11
Always On VPN funktioniert nicht mit jedem VPN User - Server 2019
Hallo,
ich habe in meinem Netzwerk 3 Server, 1x Domain-Controller, 1x RAS und 1x NPS.
Um Always On VPN nutzen zu können habe ich mich an verschiedene Anleitungen dazu gehalten, die im Netz zu finden sind.
Das erste Problem war oder ist, dass einige Clients die Verbindung nicht automatisch aufbauen, weil sie den Fehler zeigen Fehler 623: Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.", wobei die Verbindung funktioniert, wenn ich sie manuell mit dem Befehl "rasphone.exe -d *Verbindungsname*" starte.
Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."
Was kann ich noch checken, um diesen Konflikt mit der Richtlinie zu beheben?
Zum Aufbau:
- der DC (192.168.1.200) ist gleichzeitig auch CA
- der RAS (192.168.1.205) regelt eben selbiges und ist per statischer Public IP erreichbar sowie auch zugewiesenem DNS-Namen per DynDNS-Service, weil es nur mit der IP am Anfang nicht funktionieren wollte
- der NPS (192.168.1.210) ist nur für die Netzwerkrichtlinien da, hätte man auch auf dem DC aufsetzen können, da es aber mein erstes Windows-eigenes VPN ist, wollte ich es der Übersicht halber alles getrennt aufsetzen :D
Die User bekommen beim ersten Login per Auto-Enroll auch ihr Zertifikat und wie gesagt, die Richtlinien, sei es Netzwerkrichtlinie oder GPO sind immer Gruppen-basiert.
Der eine funktionierende User ist also in der gleichen Gruppe wie alle anderen auch, trotzdem gehts nur bei dem
Zu den Client-System ist zu sagen, es sind PC´s mit Windows 10 und Windows 11, bei Windows 11 habe ich gelesen, dass es Probleme mit VPN geben kann, die noch gefixt werden müssen, aber auf Windows 10 sollte es ja wenigstens laufen
der funktionierende ist Windows 10 Pro
ich habe in meinem Netzwerk 3 Server, 1x Domain-Controller, 1x RAS und 1x NPS.
Um Always On VPN nutzen zu können habe ich mich an verschiedene Anleitungen dazu gehalten, die im Netz zu finden sind.
Das erste Problem war oder ist, dass einige Clients die Verbindung nicht automatisch aufbauen, weil sie den Fehler zeigen Fehler 623: Der Telefonbucheintrag für diese Verbindung konnte nicht gefunden werden.", wobei die Verbindung funktioniert, wenn ich sie manuell mit dem Befehl "rasphone.exe -d *Verbindungsname*" starte.
Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."
Was kann ich noch checken, um diesen Konflikt mit der Richtlinie zu beheben?
Zum Aufbau:
- der DC (192.168.1.200) ist gleichzeitig auch CA
- der RAS (192.168.1.205) regelt eben selbiges und ist per statischer Public IP erreichbar sowie auch zugewiesenem DNS-Namen per DynDNS-Service, weil es nur mit der IP am Anfang nicht funktionieren wollte
- der NPS (192.168.1.210) ist nur für die Netzwerkrichtlinien da, hätte man auch auf dem DC aufsetzen können, da es aber mein erstes Windows-eigenes VPN ist, wollte ich es der Übersicht halber alles getrennt aufsetzen :D
Die User bekommen beim ersten Login per Auto-Enroll auch ihr Zertifikat und wie gesagt, die Richtlinien, sei es Netzwerkrichtlinie oder GPO sind immer Gruppen-basiert.
Der eine funktionierende User ist also in der gleichen Gruppe wie alle anderen auch, trotzdem gehts nur bei dem
Zu den Client-System ist zu sagen, es sind PC´s mit Windows 10 und Windows 11, bei Windows 11 habe ich gelesen, dass es Probleme mit VPN geben kann, die noch gefixt werden müssen, aber auf Windows 10 sollte es ja wenigstens laufen
der funktionierende ist Windows 10 Pro
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3163030741
Url: https://administrator.de/forum/always-on-vpn-funktioniert-nicht-mit-jedem-vpn-user-server-2019-3163030741.html
Ausgedruckt am: 15.04.2025 um 00:04 Uhr
11 Kommentare
Neuester Kommentar
Always on erzwingt IKEv2 als Protokoll. https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn ...
Hätte in deinem Setup für eine zielführende Antwort geholfen das zu wissen.
Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Windows Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Sicherheitsbewusstsein.
Hätte in deinem Setup für eine zielführende Antwort geholfen das zu wissen.
Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Windows Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Sicherheitsbewusstsein.
Moin...
du nutzt jetzt echt Always On VPN?
warum nutzt du nicht das VPN aus deinem Router... so ist zumindestens nicht dein DC aus dem Internet zu erreichen!
Frank
du nutzt jetzt echt Always On VPN?
warum nutzt du nicht das VPN aus deinem Router... so ist zumindestens nicht dein DC aus dem Internet zu erreichen!
Frank
also ich nutze für das Always On VPN IKEv2.
der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
Zitat von @superfun2k22:
also ich nutze für das Always On VPN IKEv2.
der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
aber RAS läuft genau wo ? also ich nutze für das Always On VPN IKEv2.
der DC ist nicht öffentlich erreichbar, das ist nur der RAS und auch nur auf den Ports für VPN, also 443, 500 und 4500
und wenn Port 443, 500 und 4500 aus dem Inet erreichbar sind... ist es natürlich der DC!
sowas macht man nicht!
Frank
der RAS ist eine eigene Maschine, der läuft nicht auf dem DC, siehe ersten Post.
DC getrennt, RAS getrennt, NPS getrennt.. eben weil es mein erstes windows-VPN ist und so einfacher zu konfigurieren ist. spätestens bei der Kombi DC, RAS und NPS auf einem Gerät würde es Probleme geben, das hatte ich nämlich schon.. da hatten die VPN Clients, damals noch ohne Alway-On, Internet, aber die lokalen PCs nicht mehr.
DC getrennt, RAS getrennt, NPS getrennt.. eben weil es mein erstes windows-VPN ist und so einfacher zu konfigurieren ist. spätestens bei der Kombi DC, RAS und NPS auf einem Gerät würde es Probleme geben, das hatte ich nämlich schon.. da hatten die VPN Clients, damals noch ohne Alway-On, Internet, aber die lokalen PCs nicht mehr.
Moin...
fest steht... sowas macht keiner mit Verantwortung!
natürlich steht dir frei das so zu betreiben....
Frank
DC getrennt, RAS getrennt, NPS getrennt....
aber der RAS PC bzw. VM ist im AD... also ist der Teil deil sowohl im AD / Netzwerk... ob das jetzt auf dem DC selber ist, oder nicht, ist latte...fest steht... sowas macht keiner mit Verantwortung!
natürlich steht dir frei das so zu betreiben....
Frank
Zitat von @superfun2k22:
Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."
Was aber noch viel interessanter ist, ich habe alle Domänen-User in der VPN-User-Gruppe drin, da alle die Möglichkeit haben sollen per Home-Office zu arbeiten, jedoch kann momentan nur ein einziger sich verbinden, bei allen anderen kommt ein Fehler 812: "Die Verbindung wurde aufgrund einer auf Ihrem RAS / VPN-Server konfigurierten Richtlinie verhindert."
Allways On VPN auf Basis der User und nicht auf Basis der Computer-Objekte?
Zitat von @aqui:
Wenn du zufällig noch die Güte hättest uns mitzuteilen WELCHES der zahlosen VPN Protokolle du verwendest in deinem Setup würde das allen hier für eine zielführende Antwort sehr helfen.
Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Fachkenntniss.
Wenn du zufällig noch die Güte hättest uns mitzuteilen WELCHES der zahlosen VPN Protokolle du verwendest in deinem Setup würde das allen hier für eine zielführende Antwort sehr helfen.
Ggf. findest du auch Antworten in den hiesigen Tutorials zu der Thematik:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Nebenbei:
Kollege @Vision2015 sagt es ja schon. Bei einem guten VPN Design gehört ein VPN bekanntlich niemals auf ein so zentrales Element wie den lokalen Server sondern aus guten Gründen immer in die Peripherie auf Firewall oder Router! Solche Designs bergen ein großes Gefährdungspotentzial und zeugen eher von wenig VPN Fachkenntniss.
Von wenig Fachkenntnis zeugt, der Anwurf das VPN Verfahren nicht genannt zu haben ob wohl es nicht nur im Titel steht. Und dann noch ein Sprung zu Topologie... obwohl dazu nichts gesagt wurde.
ich habe doch in einem Kommentar nachgereicht, dass es ein IKEv2 Always On ist
habe das Always On nach Anleitung von "Einfaches-Netzwerk.at" erstellt, habe also einen User-Tunnel und einen Device-Tunnel.
Inzwischen habe ich es soweit, das ich den User-Tunnel starten kann und den Device-Tunnel auch, jedoch startet dieser nicht automatisch, sobald man das Firmennetz verlässt und auch nicht beim booten, wenn man nicht im Firmennetz ist, da wirft er den "Fehler 623: Telefonbucheintrag kann nicht gefunden werden" aus.
Kann das eventuell an den Ordnerumleitungen liegen? Ich leite AppData mit um, AppData{Local liegt also nicht auf dem PC, sondern dem DC.
Denn ich kann in CMD und Powershell mit "rasphone.exe -d Device-Tunnel" die Verbindung starten.
Grundsätzlich sollte die Ordnerumleitung aber nicht das Problem sein, da "Einfaches-Netzwerk" den Device-Tunnel mit PsExec als SYSTEM erstellt und ich auch, habs mit whoami noch verifiziert
habe das Always On nach Anleitung von "Einfaches-Netzwerk.at" erstellt, habe also einen User-Tunnel und einen Device-Tunnel.
Inzwischen habe ich es soweit, das ich den User-Tunnel starten kann und den Device-Tunnel auch, jedoch startet dieser nicht automatisch, sobald man das Firmennetz verlässt und auch nicht beim booten, wenn man nicht im Firmennetz ist, da wirft er den "Fehler 623: Telefonbucheintrag kann nicht gefunden werden" aus.
Kann das eventuell an den Ordnerumleitungen liegen? Ich leite AppData mit um, AppData{Local liegt also nicht auf dem PC, sondern dem DC.
Denn ich kann in CMD und Powershell mit "rasphone.exe -d Device-Tunnel" die Verbindung starten.
Grundsätzlich sollte die Ordnerumleitung aber nicht das Problem sein, da "Einfaches-Netzwerk" den Device-Tunnel mit PsExec als SYSTEM erstellt und ich auch, habs mit whoami noch verifiziert
Moin,
Gruß,
Dani
ich habe doch in einem Kommentar nachgereicht, dass es ein IKEv2 Always On ist
Sowohl User- als auch Device-Tunnel?habe das Always On nach Anleitung von "Einfaches-Netzwerk.at" erstellt, habe also einen User-Tunnel und einen Device-Tunnel.
Poste bitte mal den direkten Link zu der Anleitung.Inzwischen habe ich es soweit, das ich den User-Tunnel starten kann und den Device-Tunnel auch, jedoch startet dieser nicht automatisch, sobald man das Firmennetz verlässt und auch nicht beim booten, wenn man nicht im Firmennetz ist, da wirft er den "Fehler 623: Telefonbucheintrag kann nicht gefunden werden" aus.
Welche Edition von Windows 10 hast zum im Einsatz?Gruß,
Dani
Hi
aus welchem Grund leitest du Ordner auf dem DC um? Wenn man mit so etwas arbeitet, dann bitte auf einen DFS Shares und wenn du mobile Clients hast, mit OfflineSync, ansonsten bringt dir kein VPN etwas, sobald die Leitung "dicht" ist (egal auf Firmen- oder Endnutzer Seite) kann der nichts mehr machen.
DeviceTunnel setzt die Enterprise Edition von Windows voraus, auf der Professional funktioniert der DeviceTunnel nicht, war schon damals mit DirectAccess der Fall.
@Dani: https://www.einfaches-netzwerk.at/alwayson-vpn-ueberblick/
aus welchem Grund leitest du Ordner auf dem DC um? Wenn man mit so etwas arbeitet, dann bitte auf einen DFS Shares und wenn du mobile Clients hast, mit OfflineSync, ansonsten bringt dir kein VPN etwas, sobald die Leitung "dicht" ist (egal auf Firmen- oder Endnutzer Seite) kann der nichts mehr machen.
DeviceTunnel setzt die Enterprise Edition von Windows voraus, auf der Professional funktioniert der DeviceTunnel nicht, war schon damals mit DirectAccess der Fall.
@Dani: https://www.einfaches-netzwerk.at/alwayson-vpn-ueberblick/
