Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VPN Einrchtung unter Windows Server 2012

Mitglied: Christian2014
Hallo,
ich versuche verzweifelt seit einigen Tagen bei mir auf meinem Windows Server einen VPN Zugang für einige Benutzeraccounts über IKEv2 oder L2TP zu erstellen.

Ich bin wie folgt vorgegangen:
Server Manager ->Feature hinzufügen ->Remote Access [Direct Acess und VPN (RAS)]
Anschließend habe ich die Konfiguration durchgeführt.
Darauf bin ich in die Computerverwaltung und habe meinem Benutzeraccount "Tommy" rausgesucht. Unter Einwählen habe ich für ihm erlaubt auf das Netzwerk zuzugreifen.

Folgende Problematiken erwiesen sich bei meinen Schritten:
Ich habe nur einen Netzwerkadapter, weshalb ich die Konfiguration unter Routing / RAS über benutzerdefiniert durchführen musste.
Ich habe nur eine IP Adresse, kann entsprechend eigentlich keine weniger bevorzugte IP angeben.

Wenn ich nun mich von meinem Computer über L2TP mit Tommy verbinde bekomme ich zwar eine Verbindung, allerdings lässt sich am Computer keine Webseite öffnen oder sonstiges im Internet erledigen.

Die Windowsfirewall habe ich "eigentlich" korrekt konfiguriert..

Hat jemand einen Rat für mich oder eine Idee wo ich mal nachschauen könnte? Die Verbindung mit anderen VPN Servern klappt ohne Probleme.

Liebe Grüße
Chris

Content-Key: 245342

Url: https://administrator.de/contentid/245342

Ausgedruckt am: 23.10.2021 um 08:10 Uhr

Mitglied: colinardo
colinardo 01.08.2014 aktualisiert um 17:00:12 Uhr
Goto Top
Hallo Chris,
ich vermute mal du möchtest das Internet der Clients über die VPN-Verbindung laufen lassen ?!
Wenn ja dann musst du auf dem Server im RRAS NAT auf dem Interface des Servers aktivieren damit die VPN-Clients ins Internet kommen. LAN-Routing sollte ebenfalls aktiviert werden. Dann solltest du im RRAS für die Clients einen statischen Adresspool definieren, aus dem sie Ihre IP-Adressen zugewiesen bekommen.

Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway des Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.

Grüße Uwe
Mitglied: Christian2014
Christian2014 01.08.2014 um 17:42:15 Uhr
Goto Top
Hallo Uwe.
Vielen Dank für die schnelle Antwort. Deine Vermutung ist korrekt.

Ich habe nun folgendes gewählt bei der neukonfiguration im RRAS ausgewählt, Benutzerdefinierte Konfiguraiton
-VPN-Zugriff
-NAT
-LAN-Routing

Bei der statischen IP habe ich, wie schon erwähnt, das Problem das es sich um einen Server mit nur der einen IP handelt. Ich habe deshalb meine ServerIP und die darauf folgende IP eingetragen.

Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway des
Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.
Diese Einstellung finde ich gerade nicht, allerdings habe ich bis auf den Typ (L2TP/IPSec), die Datenverschlüsselung (Optional), die Protokolle (MS-Chap v2) und mein Shared-Secret nichts verändert.

Wenn ich mich nun Client seitig verbinden will erhalte ich die Meldung:
Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Liebe Grüße
Chris
Mitglied: colinardo
colinardo 01.08.2014 aktualisiert um 23:25:58 Uhr
Goto Top
Zitat von @Christian2014:
Ich habe nun folgendes gewählt bei der neukonfiguration im RRAS ausgewählt, Benutzerdefinierte Konfiguraiton
-VPN-Zugriff
-NAT
-LAN-Routing
OK
Bei der statischen IP habe ich, wie schon erwähnt, das Problem das es sich um einen Server mit nur der einen IP handelt. Ich
habe deshalb meine ServerIP und die darauf folgende IP eingetragen.
wo eingetragen, und was für eine folgende IP die du nicht hast ?? Du hast mich nicht ganz korrekt verstanden, gerade weil dein Server nur eine externe IP hat, musst du in den Eigenschaften des RRAS Servers einen statischen Adresspool für die VPN-Clients konfigurieren, dieser kann z.B. folgender sein 10.10.50.10-10.10.50.30. Aus diesem privaten Adresspool bekommen die VPN Clients beim Verbinden eine IP zugewiesen. Damit diese aber mit dieser "privaten" Adresse ins Internet kommen können musst du auf der physischen Schnittstelle des Servers NAT aktivieren (nur Installieren von NAT beim Einrichten reicht nicht !!!). Dies machst du im Abschnitt NAT des RRAS.
http://technet.microsoft.com/de-de/library/dd458971.aspx
Die privaten Adressen der VPN Clients werden dann bei Internetzugriff auf die öffentliche IP des Servers umgeschrieben (Basiswissen Routing).

Ebenfalls solltest du überprüfen ob IP Forwarding im RRAS aktiviert wurde:
http://technet.microsoft.com/en-us/library/ee922620(WS.10).aspx

> Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway
des
> Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.
Diese Einstellung finde ich gerade nicht, allerdings habe ich bis auf den Typ (L2TP/IPSec), die Datenverschlüsselung
(Optional), die Protokolle (MS-Chap v2) und mein Shared-Secret nichts verändert.
Findest du in den TCP/IP Settings der Verbindung.
Wenn ich mich nun Client seitig verbinden will erhalte ich die Meldung:
Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitsfehler während der ersten Sicherheitsaushandlung
mit dem Remotecomputer aufgetreten ist.
Dann stimmen noch Grundlegende Dinge bei deiner VPN Verbindung nicht. Für L2TP musst du natürlich entweder mit Zertifikaten oder via Preshared Key arbeiten, wie die Grundlegende Konfig aussieht kannst du hier nachlesen, da steht eigentlich alles dazu:
http://openbook.galileo-press.de/windows_server_2012r2/14_004.html

Grüße Uwe
Mitglied: Christian2014
Christian2014 02.08.2014 aktualisiert um 11:35:54 Uhr
Goto Top
Zitat von @colinardo:
wo eingetragen, und was für eine folgende IP die du nicht hast ?? Du hast mich nicht ganz korrekt verstanden, gerade weil
dein Server nur eine externe IP hat, musst du in den Eigenschaften des RRAS Servers einen statischen Adresspool für die
VPN-Clients konfigurieren, dieser kann z.B. folgender sein 10.10.50.10-10.10.50.30. Aus diesem privaten Adresspool bekommen die
VPN Clients beim Verbinden eine IP zugewiesen.
Ich habe bei RRAS meinen Server gewählt, bin auf Eigenschaften, dann auf IPv4 und habe dort die IP des Servers als Anfang eingetragen:
Y.X.214.28
Und als Ende die nächste IP
Y.X.214.29

Da dies offenbar falsch war, habe ich nun mal die Google DNS Adressen eingetragen:
8.8.4.4 bis 8.8.8.8
Oder sind die Adressen der IANA praktischer? Dann stelle ich diese sofort um.

Bei IPv6 habe ich nichts eingetragen.

Damit diese aber mit dieser "privaten" Adresse ins Internet kommen
können musst du auf der physischen Schnittstelle des Servers NAT aktivieren (nur Installieren von NAT beim Einrichten reicht
nicht !!!). Dies machst du im Abschnitt NAT des RRAS.
http://technet.microsoft.com/de-de/library/dd458971.aspx
Bis Punkt 8 komme ich mit, danach finde ich den nächsten Anfang nicht. Liegt es daran das ich die Active Directory Features nicht installiert habe?

Ich habe bei NAT neue Schnittstellen hinzugefügt. Für die Interne Schnittstelle habe ich ein Privates Netzwerk ausgewählt (etwas anderes ging nicht).
Für die Ethernet Schnittestelle ein mit dem Internet verbundenes. Dort habe ich als Dienst und Port folgendes aktiviert:
VPN-Gateway (L2TP / IPSec)
Als Private Addresse habe ich die IP meines Servers eingetragen. (Oder beser die von IANA / Google?)

Ebenfalls solltest du überprüfen ob IP Forwarding im RRAS aktiviert wurde:
http://technet.microsoft.com/en-us/library/ee922620(WS.10).aspx
Das habe ich schon aktiviert.

Dann stimmen noch Grundlegende Dinge bei deiner VPN Verbindung nicht. Für L2TP musst du natürlich entweder mit
Zertifikaten oder via Preshared Key arbeiten, wie die Grundlegende Konfig aussieht kannst du hier nachlesen, da steht eigentlich
alles dazu:
http://openbook.galileo-press.de/windows_server_2012r2/14_004.html
Ich habe einen preshared Key eingetragen. (Vorinstallierter Schlüssel)
Die Anleitung von Galileo geht, so wie viele andere Anleitungen auch davon aus das ich 2 Netzwerkadapter habe und vollzieht die reguläre Installation und Einrichtung nicht die benutzerdefinierte.

Final bleibt meine Fehlermeldung noch die gleiche.
Liebe Grüße
Chris
Mitglied: aqui
aqui 02.08.2014 um 13:02:46 Uhr
Goto Top
Generell ist es aus Sicherheitsgründen nicht förderlich sowas auf einem Server zu installieren. Auch weil dann remote User immer vom Server abhängig sind.
Technisch sinnvoller ist es das auf einem externen Device wie einem Router oder einer kleinen Firewall zu machen wie z.B. hier beschrieben:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Nur mal so als Anregung als sinnvollere Alternative zum Server... ;-) face-wink
Mitglied: colinardo
Lösung colinardo 03.08.2014 aktualisiert um 21:38:13 Uhr
Goto Top
@aqui:
Ich vermute stark, er macht das auf einem gemieteten v-Server bei einem Hoster, da hat er sehr wahrscheinlich keine Möglichkeit einen Router hinzustellen :-) face-smile

Zitat von @Christian2014:
Ich habe bei RRAS meinen Server gewählt, bin auf Eigenschaften, dann auf IPv4 und habe dort die IP des Servers als Anfang
eingetragen:
Y.X.214.28
Und als Ende die nächste IP
Y.X.214.29
Kopfschüttel :-D face-big-smile .... so kann es nicht laufen !
Da dies offenbar falsch war, habe ich nun mal die Google DNS Adressen eingetragen:
8.8.4.4 bis 8.8.8.8
Oder sind die Adressen der IANA praktischer? Dann stelle ich diese sofort um.
noch schlimmer, bloß nicht ! Hier kommt ein privates Subnetz rein, aus welchem der VPN-Server den Clients IP-Adressen zuteilt! Siehe dazu das verlinkte Video weiter unten.
Für die Ethernet Schnittestelle ein mit dem Internet verbundenes. Dort habe ich als Dienst und Port folgendes aktiviert:
VPN-Gateway (L2TP / IPSec)
Das ist ebenfalls nicht korrekt, hier darfst du nichts aktivieren, denn dies ist nur fürs Portforwarding von Diensten an andere interne Clients gedacht. Für deinen Server gilt die Windows Firewall, auf welcher Windows, bei der Einrichtung der VPN-Funktion, im RRAS entsprechend automatisch die L2TP und IPSec Ports und Protokolle (UDP:500/1701/4500 und Protokoll 50(ESP)) freigibt.

Da dir anscheinend doch noch die nötigen Grundlagen fehlen hier noch mal die RRAS-Config ausführlich in Bild und Video zusammengefasst, so sind Missverständnisse ausgeschlossen:
back-to-top1. Benötigte Rollen
Zuerst sollte sichergestellt sein das folgende Rollen installiert sind (Die Routing-Rolle wird für das Funktionieren von NAT benötigt):

ec0b0e5a40adf89fc2650092fea0e58f

back-to-top2. Konfiguration von RRAS für L2TP/IPSec VPN inkl. NAT mit einem Interface:
VIDEO: RRAS für VPN-Zugriff mit NAT einrichten

back-to-top3. Konfiguration der Clientverbindung für L2TP/IPSec mit Preshared Key:

de75192daa1d906022f0af574ec9d2b0

aee3f79528201a56683cd36fa79280f6

Damit kommen die VPN-Clients über die VPN-Verbindung ins Internet. Ein tracert google.de sollte dies bestätigen. Diese Konfiguration funktioniert einwandfrei und wurde hier getestet.
Ein Client bekommt in diesem Beispiel bei der Einwahl eine IP-Adresse aus dem Bereich 10.10.50.11-10.10.50.30 zugewiesen. Der Server ist dabei immer unter der 10.10.50.10 erreichbar, also der ersten Adresse aus dem statischen Adresspool.

Falls bei Dir alle Stricke reißen, nutze ein anderes VPN-Protokoll (z.B. SSTP über Port 443 wenn sich nur Windows-Clients verbinden sollen) oder installiere einen OpenVPN-Server auf der Kiste.

Und nun erfolgreiches Vernetzen :-) face-smile
Grüße Uwe
Mitglied: Christian2014
Christian2014 03.08.2014 um 21:57:22 Uhr
Goto Top
Zitat von @colinardo:

@aqui:
Ich vermute stark, er macht das auf einem gemieteten v-Server bei einem Hoster, da hat er sehr wahrscheinlich keine
Möglichkeit einen Router hinzustellen :-) face-smile
Exakt, der Server soll nur zusätzlich noch als VPN missbraucht/genutzt werden. Ich sehe einfach nicht ein unnötig Bandbreite zu haben und nicht zu benutzen.

Kopfschüttel :-D face-big-smile .... so kann es nicht laufen !
Soweit war ich ja schon :-D face-big-smile

Da dir anscheinend doch noch die nötigen Grundlagen fehlen hier noch mal die RRAS-Config ausführlich in Bild und Video
zusammengefasst, so sind Missverständnisse ausgeschlossen:
Dafür den besten Dank, ich war ja total auf dem Holzweg..

Falls bei Dir alle Stricke reißen, nutze ein anderes VPN-Protokoll (z.B. SSTP über Port 443 wenn sich nur
Windows-Clients verbinden sollen) oder installiere einen OpenVPN-Server auf der Kiste.
Über OpenVPN habe ich schon nachgedacht, aber ich hasse es Software zu installieren, wenn es doch auch so geht..
back-to-topBei mir läuft das ganze nun super, bei einem Clienten (der VPN ist eigentlich nur für einen Freund und mich gedacht, ich habe uns beiden getrennte Benutzeraccounts angelegt) gibt es allerdings Probleme.

Er erhält beim Verbinden über L2TP/IPSec immer wieder neue Login Fenster. Wenn er es über SSTP versucht (Port ist in der Firewall auf dem Server natürlich freigegeben) bekommt er diesen Fehlercode:
0x80072745

Liebe Grüße
Chris
Mitglied: colinardo
colinardo 03.08.2014 aktualisiert um 22:25:48 Uhr
Goto Top
Zitat von @Christian2014:
Er erhält beim Verbinden über L2TP/IPSec immer wieder neue Login Fenster.
Ohne seine Config, OS und Router zu kennen schwer zu sagen woran es liegt. Die Fehlerquellen sind hier vielfältig, da bei L2TP/IPSec alle Komponenten zusammenarbeiten müssen - wenn hier ein Device nicht mitspielt ist Ende Gelände...
Auch wenn mehrere User hinter einem NAT-Device (z.B. DSL Router daheim) gleichzeitig versuchen eine Verbindung aufzubauen kommt es zu solchen Problemen:
http://www.isaserver.org/blogs/pouseele/isa-corner/multiple-l2tpipsec-v ...
Wurde denn der User überhaupt einwahlberechtigt ?
Wenn er es über SSTP versucht (Port ist
in der Firewall auf dem Server natürlich freigegeben) bekommt er diesen Fehlercode:
0x80072745
Für SSTP wird ein Server-Zertifikat benötigt das im RRAS angegeben werden muss, und zusätzlich muss der Clientrechner diesem
Zertifikat bzw. dem Aussteller dessen Vertrauen, sonst klappt die Verbindung via SSTP nicht !!

Grüße Uwe
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 20 StundenFrageSicherheit14 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 20 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 1 TagFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...