netzwerker12
Goto Top

RAS für VPN Zugriff auf SBS2003 einrichten

Hallo,

ich bin nun schon seit einer Ewigkeit am suchen aber kann so richtig nichts finden was mir weiterhilft.

Ich möchte auf einem bestehenden SBS 2003 Server den Fernzugriff für einzelne Benutzer erlauben und dafür RAS etc. einrichten. Ich verwende die folgende Konfiguration:

- SBS 2003 Machine mit nur einer Netzwerkkarte
- weitere Clients direkt im lokalen Netz
- das ganze zusammen auf einem NETGEAR Switch FSM 726
- In das Internet geht es über eine Fritz Box die auch auf dem Netgear hängt
- es gibt nur eine dynamische IP aber bereits DynDNS mit einem Namen dafür
(wird schon für Einwahl per Fernwartung genutzt) PC Anywhere

Den RAS habe ich auf dem Server bereits installiert und den Dienst aktiviert. Aber wie nun weiter? Ich denke ja das ich einen bestimmten Port in der FB freigeben muss und diesen dann auf den Server lenken sollte. Was hat es mit L2TP auf sich? Kann ich das überhaupt mit der FB ???

Ich würde mich sehr über eine Hilfe freuen. Danke schon mal.

Uwe

Content-ID: 59553

Url: https://administrator.de/forum/ras-fuer-vpn-zugriff-auf-sbs2003-einrichten-59553.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

trapper-tom
trapper-tom 22.05.2007 um 16:39:29 Uhr
Goto Top
Hi Uwe,

Du hast den RAS-Server mittels Assistenten konfiguriert? Dann richte jetzt von einer Arbeitsstation eine VPN-Verbindung zum Server ein. Dazu die interne IP-Adresse des Servers benutzen. Wenn das funktioniert, muss nur noch der Router (Fritz!-Box) die Protokolle weiterleiten. Wenn nicht, muss Dein Remotebenutzer die entsprechenden Berechtigungen im AD zugewiesen bekommen. Im Router müssen folgende Ports an den Server weitergeleitet werden: TCP/1723,UDP/500,GRE und ESP. Jetzt kann der Remotebenutzer über Dyndns eine Verbindung zum Server aufbauen. Dort erfolgt die Authentifizierung und der VPN-Tunnel kommt zu stande. Jetzt kann mit RDP ode Netzwerkfreigaben gearbeitet werden. Im Router muss nichts mehr eingestellt werden, da der Remotebenutzer nun am lokalen Netzwerk angemeldet ist.

good luck - trapper tom
netzwerker12
netzwerker12 22.05.2007 um 16:58:57 Uhr
Goto Top
Hallo trapper tom,

Hi Uwe,

Du hast den RAS-Server mittels Assistenten
konfiguriert? Dann richte jetzt von einer
Arbeitsstation eine VPN-Verbindung zum Server
ein. Dazu die interne IP-Adresse des Servers
benutzen.

Das habe ich gemacht und funktioniert mit einem Benutzer auch. Mit dem Administrator geht es aber nicht. Kann das sein?
Jetzt blinkt da unten rechts neben meiner Uhrzeit die VPN Verbindung.

Wenn das funktioniert, muss nur
noch der Router (Fritz!-Box) die Protokolle
weiterleiten.

Sind damit die Portfreigaben gemeint ?

Wenn nicht, muss Dein
Remotebenutzer die entsprechenden
Berechtigungen im AD zugewiesen bekommen. Im
Router müssen folgende Ports an den
Server weitergeleitet werden:
TCP/1723,UDP/500,

Das habe ich erledigt.

GRE und ESP.

Gibt es in der FB nicht.

Jetzt kann der
Remotebenutzer über Dyndns eine
Verbindung zum Server aufbauen. Dort erfolgt
die Authentifizierung und der VPN-Tunnel
kommt zu stande.

Und hier bekomme ich einen Fehler 800. Sicherheitseinstellungen etc.

Jetzt kann mit RDP ode
Netzwerkfreigaben gearbeitet werden. Im
Router muss nichts mehr eingestellt werden,
da der Remotebenutzer nun am lokalen Netzwerk
angemeldet ist.

good luck - trapper tom
trapper-tom
trapper-tom 22.05.2007 um 17:30:24 Uhr
Goto Top
zu 1. Hat der administrator die Einwählberechtigung? Ich würde immer mit Administratoräquivalent arbeiten
zu 2. ja, es sind die Portfreigaben
zu 3. Möglich, dass es ESP und GRE nicht gibt. Ich arbeite hinter AVM-KEN! und dort muss ich das explizit freigeben.
zu 4. Evtl. unter RAS-Verwaltung die Sicherheitsrichtlinie anpassen. Ich kann mich erinnern, unter W2K musste man den Zugriff in der Richtlinie erst definieren.

Gruß Trapper Tom
netzwerker12
netzwerker12 22.05.2007 um 18:03:15 Uhr
Goto Top
zu 1. Hat der administrator die
Einwählberechtigung? Ich würde
immer mit Administratoräquivalent
arbeiten

Das häkchen hat gefehlt. Das geht jetzt.
Was genau meinst DU mit "Administratoräquivalent"?

zu 2. ja, es sind die Portfreigaben

OK

zu 3. Möglich, dass es ESP und GRE
nicht gibt. Ich arbeite hinter AVM-KEN! und
dort muss ich das explizit freigeben.

OK

zu 4. Evtl. unter RAS-Verwaltung die
Sicherheitsrichtlinie anpassen. Ich kann mich
erinnern, unter W2K musste man den Zugriff in
der Richtlinie erst definieren.

Und hier scheitert es dann. Alle Einstellungen befinden sich auf dem Windows Standard. Wo könnte ich da etwas konfigurieren? Ich finde da keinerlei Einstellungen im RAS.


Gruß Trapper Tom

Danke schon mal
netzwerker12
netzwerker12 22.05.2007 um 18:24:45 Uhr
Goto Top
Hi Tom,

ich glaube fast das es nicht funktionieren wird mit der FritzBox. Ich habe in einem anderen Forum gefunden das man explizit folgende dinge einstellen können muss:

IPSec Passthrough
PPTP Passthrough
L2TP Passthrough

Diese Funktionen sind der FB allerdings absolut unbekannt und somit wird das nicht funktionieren. Na da werde ich mir wohl mal einen anderen Router besorgen der so etwas kann.

Trotzdem vielen Dank noch mal und Grüße

Uwe
Pjordorf
Pjordorf 22.05.2007 um 18:45:30 Uhr
Goto Top
PPTP geht mit FritzBox aber schon. Die kann nämlich auch VPN passthru. Evtl die Firmaware aktualiseren. L2TP und IPSEC sollten aber auch gehen.
trapper-tom
trapper-tom 23.05.2007 um 08:15:35 Uhr
Goto Top
Hi Uwe,

Administratoräquivalent soll heißen: Ich definiere mit einen Nutzer, der volle Administratorrechte hat. Sowohl als Domän- als auch als loaler Administrator. (z.B. Admin oder Support ...)

Nach er Richtlinie kann ich dann vor Ort beim Kunden schauen. Der hat zwar nur einen W2k3 Standard aber RAS sollte gleich sein.

Melde mich dann.

Gruß - Tom

RAS-Richtlinie:

RAS-Verwaltung->RAS-Zugriff erteilt?
netzwerker12
netzwerker12 23.05.2007 um 12:33:20 Uhr
Goto Top
PPTP geht mit FritzBox aber schon. Die kann
nämlich auch VPN passthru. Evtl die
Firmaware aktualiseren. L2TP und IPSEC
sollten aber auch gehen.

Hi Tom,

leider kam ich erst jetzt wieder an Netz. Die FBF beim Kunden ist nicht die Große sondern nur eine 50xx. Bei der ist die Firmware nicht so umfangreich. Ich habe dem Kunden jetzt ein LANCOM Router angeboten mit dem sowohl SIP Server für VOIP als auch die Geschichte mit VPN möglich ist. Damit sollte das ja dann alles funktionieren. Ich bleibe an unserer Unterhaltung aber dran.

Grüße, Uwe