3
Problem mit VPN - Verbindung steht - ABER...
Hallo!
Ich bin hier neu und habe eine Frage zu VPN. Da ich auch in bestehenden Beiträge noch nicht 100%ig mein Problem entdeckt habe.
Ich habe zu Hause einen VPN-Server eingerichtet. Windows 2000.
Den Server als Standard-NAT bei meinem Router eingetragen.
So jetzt habe ich folgendes Problem: VPN müsst Serverseitig einwandfrei funktionieren, da ich bei Clients eine Verbindung herstellen kann, die direkt im Internet hängen und alles funktioniert.
Nur sobald der Client selbst in einem Netzwerk hängt, kann ich die Verbindung herstelln. jedoch ist dann Schluss. Nicht einmal pingen kann man. Woran kann das liegen??? Müssen die Router in den Netzwerken in denen die Clients sind speziell für Clients konfiguriert werden?
Wie gesagt bei Verbindung Client --> Modem --> Internet --> Router --> Server geht es ohne Probleme.
Bzw. eine zweite Frage:
kann man mit einem einfachen Windows 200 Pro. einrichten, dass das Internet bei bestehender VPN-Verbindung geht, da immer VPN-Server als Standardgateway verwendet wird. Wenn man beim Client diese Option entfernt hat man gar keinen Gateway mehr. DNS kann man einstellen, geht das mit Gateway auch?
Bitte Antworten
Ich bin hier neu und habe eine Frage zu VPN. Da ich auch in bestehenden Beiträge noch nicht 100%ig mein Problem entdeckt habe.
Ich habe zu Hause einen VPN-Server eingerichtet. Windows 2000.
Den Server als Standard-NAT bei meinem Router eingetragen.
So jetzt habe ich folgendes Problem: VPN müsst Serverseitig einwandfrei funktionieren, da ich bei Clients eine Verbindung herstellen kann, die direkt im Internet hängen und alles funktioniert.
Nur sobald der Client selbst in einem Netzwerk hängt, kann ich die Verbindung herstelln. jedoch ist dann Schluss. Nicht einmal pingen kann man. Woran kann das liegen??? Müssen die Router in den Netzwerken in denen die Clients sind speziell für Clients konfiguriert werden?
Wie gesagt bei Verbindung Client --> Modem --> Internet --> Router --> Server geht es ohne Probleme.
Bzw. eine zweite Frage:
kann man mit einem einfachen Windows 200 Pro. einrichten, dass das Internet bei bestehender VPN-Verbindung geht, da immer VPN-Server als Standardgateway verwendet wird. Wenn man beim Client diese Option entfernt hat man gar keinen Gateway mehr. DNS kann man einstellen, geht das mit Gateway auch?
Bitte Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40192
Url: https://administrator.de/contentid/40192
Printed on: April 23, 2024 at 06:04 o'clock
3 Comments
Latest comment
Eine Antwort ist bei den spärlichen Daten nicht einfach.....
Was genau meinst du mit "Den Server als Standard-NAT bei meinem Router eingetragen." ???
Als erstes ist es unerlässlich erstmal zu wissen WELCHES VPN Protokoll du denn überhaupt benutzt ??? Ist es IPsec mit ESP, IPsec mit AH, PPTP, L2TP, SSL oder SSH oder noch was anderes ???
Alle diese Verfahren nutzen unterschiedliche Protokolle und davon hängt im entscheidenden Maße deine Konfiguration bzw. deine Funktion ab.
Spielen wir es mal für den MS Klassiker PPTP ( Point to Point Tunneling Protokoll) durch:
PPTP nutzt TCP Port 1723 für den Schlüsselaustausch und GRE (Generic Route Encapsulation, Protokoll Nummer 47) für die Übertragung der Wirkdaten.
Dein Router am Server muss also um den NAT (Network Adress Translation) Prozess zu überwinden ein statisches Forwarding vom TCP Port 1723 und ein statisches GRE Forwarding des Protokolls 47 (Achtung kein TCP oder UDP Port 47 !) auf die IP Adresse des Servers supporten.
Ich denke mal das meinst du mit deinem Satz "Den Server als Standard-NAT bei meinem Router eingetragen." und es scheint ja auch zu funktionieren sofern die Clients direkt im Internet sind.
Hast du diese nun ebenfalls in einem LAN Segment hinter einem NAT Router greift wieder der Mechanismus von oben. Direkt im Internet hast du keine NAT Probleme, da du eine direkte IP Internet Adresse vom Carrier bekommst.
(Die Probleme sind damit dann andere im Bereich der Sicherheit...)
Hinter einem NAT Router gilt dann die entsprechende Konfig von oben auch für die Clients.
Dieser Router muss zwingend GRE Forwarding und auch TCP Port 1723 supporten auch oft "VPN Passthrough" genannt. Kann er das nicht ists nichts mit PPTP und du musst dir eine Alternative suchen.
Der 2. Nachteil ist das dieses Setting gerade mal für einen einzigen Client hinter einem Router funktioniert niemals für mehrere.
Hier hilft dir dann nur eine Router zu Router VPN Verbindung indem ein Netzwerk transparent getunnelt wird oder andere Techniken wie z.B. ein SSL Gateway.
Was genau meinst du mit "Den Server als Standard-NAT bei meinem Router eingetragen." ???
Als erstes ist es unerlässlich erstmal zu wissen WELCHES VPN Protokoll du denn überhaupt benutzt ??? Ist es IPsec mit ESP, IPsec mit AH, PPTP, L2TP, SSL oder SSH oder noch was anderes ???
Alle diese Verfahren nutzen unterschiedliche Protokolle und davon hängt im entscheidenden Maße deine Konfiguration bzw. deine Funktion ab.
Spielen wir es mal für den MS Klassiker PPTP ( Point to Point Tunneling Protokoll) durch:
PPTP nutzt TCP Port 1723 für den Schlüsselaustausch und GRE (Generic Route Encapsulation, Protokoll Nummer 47) für die Übertragung der Wirkdaten.
Dein Router am Server muss also um den NAT (Network Adress Translation) Prozess zu überwinden ein statisches Forwarding vom TCP Port 1723 und ein statisches GRE Forwarding des Protokolls 47 (Achtung kein TCP oder UDP Port 47 !) auf die IP Adresse des Servers supporten.
Ich denke mal das meinst du mit deinem Satz "Den Server als Standard-NAT bei meinem Router eingetragen." und es scheint ja auch zu funktionieren sofern die Clients direkt im Internet sind.
Hast du diese nun ebenfalls in einem LAN Segment hinter einem NAT Router greift wieder der Mechanismus von oben. Direkt im Internet hast du keine NAT Probleme, da du eine direkte IP Internet Adresse vom Carrier bekommst.
(Die Probleme sind damit dann andere im Bereich der Sicherheit...)
Hinter einem NAT Router gilt dann die entsprechende Konfig von oben auch für die Clients.
Dieser Router muss zwingend GRE Forwarding und auch TCP Port 1723 supporten auch oft "VPN Passthrough" genannt. Kann er das nicht ists nichts mit PPTP und du musst dir eine Alternative suchen.
Der 2. Nachteil ist das dieses Setting gerade mal für einen einzigen Client hinter einem Router funktioniert niemals für mehrere.
Hier hilft dir dann nur eine Router zu Router VPN Verbindung indem ein Netzwerk transparent getunnelt wird oder andere Techniken wie z.B. ein SSL Gateway.
Danke für die Antwort!
Habe PPTP und L2TP ausprobiert.
Habe beim Router eingetragen, dass alle ankommenden Verbindungen ohne Portbeschränkung direkt zum Server weitergeleitet werden, da mein Router sonst das GRE nicht unterstützten würde.
Die Verbindung innerhalb meines Netzes von außen müsste somit funktionieren, was es aucht tut.
Meinst du also die Clients die hinter einem NAT-Router sind können nicht zugreifen, da in diesen Netzwerken auch jeder Router diese Ports weiterleiten müsste? Viele Router unterstützten ja das GRE-Protokoll nicht. Außerdem kann ich den Netzadministratoren sagen, dass sie einfach gewisse Ports für mich freischalten sollen ;)
Gibt es da eine Lösung außer OpenVPN, da ich die Einstellung für Clients nicht besonders Benutzerfreundlich halte. Suche nach Lösung wie Cisco VPN Client oder eben einfach über Windows-Netzwerkverbindungen.
Welche Prots benötigt IPSec?
Ist der D-Link DI-804HV eine Lösung? Der unterstützt auch dynamisches VPN und IKE. Habe keine Ahnung was das genau ist.
IKE ist doch eine Methode von IPSec wenn ich mich nicht irre??
Mit diesem Router hätte ich dann auch das problem beseitigt, dass nur 1 Client zugreifen könnte, da mehrere unterstützt werden.
Habe PPTP und L2TP ausprobiert.
Habe beim Router eingetragen, dass alle ankommenden Verbindungen ohne Portbeschränkung direkt zum Server weitergeleitet werden, da mein Router sonst das GRE nicht unterstützten würde.
Die Verbindung innerhalb meines Netzes von außen müsste somit funktionieren, was es aucht tut.
Meinst du also die Clients die hinter einem NAT-Router sind können nicht zugreifen, da in diesen Netzwerken auch jeder Router diese Ports weiterleiten müsste? Viele Router unterstützten ja das GRE-Protokoll nicht. Außerdem kann ich den Netzadministratoren sagen, dass sie einfach gewisse Ports für mich freischalten sollen ;)
Gibt es da eine Lösung außer OpenVPN, da ich die Einstellung für Clients nicht besonders Benutzerfreundlich halte. Suche nach Lösung wie Cisco VPN Client oder eben einfach über Windows-Netzwerkverbindungen.
Welche Prots benötigt IPSec?
Ist der D-Link DI-804HV eine Lösung? Der unterstützt auch dynamisches VPN und IKE. Habe keine Ahnung was das genau ist.
IKE ist doch eine Methode von IPSec wenn ich mich nicht irre??
Mit diesem Router hätte ich dann auch das problem beseitigt, dass nur 1 Client zugreifen könnte, da mehrere unterstützt werden.
PPTP nutzt GRE und L2TL nutzt IPsec, also 2 unterschiedliche Verfahren die unterschiedliche Ports benutzen und unterschiedliche Anforderungen an die Router. Das ist generell die Crux mit solchen VPN Clients hinter NAT Routern gerade wenn man mehrere in einem Segment hat.
Ciscos VPN Client supported NAT Traversal, hat also diese NAT Probleme nicht aber das ist ein proprietäres Verfahren und funktioniert wie du dir denken kannst nur mit Cisco Komponenten
In so einem Szenario mit mehreren Clients würde ich immer ein SSL Gateway nutzen. Deine Clients brauchen dann nichts anderes als einen Browser wie Firefox oder IE. Sie melden sich an einem SSL VPN Server an und alle relevanten Daten werden dann über eine verschlüsselte HTTPS Verbindung getunnelt. Das befreit einen von lästigen NAT Problemen und Client konfigurationen. Allerdings bedeutet das für dich die Anschaffung eines solchen Gateways oder natürlich kann man sowas auch mit Open Source sprich Linux preiswert lösen
Ciscos VPN Client supported NAT Traversal, hat also diese NAT Probleme nicht aber das ist ein proprietäres Verfahren und funktioniert wie du dir denken kannst nur mit Cisco Komponenten
In so einem Szenario mit mehreren Clients würde ich immer ein SSL Gateway nutzen. Deine Clients brauchen dann nichts anderes als einen Browser wie Firefox oder IE. Sie melden sich an einem SSL VPN Server an und alle relevanten Daten werden dann über eine verschlüsselte HTTPS Verbindung getunnelt. Das befreit einen von lästigen NAT Problemen und Client konfigurationen. Allerdings bedeutet das für dich die Anschaffung eines solchen Gateways oder natürlich kann man sowas auch mit Open Source sprich Linux preiswert lösen
