VPN Probleme

[Pro20 10]

Ich habe jetzt mal NAT/BASISFIREWALL hinzugefügt! und probier das mal aus!!

[IThome 10]

Falls Du wieder Probleme hast, kannst Du ja einen Rechner mal via Crossover an die externe Schnittstelle Deines Servers hängen und es von dort probieren (dann hast Du eine mögliche Fehlerquelle weniger) ...

[Pro20 10]

Hi, was muß ich den bei meinen Router noch beachten!

 

Was mich nur nicht in den Kopf will, ist wenn ich VPN wähle komme ich immer bis zur Benutzeranmeldung aber dann antwortet der Server nicht mehr! und es kommt fehler 721

Filter sind so konfiguriert das er alles aktzipiert und das gleich gilt für ausgehenden Traffic.

[IThome 10]

Ich schätze, weil GRE nicht durchkommt, hast Du den Test mit dem Crossover mal gemacht ? Wenn das funktioniert, weisst Du, dass Dein Server richtig konfiguriert ist. Du suchst Dir ja sonst nen Wolf ...

Heisst der wirklich Netgear DG 836 ?

[Pro20 10]

Kann ich leider zurzeit nicht testen, mache die Softwareeinstellungen alle Remote!

Wie finde ich den heraus das der Router das blockt?

[IThome 10]

Kann ich leider zurzeit nicht testen, mache die Softwareeinstellungen alle Remote!

Wie finde ich den heraus das der Router das blockt?

 

Achso, schade, ich kenne diesen Router nicht, der muss doch irgendwo eine Loggingfunktion haben. Du hast auch gesagt, dass Du VPN-Passthrough aktiviert hast, gibt es da eine spezielle Einstellung ? Heisst der Router wirklich DG 836 (sowas habe ich bei Netgear nicht gefunden) ?

Was grundsätzliches

http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prior_transaction_id=1272145&action_code=5&highlight_info=16777287,85,99&turl=http%3A%2F%2Fkbserver.netgear.com%2Fkb_web_files%2FN101495.asp&answer_id=170928823#__highlight

http://kbserver.netgear.com/kb_web_files/n101222.asp

http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prior_transaction_id=1272145&action_code=5&highlight_info=16777292,128,131&turl=http%3A%2F%2Fkbserver.netgear.com%2Fkb_web_files%2FN101500.asp&answer_id=170928837#__highlight

Wenn ich einen Draytek NAT-Router als Zugangsrouter benutze und sich hinter diesem Gerät der eigentliche VPN-Server befindet (Watchguard XCORE-Reihe oder 2003 Server), dann muss ich bei diesem Gerät die VPN-Funktionalität ausschalten (Dein Router kann nicht terminieren, daher brauchst Du diesen Schritt nicht tun). Dann muss ich entweder ein Portforwarding zur externen Schnittstelle meines VPN-Gateways einrichten (TCP 1723 - PPTP,UDP 500 - IKE, UDP 4500 - NAT-T, UDP 1701 - L2TP) oder ich muss die externe Schnittstelle des Gateways als DMZ-Host festlegen. Und dann rennt das ...

[Pro20 10]

DG834GB, sorry Tippfehler

[IThome 10]

So wie ich das aus der englischen Beschreibung gelesen habe, musst Du nur Port TCP 1723 zur externen Schnittstelle Deines Servers (also nach innen) forwarden (GRE wird nicht explizit angegeben). Also korrigiere Deine Regeln, so dass TCP 3389 - RDP und TCP 1723 - PPTP nach innen geleitet werden und nichts weiter. Falls Du Deinen Server schon auf NAT umgestellt hast, musst Du die Umleitung dieser Ports ebenfalls einstellen (wie in einem der vorherigen Posts beschrieben).

[Pro20 10]

Wie gesagt ich habe eine Firewallregel die "Alle Ports" auf meinen Server weiterleitet, wie gesagt Remote über die Seite geht ja, aber VPN nicht. Irgend eine Einstellung muß am Server falsch sein und ich finde es einfach nicht!

Ich komme ja auch mit der "WinVPN-Software" auf den Server bis zur Kennwortabfrage, aber da der Server nicht antwortet kommt immer Fehler712 Server antwortet nicht.

 

ich habe überall xxx.dynalias.com angeben kann das probleme geben?

[IThome 10]

Den Alias gibst Du eigentlich nur auf Deinem Client an und natürlich in der DYNDNS-Konfiguration des Routers (so ist es zumindest auf dem Draytek). Im Portforwarding des Routers und des Servers tauchen nur Ports und interne, private Adressen auf .

[Pro20 10]

Was geb ich den bei den Zertifikaten an?

DYNDNS ist auf dem Router eingestellt. Macht er auch.

 

Bei den IP-Routing -> NAT/Basisfirewall stehen bei mir die Schnittstellen: "LAN-Verbindung des Servers; intern; 1394" ist das korrekt?

[IThome 10]

In der NAT/Basisfirewall Einstellung konfigurierst Du die Schnittstelle, die extern ist (die soll ja auch die Pakete nach innen durchlassen. Die Schnittstelle, die mit der internen Schnittstelle des Routers verbunden ist)

Client ---> Router <--------------> Router <---> Server <---- Clients

So sieht es doch bei Dir aus oder ?

[Pro20 10]

Client <----> Internet <----> Router (DG834) <----> SERVER (SBS2003 St. SP1)

 

Der Server ist über die LAN-Schnittstelle mit dem Router verbunden (also extern?)

Der Router ist so konfiguiert das alle Ports auf den Server geleitet werden!

 

Danke nochmal für deine Hilfe!

[IThome 10]

Ja genau, die Schnittstellen, mit denen Router und Server verbunden sind, haben für die beiden Geräte unterschiedliche Bedeutungen. Für den Router ist es die interne Schnittstelle und für den Server die externe. Konfiguriere Deine Portumleitung mal anders. Auf dem Router leitest Du via Portforwarding, Virtual Server oder wie auch immer das bei dem Netgear heisst, die Ports TCP 1723 zur externen Schnittstelle Deines Servers (falls Du auch RDP benötigst auch TCP 3389). Auf der externen Schnittstelle des Server konfigurierst Du die Umleitung dieser Ports (wie schon mal beschrieben) auf seine interne Schnittstelle (Unter Dienste und Ports) innerhalb der RRAS-Konsole.

Eventuell wird das Passthrough auf dem Netgear nur aktiviert, wenn Du explizit den Port TCP 1723 umleitest.

[Pro20 10]

Siehe Anhang, so sind die Firewallregeln, ich hoffe du kannst das lesen!