ccwurm 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Hallo Leute, ich hänge hier an einem Problem in Zusammenhang mit RRAS und DHCP. Bei meiner Teststation (Windows Server 2003 Std.) ist sowohl der RRAS Dienst für VPN-Remotezugriff konfiguriert, als auch der DHCP Server mit einem aktiven Bereich. Der RRAS ist so konfiguriert, dass er sich die IP-Adressen für seine VPN-Clients beim DHCP-Server abholt. Das funktioniert auch soweit ganz gut. Die VPN-Clients können sich verbinden und erhalten sowohl ihre IP-Adresse als auch DNS-Server und GW (als DNS-Server Adresse nutzt der Client wohl einfach die selbe wie der Server). Soweit alles ganz gut. Wenn ich jetzt aber im DHCP Bereichsoptionen für die Standardrouting- und RAS-Klasse definiere, z.B. DNS-Serveradresse, so übernimmt der Client diese nicht. Er führt immer noch den selben DNS-Server wie der RRAS-Server in seinen Einstellungen. Also laut Microsoft übergibt der RRAS-Server dem Client eine zwischengespeicherte DHCP-Lease ohne irgendwelche DHCP-Optionen. Andererseits habe ich aber in der TechNet gelesen, dass diese Standardrouting- und RAS-Klasse genau für solche Zwecke gedacht ist. Außerdem vestehe ich nicht, warum ich nach Aufbau der VPN-Verbindung nach einem ipconfig /all angezeigt bekomme, dass die VPN-Verbindung nicht zur Nutzung von DHCP eingerichtet ist (obowohl dies in der VPN-Verbindung eingerichtet ist). Gibt es eigentlich die Möglichkeit dem RRAS-Server einen speziellen DHCP-Bereich zuzuweisen? Sorry für diesen langen Text aber ich hoffe ihr könnt mir helfen! Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Nach weiteren Suchen und Probieren denke ich jetzt, dass ich das Ganze richtig überblicke. Der RRAS-Server reicht dem VPN-Client tatsächlich nur eine IP-Adresse und die Adressen für DNS/WINS (basierend auf der lokalen Serverkonfiguration) durch. Alle anderen DHCP-Optionen fallen für den VPN-Client weg. Die Benutzerklassen DHCP-Optionen wirken sich nur auf den RRAS-Server DHCP-Client aus, wie z.B. die Lease-Dauer, werden aber nicht zum VPN-Client durchgereicht. Somit machen wohl auch die meisten Benutzerklassen Optionen keinen Sinn für den RRAS-DHCP Client. Außerdem ist es wohl tatsächlich nicht möglich, dem RRAS-Server einen speziellen DHCP-Bereich zuzuweisen. Und warum der VPN-Client als Gateway seine eigene IP-Adresse eingetragen hat, habe ich noch nicht rausgefunden. Die Kommunikation funktioniert jedenfalls! :rolleyes: Ich bitte um Berichtigung! Danke. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Die ID für die Benutzerklasse wird mit dem DHCP-Discover und DHCP-REQUEST Paket übermittelt (Option 77 - User Class Information). Der RRAS selbst fordert 10 Adressen vom DHCP Server an, die er dann an den Client weiter gibt. Zusätzlich ruft der RRAS Optionen ab und es werden wegen der übermittelten Benutzerklasse auch die RRAS-Benutzerklassenoptionen angewendet. Der Client bekommt die Adressen also nicht vom DHCP-Server, sondern vom RRAS (via PPP-Aushandlung) und deswegen steht beim RAS-Client DHCP aktiviert: Nein . Hat der Client eine Adresse via PPP zugewiesen bekommen, sendet er eine DHCP-Inform Meldung, um DHCP-Optionen anzufordern, die vom DHCP-Server mit einem DHCP-ACK beantwortet wird (dort stehen die Optionen, die dem Client zugewiesen werden). Da in dem DHCP-INFORM Paket keine Informationen enthalten sind, zu welcher Benutzerklasse der Client gehört, bekommt er diese spezifischen Optionen auch nicht zugewiesen. Der RAS-Client erhält aber trotzdem auch Optionen vom DHCP-Server (Standardbenutzerklasse). Aus diesem Grund muss der DHCP-Relay Agent auf dem RRAS installiert und konfiguriert sein. Ist er es nicht, können vom DHCP-Server auch keine Optionen der Standardbenutzerklasse abgerufen werden. Da Deine VPN-Verbindung eine PPP-Verbindung ist, ist es normal, dass die eigene Adresse als Gateway eingetragen ist ... Wenn etwas falsch ist, bitte berichtigen :) ... Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Hat der Client eine Adresse via PPP zugewiesen bekommen, sendet er eine DHCP-Inform Meldung, um DHCP-Optionen anzufordern, die vom DHCP-Server mit einem DHCP-ACK beantwortet wird (dort stehen die Optionen, die dem Client zugewiesen werden). Da in dem DHCP-INFORM Paket keine Informationen enthalten sind, zu welcher Benutzerklasse der Client gehört, bekommt er diese spezifischen Optionen auch nicht zugewiesen. Warum steht die Benutzerklasse denn nicht in dem DHCP-Inform Paket drinnen? Wenn ich auf dem Rechner, auf dem die VPN-Verbindung eingerichtet ist, einen ipconfig /showclassid ausführe, dann erhalte ich als Ergebnis: DHCP-Klassenkennungsname.......Standardrouting- und RAS-Klasse Und noch einen Eintrag für BootP. Der RAS-Client erhält aber trotzdem auch Optionen vom DHCP-Server (Standardbenutzerklasse) Soll heissen ich soll die Standard-DHCP-Optionen benutzen. Dann kann ich aber die Zuweisungen garnicht an lokale und remote-clients separieren! Aus diesem Grund muss der DHCP-Relay Agent auf dem RRAS installiert und konfiguriert sein. Ist er es nicht, können vom DHCP-Server auch keine Optionen der Standardbenutzerklasse abgerufen werden. Der Relay-Agent ist eigentlich eingerichtet und zeigte temporär auf alle Netzadapter die ich im Rechner drinnen habe, weil ich mir net ganz sicher war und ich alle mögliche Fehlerquellen ausschließen wollte. Mhh, bitte um Aufklärung. Vielen Dank! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Warum steht die Benutzerklasse denn nicht in dem DHCP-Inform Paket drinnen? Weil der DFÜ-Adapter keine Benutzerklassenoptions-ID hat ... Führe auf dem Client bei Verbindung mal "IPCONFIG /SETCLASSID <Name der DFÜ-Verbindung> RRAS.Microsoft" aus ... Überprüfe danach mit IPCONFIG /ALL, ob diese Option auftaucht und verbinde Dich erneut (mehrmals) ... edit: noch eine Frage, wie testest Du das ? Probierst Du alles im LAN , also der VPN-Server und der Client sind im selben Adressbereich und die VPN-Verbindung erhält auch eine Adresse aus diesem Bereich ? Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Weil der DFÜ-Adapter keine Benutzerklassenoptions-ID hat ... Aber was ist dann... DHCP-Klassenkennungsname.......Standardrouting- und RAS-Klasse ...was ich ja nach einem ipconfig /showclassid auf dem client-rechner unter der ppp-verbindung zu sehen bekomme? Das ist die exakt gleiche Bezeichnung wie im DHCP-Server unter den Benutzerklassenoptionen?? noch eine Frage, wie testest Du das ? Probierst Du alles im LAN , also der VPN-Server und der Client sind im selben Adressbereich und die VPN-Verbindung erhält auch eine Adresse aus diesem Bereich ? Ich mache das alles mit VMWare. Beide VMWares befinden sich im gleichen physikalischen Netz, aber natürlich schon in unterschliedlichen logischen Subnetzen. (Host-Only Mode). Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Ich habe mir auch eine Testumgebung mit 3 virtuellen Geräten gemacht. Einen RRAS, einen Router zum Trennen und einen Client. Die Verbindung vom Client zum RRAS (via VPN) arbeitet erwartungsgemäss, die Verbindung vom Router zum RRAS (ebenfalls via VPN) verhält sich nicht richtig, sprich , es werden entweder keine Optionen übergeben oder nicht alle ... Zitieren Link zu diesem Kommentar
ccwurm 10 Geschrieben 26. Juni 2006 Autor Melden Teilen Geschrieben 26. Juni 2006 Hallo IThome, du hattest wohl völlig recht! :rolleyes: Habe jetzt das gleiche Szenario bei mir zuhause nachgebastelt (wieder mit VMWare), habe außerdem darauf geachtet das der VMWare DHCP-Server abgeschalten ist (vielleicht das Problem bei dir?) Naja, was soll ich sagen, nachdem ich jetzt hier das ganze nochmal getestet habe, bekommt der VPN-Client tatsächlich die ganzen Informationen, die ich als Standard-DHCP-Optionen im DHCP eingepflegt habe. Auch die Geschichte mit der Benutzerklasse habe ich ausprobiert. Nach manueller Vergabe einer Klasse am VPN-Client, wie auch am DHCP Server sowie die anschließende Option-Konfiguration für diese Klasse, hat der ganze Spaß auch soweit geklappt. Die Optionen wurden soweit übergeben. ich dachte halt, das der VPN-Client bereits Mitglied der Standard-Routing und RAS-Klasse ist, weil das nämlich nach dem Befehl ipconfig /showclassid angezeigt wird. Aber ein ipconfig /all hat nichts bezüglich Klassen angezeigt. Nach manueller Klassensetzung allerdings schon. Ich denke allerdings das VMWare an meiner Problematik mit diesem Szenario in der Arbeit nicht ganz unbeteiligt ist/war. Danke nochmal für deine Hilfe und Erklärung! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 26. Juni 2006 Melden Teilen Geschrieben 26. Juni 2006 Gern geschehen, Hauptsache , es hat Dir etwas gebracht, mir jedenfalls schon ... :) Das Problem bei mir kam zustande, weil der Router, mit dem ich eine VPN-Verbindung hergestellt habe, eine direkte Verbindung zum DHCP-Server hatte (Broadcast) , der RAS-Client dagegen nicht ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.