32
Remotedesktop Verbindungsprobleme über PPTP zu MS Terminal Server
Hallo Leute,
Habe ein Problem mit einer Remotedesktop Verbindung zu einem TerminalServer von einem PPTP Client.
Konfiguration / Verbindungsaufbau route übers Netzwerk
PPTP oder IPSEC Client => UMTS Datenkarte => Internet => Firewall => VMWare ESX Server => Virtueller MS Terminalserver
Folgende Betriebssysteme:
Client: WinXP SP2
TerminalServer: Win2003 Standart Edition SP 1
So nun zu meinem Phänomen:
Kann vom Client aus zu jedem Rechner/Server egal ob Virtuell oder Physikalisch eine RemoteDesktop Sitzung aufbauen, außer zu dem besagten Terminal Server.
Kommt immer mit einer "Zeitlimit Überschreitung"
PING ist vom Client aus zum TS erfolgreich und auch vom TS zum Client!
Wenn ich zb. ein netstat ausführe am TerminalServer sehe ich den Client und gibt hergestellt zurück!
Auf der Firewall sollte alles richtig konfiguriert sein, ebenso auf den VMWare ESX Servern!
Also wäre SEHR froh wenn irgendwer eine Idee für mich hätte !
Schönen DANK!
Habe ein Problem mit einer Remotedesktop Verbindung zu einem TerminalServer von einem PPTP Client.
Konfiguration / Verbindungsaufbau route übers Netzwerk
PPTP oder IPSEC Client => UMTS Datenkarte => Internet => Firewall => VMWare ESX Server => Virtueller MS Terminalserver
Folgende Betriebssysteme:
Client: WinXP SP2
TerminalServer: Win2003 Standart Edition SP 1
So nun zu meinem Phänomen:
Kann vom Client aus zu jedem Rechner/Server egal ob Virtuell oder Physikalisch eine RemoteDesktop Sitzung aufbauen, außer zu dem besagten Terminal Server.
Kommt immer mit einer "Zeitlimit Überschreitung"
PING ist vom Client aus zum TS erfolgreich und auch vom TS zum Client!
Wenn ich zb. ein netstat ausführe am TerminalServer sehe ich den Client und gibt hergestellt zurück!
Auf der Firewall sollte alles richtig konfiguriert sein, ebenso auf den VMWare ESX Servern!
Also wäre SEHR froh wenn irgendwer eine Idee für mich hätte !
Schönen DANK!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 68901
Url: https://administrator.de/contentid/68901
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
32 Kommentare
Neuester Kommentar
können sich andere clients mit dem ts verbinden? wenn nicht, würde ich die terminaldienstekonfiguraton überprüfen.
hallo norman,
Es können sich im lokalen Netz alle auf den TS verbinden!
über VPN keine Clients
Es können sich im lokalen Netz alle auf den TS verbinden!
über VPN keine Clients
ist der port 1723 für das pptp-protokoll in der firewall freigegeben? der port muss auf den rras-server oder den vpn-server, der die clientanfragen bearbeiten soll, weitergeleitet werden. sonst funktioniert es auch nicht.
können sich die clients auch lokal über vpn mit dem server verbinden?
können sich die clients auch lokal über vpn mit dem server verbinden?
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.
Lokal übers Netzwerk bin ich sofort drauf.
wenn ich dann die Datenkarte einschalte und die VPN Verbindung aufbaue geht es nicht !
Ping wie gesagt funktioniert aber.
Lokal übers Netzwerk bin ich sofort drauf.
wenn ich dann die Datenkarte einschalte und die VPN Verbindung aufbaue geht es nicht !
Ping wie gesagt funktioniert aber.
habt ihr noch einen router mit firewall?
einen Router schon, der alles das nicht im lokalen Netz liegt entweder in unsere Zweigstelle Routet oder sonst auf die Firewall. Aber dieser Routet nur auf Layer 3 und hat keine FW-Funktionalität.
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.
das musst du mir mal genauer erklären. hast du jetzt für die gruppe ipsec alles nur im lokalen netz freigeschaltet? hier müsste doch zumindest ein öffentlicher port (pptp oder ipsec) an einen lokalen port (dein vpn-server) weitergeleitet werden, damit anfragen auch gezielt beatwortet werden können.
Firewall seitig ist alles richtig konfiguriert, komme ja auch auf einen anderen Server eine Romtedesktopverbindung aufmachen, nur hald auf den TS nicht.
Grundsätzlich ist auf der FW Extern ein Port freigeschaltet (PPTP) zum VPN Server auf der FW, dieser vergibt bei positiver Authentifizierung eine IP. Dan existiert noch eine Regel das diese IP oder dieses Netz ins lokale Netz mit any rein darf!
Grundsätzlich ist auf der FW Extern ein Port freigeschaltet (PPTP) zum VPN Server auf der FW, dieser vergibt bei positiver Authentifizierung eine IP. Dan existiert noch eine Regel das diese IP oder dieses Netz ins lokale Netz mit any rein darf!
nutzt ihr als vpn-server den windows 2003 rras dienst oder habt ihr eine andere software? für mich hört sich das an, als wäre der vpn server nicht sauber konfiguriert.
Ist ein Integrieter VPN Server bei der Firewall. Hersteller Securepoint
Wie gesagt denke nicht das es am Portfilter liegt, da ja zu anderen REchner das RDP funktioniert, und das geht alles über die gleiche Regel...
Wie gesagt denke nicht das es am Portfilter liegt, da ja zu anderen REchner das RDP funktioniert, und das geht alles über die gleiche Regel...
moment. du hast ein problem mit vpn und nicht mit rdp, da du ja auch unverschlüsselt ohne vpn eine remoteverbindung aufbauen kannst. und die verbindung ohne vpn zu deinem ts funktioniert ja auch im intranet.
versuche doch mal intern eine vpn-verbindung mit dem vpn-server herzustellen. wenn das geht, lässt die firewall von außen kommende pakete nicht durch. wenn du intern keine vpn-verbindung herstellen kannst, dann liegt es am vpn-server, der nicht sauber konfiguriert ist.
versuche doch mal intern eine vpn-verbindung mit dem vpn-server herzustellen. wenn das geht, lässt die firewall von außen kommende pakete nicht durch. wenn du intern keine vpn-verbindung herstellen kannst, dann liegt es am vpn-server, der nicht sauber konfiguriert ist.
wenn ich die IP adresse am TS ändere komme ich hin ! wenn diese dann wieder auf die vorherige ändere gehts auch noch... Nur so einen Tag später gehts wieder nicht mehr.
Auch wenn es am VPN Server der FW liegen würde, ihn welche Richtung soll ich suchen?
MAC-Adressen aufösung ? es sind ja zb. beim TS (arp cache)unterschiedliche IP adressen zu gleicht MAC adressen drinnen, da ja das interne Interface die Anforderungen auf den TS weitergibt... könnte hier ein Problem bestehen ????
Auch wenn es am VPN Server der FW liegen würde, ihn welche Richtung soll ich suchen?
MAC-Adressen aufösung ? es sind ja zb. beim TS (arp cache)unterschiedliche IP adressen zu gleicht MAC adressen drinnen, da ja das interne Interface die Anforderungen auf den TS weitergibt... könnte hier ein Problem bestehen ????
läuft die firewall auf dem ts? hoffe doch nicht
Natürlich nicht!
FW läuft auf einer eigenen Unix Distribution (VPN-Server ist integriert)
FW läuft auf einer eigenen Unix Distribution (VPN-Server ist integriert)
wenn ich die IP adresse am TS ändere
komme ich hin ! wenn diese dann wieder auf
die vorherige ändere gehts auch noch...
Nur so einen Tag später gehts wieder
nicht mehr.
komme ich hin ! wenn diese dann wieder auf
die vorherige ändere gehts auch noch...
Nur so einen Tag später gehts wieder
nicht mehr.
die fw läuft hoffentlich nicht auf dem ts. kenne zwar deine fw nicht, aber bei softwarefw gibt es immer das problem, dass bei einem zugriff von irgendwoher ein fenster aufgeht, wo man den zugriff bestätigen kann. nicht, dass ein benutzer, der gerade am ts angemeldet ist die nachtricht bekommt und dann den zugriff sperrt. ist zwar weit hergeholt, wollte es aber trotzdem ausschließen
Auch wenn es am VPN Server der FW liegen
würde, ihn welche Richtung soll ich
suchen?
würde, ihn welche Richtung soll ich
suchen?
das problem ist, dass der client keine antwort vom vpn-server erhält, wenn du dich von außen einwählst. deswegen ja mein vorschlag, dich intern mal mit dem vpn-server zu verbinden (also anstelle der öffentlichen ip, die interne ip des vpn-servers). wenn das klappt, funktioniert schonmal der vpn-server und du weißt, dass etwas an der fw nicht stimmt.
MAC-Adressen aufösung ? es sind ja zb.
beim TS (arp cache)unterschiedliche IP
adressen zu gleicht MAC adressen drinnen, da
ja das interne Interface die Anforderungen
auf den TS weitergibt... könnte hier ein
Problem bestehen ????
beim TS (arp cache)unterschiedliche IP
adressen zu gleicht MAC adressen drinnen, da
ja das interne Interface die Anforderungen
auf den TS weitergibt... könnte hier ein
Problem bestehen ????
glaube ich nicht.
Werd das morgen früh gleich probieren! Und dann posten
Schönen Dank vorerst mal.
Schönen Dank vorerst mal.
Hallo,
Hab das grad probiert, also wenn ich im lokalen Netz bin und eine VPN PPTP aufbaue zur FW dann funktioniert es!
Hab das grad probiert, also wenn ich im lokalen Netz bin und eine VPN PPTP aufbaue zur FW dann funktioniert es!
dann wissen wir schon mal, dass der vpn-server funktioniert. wir können also das problem auf die fw eingrenzen.
1. schritt wäre für den moment die fw komplett zu deaktivieren. wenn der zugriff von außen jetzt klappt, sind die port weiterleitungen von außen nach innen falsch.
edit: muss mir mal dazu ein paar gedanken machen
1. schritt wäre für den moment die fw komplett zu deaktivieren. wenn der zugriff von außen jetzt klappt, sind die port weiterleitungen von außen nach innen falsch.
edit: muss mir mal dazu ein paar gedanken machen
Ja Ok,
Hab jetzt nochmal das Regelwerk gecheckt... müsste eigentlich passen.
Internet => FW-Extern => PPTP
PPTP Remote Netz => PPTP Local Netz => ANY
PPTP Local Netz => PPTP Remote Netz => ANY
Stimmt doch so oder ?
Hab jetzt nochmal das Regelwerk gecheckt... müsste eigentlich passen.
Internet => FW-Extern => PPTP
PPTP Remote Netz => PPTP Local Netz => ANY
PPTP Local Netz => PPTP Remote Netz => ANY
Stimmt doch so oder ?
Natürlich
Habe das schon x mal gemacht.
Bin auch Zertifiziert für diese Dinger.... drum bin ich mir ja ziemlich sicher das es nicht am Regelwerk liegt... außer ich hab wirklich einen dummen Fehler übersehen ??!!
Habe das schon x mal gemacht.
Bin auch Zertifiziert für diese Dinger.... drum bin ich mir ja ziemlich sicher das es nicht am Regelwerk liegt... außer ich hab wirklich einen dummen Fehler übersehen ??!!
mal auf dem client die fw deaktiviert?
Beim Client istdie FW deaktiviert
dann kann es nur noch an einem obligatorischen haken liegen, der gesetzt oder nicht gesetzt ist. 
hat die vpn-verbindung von außen überhaupt schon mal funktioniert?
hat die vpn-verbindung von außen überhaupt schon mal funktioniert?
Wäre froh wenns so wäre ...
Die VPN funktioniert schon Jahre,... hald nur auf diesen sch TS nicht
Die VPN funktioniert schon Jahre,... hald nur auf diesen sch TS nicht
Änderung:
wenn ich mich intern über pptp an VPN-Server anmelde geht es NICHT !!
habe mir das nochmal angeschaut, ist nämlich zuerst normal über die Netzwerkkarte gegangen und nicht über das angelegte PPTP-Interface.
habe im einfache eine Route hinzugefügt um in über das PPTP Gateway zu schicken und siehe da es geht nicht mehr!!
Also scheint da doch etwas mit dem VPN-Server zu sein !!
wenn ich mich intern über pptp an VPN-Server anmelde geht es NICHT !!
habe mir das nochmal angeschaut, ist nämlich zuerst normal über die Netzwerkkarte gegangen und nicht über das angelegte PPTP-Interface.
habe im einfache eine Route hinzugefügt um in über das PPTP Gateway zu schicken und siehe da es geht nicht mehr!!
Also scheint da doch etwas mit dem VPN-Server zu sein !!
läuft auf dem ts noch irgendeine fw?
Nein auf dem TS ist alles abgedreht
langsam gehen mir die ideen aus. gibts auf dem vpn-server irgendwelche logs, die eventuell aufschluss geben können? auf welchem host läuft denn vmware?
PROBLEM GELÖST !!
Yupi!
Habe jetzt nochmal mit der Securepoint telefoniert, wir sind uns drauf gekommen das die Firewall die Pakete vom TS nicht fragmentieren kann, aus welchem Grund wird noch abgeklärt.
Auf jeden Fall habe ich dann die MTU beim TS auf 1300 verringert und es funktioniert!!
Auf jeden Fall schönen Dank nochmal, für deine Hilfe das Problem zu lokalisieren, besonders der Tip mit der PPTP Verbindung von Intern war sehr aufschlussreich!!
Danke!
Lg
Rene
Yupi!
Habe jetzt nochmal mit der Securepoint telefoniert, wir sind uns drauf gekommen das die Firewall die Pakete vom TS nicht fragmentieren kann, aus welchem Grund wird noch abgeklärt.
Auf jeden Fall habe ich dann die MTU beim TS auf 1300 verringert und es funktioniert!!
Auf jeden Fall schönen Dank nochmal, für deine Hilfe das Problem zu lokalisieren, besonders der Tip mit der PPTP Verbindung von Intern war sehr aufschlussreich!!
Danke!
Lg
Rene
alles klar. dann wäre ja mal ein howto fällig, für alle, die das gleiche problem haben
Kann man sich ein Tool runterladen, Dr.TCP heißt das mit dem kann man auf die Schnelle die MTU auf dem Interface verändern. Wie gesagt für mein Problem war die Einstellung 1300, kann aber je nach Firewall oder VPN-Server variieren.
Hier der Link zum Tool:
http://www.wintotal.de/softw/index.php?rb=13&id=1078
Hier der Link zum Tool:
http://www.wintotal.de/softw/index.php?rb=13&id=1078
