNS . : Nein

 

0 Ethernet Adapter :

Beschreibung. . . . . . . . : PPP Adapter.

Physische Adresse . . . . . : 44-45-53-54-00-00

DHCP aktiviert. . . . . . . : Ja

IP-Adresse. . . . . . . . . : 212.144.208.166

Subnet Mask . . . . . . . . : 255.255.255.0

Standard-Gateway . . . . . . : 212.144.208.166

DHCP-Server . . . . . . . . : 255.255.255.255

Erster WINS-Server . . . . :

Zweiter WINS-Server . . . :

Gltig seit. . . . . . . : 01.01.80 00:00:00

Gltig bis . . . . . . . : 01.01.80 00:00:00

 

1 Ethernet Adapter :

Beschreibung. . . . . . . . : PPP Adapter.

Physische Adresse . . . . . : 44-45-53-54-00-01

DHCP aktiviert. . . . . . . : Ja

IP-Adresse. . . . . . . . . : 0.0.0.0

Subnet Mask . . . . . . . . : 0.0.0.0

Standard-Gateway . . . . . . :

DHCP-Server . . . . . . . . : 255.255.255.255

Erster WINS-Server . . . . :

Zweiter WINS-Server . . . :

Gltig seit. . . . . . . :

Gltig bis . . . . . . . :

 

2 Ethernet Adapter :

Beschreibung. . . . . . . . : 10/100 Fast Ethernet PC Card

Physische Adresse . . . . . : 00-10-60-3B-8B-53

DHCP aktiviert. . . . . . . : Ja

IP-Adresse. . . . . . . . . : 161.100.100.3

Subnet Mask . . . . . . . . : 255.255.255.240

Standard-Gateway . . . . . . : 161.100.100.1

DHCP-Server . . . . . . . . : 161.100.100.1

Erster WINS-Server . . . . :

Zweiter WINS-Server . . . :

Gltig seit. . . . . . . : 30.12.04 11:19:28

Gltig bis . . . . . . . : 02.01.05 11:19:28

 

Ping im LAN:

PING wird ausgefhrt fr it-pc-individuell.dyndns.org [80.131.122.184] mit 32 Bytes Daten:

Antwort von 80.131.122.184: Bytes=32 Zeit=2ms TTL=255

Antwort von 80.131.122.184: Bytes=32 Zeit=1ms TTL=255

Antwort von 80.131.122.184: Bytes=32 Zeit=1ms TTL=255

Antwort von 80.131.122.184: Bytes=32 Zeit=1ms TTL=255

 

Ping-Statistik fr 80.131.122.184:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 1ms, Maximum = 2ms, Mittelwert = 1ms

 

 

Ping im DFÜ:

PING wird ausgefhrt fr it-pc-individuell.dyndns.org [80.131.122.184] mit 32 Bytes Daten:

Zeitberschreitung der Anforderung.

Zeitberschreitung der Anforderung.

Zeitberschreitung der Anforderung.

Zeitberschreitung der Anforderung.

 

Ping-Statistik fr 80.131.122.184:

Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 (100% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

[zuschauer 10]

Hi Gerre und Willkommen im Board !

 

Ich kann Deinen Adresse it-pc-individuell.dyndns.org auch nicht anpingen. Es liegt also nicht an Deinem Notebook, sondern an dem Server im Büro.

Eventuell ist dort nur ICMP geblockt nach außen - hast Du denn schon versucht, eine VPN-Verbindung aufzubauen ?

[Gerre 10]

Der Router war so konfiguriert, daß er nicht auf Pings antwortete.

Kann jetzt zwar pingen, bei der Einwahl bekomme ich jedoch Fehler 678 Der Remotecomputer hat nicht rechtzeitig reagiert. Ich solle die angegebene IP-Aresse oder die Modemverbindung überprüfen, was sich bei einem erfolgreichen fortlaufenden Ping aber erübrigt.

 

Habe auf Schleppi in den VPN-Einwahl Eigenschaften unter Servertypen die erweiterten Optionen "Am Netzwerk anmelden", "Softwarekomprimierung", "Verschlüsseltes Kennwort" und "Datenverschlüsselung" aktiv, da ich auf dem Büro-PC in den Eingehenden Verbindungen angegeben habe, daß Anrufer die Daten und Anmelduing verschlüsseln soll.

[zuschauer 10]

Ist der Router so konfiguriert, daß ankommende VPN-Verbindungen an diesen PC weitergeleitet werden ?

[Gerre 10]

In der Router-Konfigufration kann ich sogenannte DMZ-Hosts definieren.

Laut Router-Dokumentation steht DMZ für "Demitilirizied Zone"

 

Momen, tippe es mal ab (geschütztes PDF-Dokument)

[Gerre 10]

Abschrieb aus Dokumentation:

 

*************************************

DMZ

Demilitiarized Zone

 

DMZ bezeichnet einen Bereich eines Netzwerks, der sich außerhalb der Firewall befindet. Eine DMZ wird quasi zwischen einem zu schützenden Netzwer (z. B. einem LAN) und einem unsicheren Netzwerk (z. B. dem Internet) eingerichtet. Eine DMZ ist sinvoll, wenn Sie im Internet Server-Dienste anbieten möchten, die aus Sicherheitsgründen nicht innerhalb der Firewall laufen sollten, oder wenn Internet-Anwendungen hiner einer Firewall nicht richtig arbeiten. Eine DMZ erlaubt den uneingeschränkten Zugriff aus dem Internet für nur eine oder wenige Netzwerkkomponenten, während die anderen Netzwerkkomponenten sicher hinter der Firewall bleiben.

************************************

 

Ich habe eben mal meinen Büro-PC in die DMZ (wird unter NAT-> DMZ eingerichtet) aufgenommen, und siehe da, die VPN-Einwahl gelingt und ich kann über die Netzwerkumgebung problemlos auf meinen PC via DMZ zugreifen.

 

Die frage bleibt natürlich ob ich das will. Es muß doch auch ohne DMZ gehen.

Ich meine, ich nutze zwar die XP-Eigene Firewall, aber eigentlich ist mir das schon etwas zu unsicher.

 

Unter NAT->Virtual Server habe ich den Port 1723 eingerichtet.

 

PVC-Name Ankommender Dienste Der Dienst wird umgeleitet an

Name Quell-IP Ext. Port PC-Name Int. Port

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 BšRO-SERVER 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 BšRO-SERVER 4763

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 Schleppi 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 Schleppi 4763

pppoe_1_32 DameWare (TCP) ALL 6129 BšRO-SERVER 6129

pppoe_1_32 VPN (TCP) ALL 1723 BšRO-SERVER 1723

 

DynDNS ist eingerichtet

 

DDNS aktivieren Aktiviert Deaktiviert

 

Internet-Verbindung: pppoe_1_32

Benutzername: xxx

Passwort: xxx

Domain-Name: xxx

Status: Aktualisierung erfolgreich

 

Firewall IP-Filter

 

WAN Port Ping Reply: Aktiviert

IP-Paket-Filter: Aktiviert

 

Richtung des Datenverkehrs: Eingehend

 

Protokoll Quell-IP-Adresse Ziel-IP-Adresse Portbereich Zulassen

TCP Quelle:ALL Ziel:ALL Port:1723

[zuschauer 10]

Mmh,

erstmal, Deine NAT-Konfiguration für emule kann nicht funktionieren.

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 BšRO-SERVER 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 BšRO-SERVER 4763

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 Schleppi 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 Schleppi 4763

Der Router kann die ankommenden Verbindungen auf genau einen PC im LAN weiterleiten, nicht auf zwei.

 

Wahrscheinlich wird die Weiterleitung auf Schleppi ignoriert.

 

Aber zurück zum Thema:

Du schreibst, wenn Du den VPN-Server in die DMZ stellst, geht es.

Wenn Du nur die NAT-Einstellungen konfigurierst, geht es nicht - das unterstell ich jetzt, weil Du das so explizit nicht geschrieben hast.

 

Das Problem ist, für eine VPN - Verbindung, die Du da aufbauen willst (PPTP), ist nicht nur der TCP Port 1723 notwendig, sondern auch ein zusätzliches Protokoll (GRE).

Wenn das über Deine NAT-Einstellungen nicht funktioniert, mußt Du Deinen VPN-Server (Büro-PC) zwangsweise in die DMZ des Routers stellen.

 

Das liegt dann aber an Software Deines Routers.

[Gerre 10]

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 BšRO-SERVER 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 BšRO-SERVER 4763

pppoe_1_32 eMule (TCP) ALL 4000 - 5000 Schleppi 4753

pppoe_1_32 eMule (UDP) ALL 4000 - 5000 Schleppi 4763

 

Ich bekomme so auf jeden Fall auf Server und Schleppi 'ne hohe ID.

 

Zum Thema:

Zitat:

"Du schreibst, wenn Du den VPN-Server in die DMZ stellst, geht es.

Wenn Du nur die NAT-Einstellungen konfigurierst, geht es nicht - das unterstell ich jetzt, weil Du das so explizit nicht geschrieben hast."

 

Genauso ist es.

 

Du schreibst, ich brauche noch das Protokoll (GRE).

Hast Du die Ports dafür zufälliger Weise im Kopf? Falls nicht, geh' ich sie mir suchen.

 

Was macht dieses Protokoll GRE? Hör ich zum ersten Mal.

[zuschauer 10]

Hi Gerre !

PPTP funktioniert über Port 1723 TCP und zusätzlich über GRE.

 

Auf Port 1723/TCP erfolgt nur die Authorisierung, der Rest läuft über GRE.

 

Router, die VPN-Pass-trough-fähig sind, konfiguriert man im Allgemeinen so, daß der Port 1723/TCP auf einen bestimmten Client im LAN weitergeleitet wird, und der Router dann automatisch GRE auch auf diesen Client weiterleitet.

 

Bei Deinem Router scheint das aber nicht der Fall zu sein.

Das Portforwarding für 1723 (NAT) reicht anscheinend nicht, damit der Router auch GRE an diese IP weiterreicht.

 

Als Alternative haben die Hersteller wohl das Einstellen des Hostes in die DMZ vorgesehen, wo es dann auch funktioniert.

 

Wenn Du bei diesem Router bleiben möchtest, bleibt Dir wohl nur, Deinen VPN-Server in die DMZ zu stellen.

 

PS: Wie Du auf BüroServer ud Schleppi eine hohe ID bei eMule bekommst, ist mir allerdings schleierhaft !

[Gerre 10]

Hallo Zuschauer,

Der Router scheint Pass-Trough nicht zu unterstüzen. Habe auf deden Fall mal nix in der Doku gefunden. Werd dann wohl morgen noch Norten Firewall draufklatschen müssen.

 

habe da noch 'ne Sache.

Als ich die VPN-Einwahl erfolgreich testete, hatte ich auf Server in den eingehenden Verbindungen die Fuktion "Benutzer müssen ihre Kennwörter und Daten sicher" deaktiviert.

Wenn die Funktion aktiviert ist, stellt der Schleppi zwar 'ne Verbinung her, bleibt aber dann komplett stehen.

Habe dieses Update, was unter http://www.uni-muenster.de/ZIV/Rech...SE/W98-98SE.htm zu finden ist danach installiert, brachte aber keine Besserung.

Scheinen sich mit Verschlüsselung wohl nicht zu vertragen.

Habe auf dem Client jetzt zumindest die Kennwort-Verschlüsselung aktiviert.

 

Bin soweit also drin, Fernsteuerung mit DameWare funktioniert auch.

 

Zum Anzeigen der Computernamen brauche ich wohl WINS-Server, wie ich in einem anderen Thread gelesen habe, bzw. die lmhost.

 

Werd ich mich morgen drum kümmern.

 

Danke Dir auf jeden Fal und wünsch Dir noch ne gute Nacht und 'nen guten Rutsch ins neue Jahr, aber bitteschön ohne Flutwelle, eher mit 'ner Kanu-Rodeo-Welle.

 

Tschüs :p