3
Bintec VPN25 und IPSEC Einwahl zu einem Windows 2003 Server
Hallo zusammen.
Ich schlage mich hier schon seit geraumer Zeit mit einer Bintec VPN 25 / IPSEC VPN / Windows 2003 Server rum. Der Support von Bintec hat mich auch nicht so recht wietergebracht. Die VPN Einwahl zur Bintec funktioniert zwar aber das wars dann auch schon. Ich schreibe hier diesen Beitrag um vielleicht einmal eine vernünftige Anleitung zu erstellen und diese dann als Tutorial hier zu veröffentlichen, da ich sehe das nicht nur ich mit den gleichen Bintec Problemen komme.
Also hier meine Konfiguration und die daraus resultierenden Fehler.
1. Ein Windows 2003 Server mit Routing und RAS Server (Feste IP des Servers 10.10.1.1, Name des Windows DC "server")
2. Routing & RAS installiert. Der RAS Server ist nur als RAS Server konfiguriert, da nur eine Netzwerkkarte im Server steckt. Die IP Adressen werden den Einwahl Clients vom RAS Server per DHCP zugewiesen. Der RAS Server ist für nur eine VPN Verbindung konfiguriert (1 x PPTP, 1 x L2TP), da nicht mehr benötigt werden. Also 3 benötigte IP Adressen.
3. Eine Bintec VPN 25 mit IP 10.0.0.1 (diese ist auch Gateway zum Internet)
4. Mehrere Clients (4 Stück) in meinem privaten Netzwerk. Alle beziehen die IP vom DHCP aus dem Bereich 10.0.0.X.
5. Ein Laptop der sich ins Netzwerk per VPN einwählen darf. (Benutzerkonto für den Laptop usw. sowie RAS Richtlinie etc. ist vorhanden und funktioniert). Der RAS Server vergibt dem Laptop eine IP aus dem Bereich 10.0.0.11 bis 10.0.0.13.
Starte ich den RAS Server erhält dieser die IP 10.0.0.13. Wählt sich der Laptop ein, erhält dieser die IP 10.0.0.11 oder 10.0.0.12 (je nachdem).
Dies zur Konfiguration. Das funktioniert jedenfalls aber mit Problemen. Dazu später mehr.
BINTEC VPN 25 Konfiguration (nach Bintec Angaben - scheint aber nicht so richtig zu funktionieren)
Auf der Bintec VPN 25 habe ich unter IPSEC, IPSEC mit Preshare Keys eingerichtet und dann unter Configure Peer ein VPN Peer. Virtual Interface steht auf YES und dann unter Interface IP Settings --> Basic IP-Settings dort folgende Entragungen:
IP Transit Network --> (No)
Local IP Adress --> (10.0.0.1 - IP der Bintec VPN 25)
Default Route --> (No)
Remote IP Address --> (100.100.100.1) (Dies ist die IP die der VPN Client erhält, wenn er sich in die Bintec VPN 25 per VPN einwählt.)
Remote Netmark --> (255.255.255.0)
Mir wude von Bintec mitgeteilt, dass die IP des virtuellen Interfaces aus einem anderen Netzwerk kommen muss. Von daher die 100.x.x.x.
Gehe ich im Bintec VPN25 Menü zurück zum Hauptmenü und klicke dort IP --> Network Address Translation an, dann sehe ich mein angelegtes VPN Peer. Mache ich dort ein Doppelklick dann komme ich zu den NAT einstellungen.
Dort steht:
Network Address Translation --> (off)
Silent Deny --> (off)
PPTP Passthrough --> (on)
Ich hatte einmal NAT mit diesen Einstellungen konfiguriert:
1723/tcp ia 10.10.1.1/32, ep 1723, ip 1723
4500/udp ia 10.10.1.1/32, ep 4500, ip 4500
500/udp ia 10.10.1.1/32, ep 500, ip 500
any/gre ia 10.10.1.1/32
Was mich aber dann auch nicht weiter brachte. Alsao habe ich NAT wieder ausgeschaltet und nur PPTP Passthrough eingeschaltet gelassen. Auf dem WAN Interface liegen keine Port Forwardings etc. für VPN
Dies zur Bintec VPN25 Konfiguration.
Der IPSEC VPN Client (Bintec VPN Client)
Im FEC Secure IPSec Client habe ich im Profil unter IP-Adress-Zuweisungen folgendes eingestellt:
IP-Adresse --> manuell vergeben
IP Adresse: --> 100.100.100.1
Subnet-Maske: --> 255.255.255.255
(Die Einstellungen halt, welche in der Bintec VPN25 im Virtual Interface für diese Verbindung eingestellt wurden)
Im DNS-/WINS-Server steht:
DNS-Server 10.10.1.1
WINS-Server 0.0.0.0
Domain Name: der DOMAIN Name
Unter VPN IP-Netze:
10.0.0.0 / 255.0.0.0
Alle anderen Einstellungen des VPN Clients sollten bekannt sein.
Der Ablauf der Einwahl
Mache ich nun eine VPN Verbindung zur Bintec VPN25 auf so klappt diese.
Wähle mich dann mit eine auf dem Laptop neu angelegte PPTP Verbindung ein, wird mein Konto akzeptiert und der Computer im Netzwerk registriert.
Öffne ich dann den Windows Explorer und durchsuche mein Netzwerk dann steht da erst mal nur der Name des Laptop Rechners drin (Toshiba). Warte ich lange genug und drücke oft genug den Refresh Button dann erscheinen auch irgendwann mal die anderen Computer im Netzwerk.
DANN BEGINNEN ABER DIE FEHLER.
Der RAS Server trägt sich im DNS ebenfalls mit dem Namen Server und der IP 10.0.0.13 ein.
Der Laptop (Toshiba steht im DNS mit toshiba und der IP 100.100.100.1 drin, obwohl die VPN Verbindung doch die IP 10.0.0.12 erhalten hat - für mich nicht schlüssig).
Das Ereignis Protokoll schreibt mir nach ein paar Minuten das der Zeitservice von 2 Zeitquellen konfiguriert wird (richtig da sich der RAS Server ebenfalls ins DNS mit dem Namen "server" und der IP 10.0.0.13 eingetragen hat)
Das Netzwerk-Browsen auf den übrigen Clients im Netzwerk funktioniert noch, bis zu dem Zeitpunkt des Neubootens. Dann können die Clients nicht mehr im Netzwerk browsen. Es werden keine Computer mehr angezeigt. Dies ist erst dann wieder möglich, nachdem ich den RAS Server stoppe und den DNS Eintrag des RAS Servers lösche.
Jetzt lese ich in einem Beitrag, das auf der Bintec VPN 25 Ports freigegeben werden müssen und zwar auf dem WAN Interface. Und zwar die Ports 137-139 und 445. Eventuell noch andere?
Ich weiß jetzt gar nicht mehr weiter und bitte um **eure Hilfe*, um die immer wieder kehrenden Probleme und deren richtige Konfiguration hier einmal genau aufzuzeigen.
Ich bitte hier um Eure Hilfe.
Vielen Dank
Ich schlage mich hier schon seit geraumer Zeit mit einer Bintec VPN 25 / IPSEC VPN / Windows 2003 Server rum. Der Support von Bintec hat mich auch nicht so recht wietergebracht. Die VPN Einwahl zur Bintec funktioniert zwar aber das wars dann auch schon. Ich schreibe hier diesen Beitrag um vielleicht einmal eine vernünftige Anleitung zu erstellen und diese dann als Tutorial hier zu veröffentlichen, da ich sehe das nicht nur ich mit den gleichen Bintec Problemen komme.
Also hier meine Konfiguration und die daraus resultierenden Fehler.
1. Ein Windows 2003 Server mit Routing und RAS Server (Feste IP des Servers 10.10.1.1, Name des Windows DC "server")
2. Routing & RAS installiert. Der RAS Server ist nur als RAS Server konfiguriert, da nur eine Netzwerkkarte im Server steckt. Die IP Adressen werden den Einwahl Clients vom RAS Server per DHCP zugewiesen. Der RAS Server ist für nur eine VPN Verbindung konfiguriert (1 x PPTP, 1 x L2TP), da nicht mehr benötigt werden. Also 3 benötigte IP Adressen.
3. Eine Bintec VPN 25 mit IP 10.0.0.1 (diese ist auch Gateway zum Internet)
4. Mehrere Clients (4 Stück) in meinem privaten Netzwerk. Alle beziehen die IP vom DHCP aus dem Bereich 10.0.0.X.
5. Ein Laptop der sich ins Netzwerk per VPN einwählen darf. (Benutzerkonto für den Laptop usw. sowie RAS Richtlinie etc. ist vorhanden und funktioniert). Der RAS Server vergibt dem Laptop eine IP aus dem Bereich 10.0.0.11 bis 10.0.0.13.
Starte ich den RAS Server erhält dieser die IP 10.0.0.13. Wählt sich der Laptop ein, erhält dieser die IP 10.0.0.11 oder 10.0.0.12 (je nachdem).
Dies zur Konfiguration. Das funktioniert jedenfalls aber mit Problemen. Dazu später mehr.
BINTEC VPN 25 Konfiguration (nach Bintec Angaben - scheint aber nicht so richtig zu funktionieren)
Auf der Bintec VPN 25 habe ich unter IPSEC, IPSEC mit Preshare Keys eingerichtet und dann unter Configure Peer ein VPN Peer. Virtual Interface steht auf YES und dann unter Interface IP Settings --> Basic IP-Settings dort folgende Entragungen:
IP Transit Network --> (No)
Local IP Adress --> (10.0.0.1 - IP der Bintec VPN 25)
Default Route --> (No)
Remote IP Address --> (100.100.100.1) (Dies ist die IP die der VPN Client erhält, wenn er sich in die Bintec VPN 25 per VPN einwählt.)
Remote Netmark --> (255.255.255.0)
Mir wude von Bintec mitgeteilt, dass die IP des virtuellen Interfaces aus einem anderen Netzwerk kommen muss. Von daher die 100.x.x.x.
Gehe ich im Bintec VPN25 Menü zurück zum Hauptmenü und klicke dort IP --> Network Address Translation an, dann sehe ich mein angelegtes VPN Peer. Mache ich dort ein Doppelklick dann komme ich zu den NAT einstellungen.
Dort steht:
Network Address Translation --> (off)
Silent Deny --> (off)
PPTP Passthrough --> (on)
Ich hatte einmal NAT mit diesen Einstellungen konfiguriert:
1723/tcp ia 10.10.1.1/32, ep 1723, ip 1723
4500/udp ia 10.10.1.1/32, ep 4500, ip 4500
500/udp ia 10.10.1.1/32, ep 500, ip 500
any/gre ia 10.10.1.1/32
Was mich aber dann auch nicht weiter brachte. Alsao habe ich NAT wieder ausgeschaltet und nur PPTP Passthrough eingeschaltet gelassen. Auf dem WAN Interface liegen keine Port Forwardings etc. für VPN
Dies zur Bintec VPN25 Konfiguration.
Der IPSEC VPN Client (Bintec VPN Client)
Im FEC Secure IPSec Client habe ich im Profil unter IP-Adress-Zuweisungen folgendes eingestellt:
IP-Adresse --> manuell vergeben
IP Adresse: --> 100.100.100.1
Subnet-Maske: --> 255.255.255.255
(Die Einstellungen halt, welche in der Bintec VPN25 im Virtual Interface für diese Verbindung eingestellt wurden)
Im DNS-/WINS-Server steht:
DNS-Server 10.10.1.1
WINS-Server 0.0.0.0
Domain Name: der DOMAIN Name
Unter VPN IP-Netze:
10.0.0.0 / 255.0.0.0
Alle anderen Einstellungen des VPN Clients sollten bekannt sein.
Der Ablauf der Einwahl
Mache ich nun eine VPN Verbindung zur Bintec VPN25 auf so klappt diese.
Wähle mich dann mit eine auf dem Laptop neu angelegte PPTP Verbindung ein, wird mein Konto akzeptiert und der Computer im Netzwerk registriert.
Öffne ich dann den Windows Explorer und durchsuche mein Netzwerk dann steht da erst mal nur der Name des Laptop Rechners drin (Toshiba). Warte ich lange genug und drücke oft genug den Refresh Button dann erscheinen auch irgendwann mal die anderen Computer im Netzwerk.
DANN BEGINNEN ABER DIE FEHLER.
Der RAS Server trägt sich im DNS ebenfalls mit dem Namen Server und der IP 10.0.0.13 ein.
Der Laptop (Toshiba steht im DNS mit toshiba und der IP 100.100.100.1 drin, obwohl die VPN Verbindung doch die IP 10.0.0.12 erhalten hat - für mich nicht schlüssig).
Das Ereignis Protokoll schreibt mir nach ein paar Minuten das der Zeitservice von 2 Zeitquellen konfiguriert wird (richtig da sich der RAS Server ebenfalls ins DNS mit dem Namen "server" und der IP 10.0.0.13 eingetragen hat)
Das Netzwerk-Browsen auf den übrigen Clients im Netzwerk funktioniert noch, bis zu dem Zeitpunkt des Neubootens. Dann können die Clients nicht mehr im Netzwerk browsen. Es werden keine Computer mehr angezeigt. Dies ist erst dann wieder möglich, nachdem ich den RAS Server stoppe und den DNS Eintrag des RAS Servers lösche.
Jetzt lese ich in einem Beitrag, das auf der Bintec VPN 25 Ports freigegeben werden müssen und zwar auf dem WAN Interface. Und zwar die Ports 137-139 und 445. Eventuell noch andere?
Ich weiß jetzt gar nicht mehr weiter und bitte um **eure Hilfe*, um die immer wieder kehrenden Probleme und deren richtige Konfiguration hier einmal genau aufzuzeigen.
Ich bitte hier um Eure Hilfe.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48701
Url: https://administrator.de/contentid/48701
Printed on: April 19, 2024 at 14:04 o'clock
3 Comments
Latest comment
Nach deiner Beschreibung machst du einen generellen Denkfehler bei der Einrichtung deines VPN !
Was du jetzt machst ist ein VPN aufbauen und im VPN nochmal ein VPN zum Server das dann auch noch mit allen Problemen des reversen NAT zu kämpfen hat, von den MTU Problemen die noch kommen mal ganz zu schweigen.
Eigentlich unsinnig diese Konfig und die Vorgehensweise und du solltest dich für ein Verfahren entscheiden denn so wie du es beschreibst ist es technisch falsch.
Entweder:
a.) Port forwarding mit PPTP über den Bintec und dann Einwahl auf dem Server. Der Bintec hat dann mit dem VPN nichts zu tun.
oder
b.) VPN Verbindung vom VPN Client auf den Bintec Router. Dann hat der Server mit dem VPN nichts zu tun.
Technisch die sauberste ist die letzte Variante, da diese dich frei macht von Port Forwarding Problemen am Router und meist auch eine bessere Verschlüsselung bietet. PPTP ist nicht wirklich sicher ! Außerdem funktioniert dein VPN auch immer zuverlässig dann weiter wenn der Server mal nicht online ist !
Da dein Server ja mit dem default Gateway auf den Bintec zeigt ist das Routing mit dem externen VPN Netzwerk 100.x.x.x ja auch kein Problem. RAS und VPN Dienste wären sinnvollerweise hier a.d. Server dann vollkommen überflüssig !
Was du jetzt machst ist ein VPN aufbauen und im VPN nochmal ein VPN zum Server das dann auch noch mit allen Problemen des reversen NAT zu kämpfen hat, von den MTU Problemen die noch kommen mal ganz zu schweigen.
Eigentlich unsinnig diese Konfig und die Vorgehensweise und du solltest dich für ein Verfahren entscheiden denn so wie du es beschreibst ist es technisch falsch.
Entweder:
a.) Port forwarding mit PPTP über den Bintec und dann Einwahl auf dem Server. Der Bintec hat dann mit dem VPN nichts zu tun.
oder
b.) VPN Verbindung vom VPN Client auf den Bintec Router. Dann hat der Server mit dem VPN nichts zu tun.
Technisch die sauberste ist die letzte Variante, da diese dich frei macht von Port Forwarding Problemen am Router und meist auch eine bessere Verschlüsselung bietet. PPTP ist nicht wirklich sicher ! Außerdem funktioniert dein VPN auch immer zuverlässig dann weiter wenn der Server mal nicht online ist !
Da dein Server ja mit dem default Gateway auf den Bintec zeigt ist das Routing mit dem externen VPN Netzwerk 100.x.x.x ja auch kein Problem. RAS und VPN Dienste wären sinnvollerweise hier a.d. Server dann vollkommen überflüssig !
Danke Aqui,
ich habe mir schon sowas gedacht, dass ich da was doppelt mache nachdem ich mir so einige Texte durchgelesen habe.
Wie beginne ich den das richtig. Mit dem Client eine Verbindung zur zur Bintec herstellen und die Bintec als VPN Server benutzen. Ich habe gesehen, dass die Bintec sowas kann. Gut dann habe ich eine Verbidung zur Bintec und lasse mir auch von dieser noch eine IP aus meinem IP Address Breich zuteilen - auch ok. Aber wie melde ich mich dann an meiner Domaine an. Die Bintec kann soweit ich weiß nur PPTP. Da ist dann nichts mehr mit Zertifikaten oder wie löse ich das. Ich verstehe immer noch nicht wenn ich mit dem IPSec Client einen Tunnel aufgemacht habe und in meinem Fall einen IP 100.100.100.1 erhalten habe (aus einem anderen Addresse Breich), wie ich mich dann an meine Domaine anmelde und authentifiziere.
Wäre toll wenn du mir da unter die Arme gleifen könntest.
Danke Purecut
ich habe mir schon sowas gedacht, dass ich da was doppelt mache nachdem ich mir so einige Texte durchgelesen habe.
Wie beginne ich den das richtig. Mit dem Client eine Verbindung zur zur Bintec herstellen und die Bintec als VPN Server benutzen. Ich habe gesehen, dass die Bintec sowas kann. Gut dann habe ich eine Verbidung zur Bintec und lasse mir auch von dieser noch eine IP aus meinem IP Address Breich zuteilen - auch ok. Aber wie melde ich mich dann an meiner Domaine an. Die Bintec kann soweit ich weiß nur PPTP. Da ist dann nichts mehr mit Zertifikaten oder wie löse ich das. Ich verstehe immer noch nicht wenn ich mit dem IPSec Client einen Tunnel aufgemacht habe und in meinem Fall einen IP 100.100.100.1 erhalten habe (aus einem anderen Addresse Breich), wie ich mich dann an meine Domaine anmelde und authentifiziere.
Wäre toll wenn du mir da unter die Arme gleifen könntest.
Danke Purecut
Das ist dann wohl eher ein Windows Problem und was für Windows Knechte.... Netzwerktechnisch wird dir ja über den VPN Tunnel zum Bintec eine direkte Netzwerkverbindung in dein lokales Netz geschaltet. Also es ist netzseitig gesehen das gleiche als ob du dich lokal im Netz an einem Switchport befindest nur das es eben über die VPN Verbindung etwas weniger Bandbreite gibt. Die Infrastruktur ist also da. Wie man den Win Client nun dazu bringt mit dem Domain Server zu reden ist eine andere Baustelle. IP technisch kann er das ja nun...
Meist ist im IPsec Client irgendwo ein Haken den man aktivieren kann, der dann das Login via DFÜ Adapter regelt. Wie gesagt das ist Applikationsabhängig.
Eigentlich sollte die Bintec FAQ Seite da entsprechendes haben...
Meist ist im IPsec Client irgendwo ein Haken den man aktivieren kann, der dann das Login via DFÜ Adapter regelt. Wie gesagt das ist Applikationsabhängig.
Eigentlich sollte die Bintec FAQ Seite da entsprechendes haben...
