Mein merkwürdiger VPN-Server

[Scherbe 10]

Hi,

 

ich habe seit längerem ein sehr seltsames Verhalten meines VPN-Servers (Windows 2003) bzw. bei der Verbindung dahin.

 

Der VPN-Server hat eine Öffentliche IP nach aussen und ist durch eine 3Com Firewall gesichert.

Die Clients, die eine Verbindung zu dem VPN-Server aufbauen wollen sitzen ebenfalls hinter einer Firewall aber haben nach aussen die selbe IP-Adresse (NAT).

 

Nun zu dem seltsamen Verhalten:

In den wenigsten Fällen können mehrere User eine VPN-Verbindung zu dem Server aufbauen...

Entweder kommt nur ein User rein oder durch Zufall mehrere wobei das letztere nur passiert, wenn sie kurz hintereinander (Abstand von wenigen Sekunden) es versuchen. Wenn eine größere Zeitspanne verstrichen ist, kommt kein anderer mehr rein, bis nicht derjenige, der atm die VPN-Verbindung aufgebaut hat, diese beendet. Selbst dann muss der nächste noch paar Minuten warten.

 

Sehr seltsam ist auch, dass meine Client-Maschine, die im selben Netzwerk wie die anderen Clients steht in 99% der Fäll eine Vebindung aufbauen kann. Selbst wenn jemand schon seit mehreren Minuten eine VPN-Verbindung aufgebaut hat und ich "Beschwerden" von den anderen Usern habe, dass sie grad keine VPN-Verbindung aufbauen können, kann ich es zu 99% sofort beim ersten Versuch. Die User aber weiterhin nicht...

Mein Client ist das selbe Betriebssystem und ich habe auf dem Client KEINE anderen Rechte oder sonstwas eingerichtet.

 

Ich weiß einfach nicht weiter, weil ich mir das nicht erklären kann. Bitte gebt mir paar Tips, wie ich endlich eine stabile VPN-Struktur hinbekomme.

 

MfG Scherbe

[=BT=Viper 11]

Sind die Clients, die sich per VPN verbinden alle an einem Standort?

[Scherbe 10]

Ja, sie befinden sich alle an dem 2. Standort... der, der mit NAT arbeitet und sie haben nach aussen hin alle die selbe IP.

 

MfG Scherbe

[=BT=Viper 11]

Und jeder Client baut einen extra VPN Tunnel auf? Denke das macht der NAT nicht mit.

Warum machst du nicht einen Tunnel von der Zweigstelle auf den dann alle nutzen?

[Velius 10]

Und jeder Client baut einen extra VPN Tunnel auf? Denke das macht der NAT nicht mit.

Warum machst du nicht einen Tunnel von der Zweigstelle auf den dann alle nutzen?

 

Doch, sollte es, wenn NAPT oder hide Nat unterstütz wird, was dieses NAT ja offensichtlich tut.

[=BT=Viper 11]

OK, trotzdem würde ich einen Tunnel für alle Clients nutzen ;)

[Velius 10]

OK, trotzdem würde ich einen Tunnel für alle Clients nutzen ;)

 

ACK ;)

[Scherbe 10]

Naja, das Problem ist, dass ich keine 2 gleichen Firewalls habe... dass eine VPN-verbindung, die die Firewalls aufbauen um längen besser ist, weiß ich...

 

Die andere Sache wäre ein weiterer Server am 2. Standort, der die VPN-Verbindung hält, allerdings weiß ich nicht ob dann die seltsamen Erscheinungen immernoch auftreten.

 

Also 2 Lösungsansätze:

- extra Server (bzw. ein vorhandener) baut VPN-Verbindung auf

- zusätzliche gleiche Fireall, die mit der vorhandenen eine VPN-Verbindung errichtet

 

... gibts noch alternativen?

 

MfG Scherbe

[Velius 10]

Welche Firewalls verwendest du denn? Cisco und Check Point können zum Beispiel miteinander. ;)

[=BT=Viper 11]

Ich würde einen 2. Server hinstellen, damit der das VPN macht. Ggf kannst du ihn dann auch als 2. DC verwenden.

[Scherbe 10]

Die 3Com Office 25 Firewall, die auf der einen Seite (wo der VPN-Server) ist, kann selbst kein VPN aufbauen... die andere (auf der Seite, wo die Clients stehen) ist dazu fähig.

 

MfG Scherbe