dewib
Goto Top

SBS2003 als VPN Server. Keine 2 VPN Clients nicht gleichzeitig???

Hallo zusammen,

ich stehe vor folgendem Problem:

Ich betreibe einen SBS2003 als VPN Server hinter einem DSL Router mit NAT. Das VPN funktioniert, es gibt 3 externe Clients an unterschiedlichen Standorten, alle können connecten, auch gleichzeitig.
Nun ist in einem externen LAN ein weiterer Client hinzugekommen. Es sollen nun also aus einem LAN zwei Clients gleichzeitig per VPN auf den SBS zugreifen. Und hier hakt's. Es kann immer nur einer der beiden die VPN Verbindung etablieren, der andere erhält Fehler 721. Trennt man auf dem einen Client die VPN Verbindung, geht sie auf dem anderen plötzlich.
Die Clients hängen hinter einen NAT Router und gehen über DSL ins Web. Nach außen ist also nur eine IP-Adresse sichtbar. Mehr bekommt auch der SBS nicht zu sehen. Ist das vielleicht das Problem? Kann er nicht zwei verschiedene Clients (eigene Benutzernamen!) unter der selben öffentlichen IP im VPN akzeptieren?

Wie kann ich das Problem lösen? Es müssen unbedingt beide Clients des externen LANs im VPN arbeiten können. Weiß jemand eine Lösung???

Danke und Gruß...
ich

Content-ID: 19421

Url: https://administrator.de/contentid/19421

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

21998
21998 22.12.2005 um 14:18:08 Uhr
Goto Top
Hallo,

habe seit ein paar Tagen genau das gleiche Problem und dabei ist es auch völlig egal wer sich aus dem exteren Netz anzumelden versucht. Meiner Meinung nach muß das eine Einstellung am Server sein, denn noch vor einer Woche funktionierte die Mehrfachanmeldung aus dem externen Netz (zumindest laut user) einwandfrei. Da es aber Probleme mit der Namensauflösung gab, habe ich die Reverse Lookupzone neu erstellt und einen WINS Server aufgesetzt. Seitdem funktioniert zwar die Namensauflösung (z.B. interner Client pingt auf den Namen des externen Clients), aber halt die Mehrfachanmeldung aus dem externen Netz nicht mehr.

Würde mich interessieren ob du auch WINS und/oder Reverse Lookupzone am laufen hast.

Grüsse
dewib
dewib 22.12.2005 um 15:08:15 Uhr
Goto Top
Ich habe weder WINS noch Reverse Lookup. Namensauflösung brauch ich im VPN nicht, darum hab ich mich nicht damit rumgeplagt.

Mein Problem hat sich etwas verwirrender dargestellt mittlerweile. In bestimmten Konstellationen geht's nämlich. So schaut's jetzt aus:

Client-Seite:

- 1x PC mit WinXP
- 1x Notebook mit WinXP
- 1x Powerbook mit Mac OSX
- 1x Router AVM FritzBox Fon WLAN 7050 (vorher Draytak Vigor 2500We)
- lokale LAN IP's statisch (kein DHCP), Bereich 192.168.1.xxx


Server-Seite:

- 1x Server mit Win2003 SBS (als eierlegende Wollmilchsau: PDC, DB-Server, Exchange-Server, Fileserver, Printserver, VPN-Server)
- 2x PC's mit WinXP
- 1x Notebook mit WinXP
- 1x Router Netgear WGR614 v4
- lokale LAN IP's statisch (kein DHCP), Bereich 192.168.0.xxx
- IP-Vergabe im VPN per DHCP (Win2003 SBS ist DHCP-Server)
- VPN wird vom Server softwarebasiert bereitgestellt
- Einwahlberechtigungen über Routing und RAS Regeln gesteuert
- jeder VPN-Client hat einen eigenen Benutzeraccount, der nur zur VPN-Einwahl, nicht aber zur lokalen Anmeldung in der Domäne berechtigt ist.
- Protokoll ist PPTP, 128bit 3DES-Verschlüsselung


Folgendes geht / geht nicht:

- Client-PC baut VPN auf: geht
- Client-PC + Mac-Powerbook bauen VPN gleichzeitig auf: geht
- Client-Notebook + Mac-Powerbook bauen VPN gleichzeitig auf: geht auch
- Client-PC und Client-Notebook bauen VPN gleichzeitig auf: geht nicht!

Im letzten Fall ist es so wie bereits oben beschrieben. Entweder kann der zweite Rechner erst gar keine VPN-Verbindung aufbauen (Fehler 721), oder alternativ besteht die Verbindung bei beiden, aber keiner kann mehr auf das VPN zugreifen (kein Outlook, kein Remotedesktop, keine Shares).

Was so verwirrend ist: ein Mac- und ein XP-Client gleichzeitig funktionieren genauso wunderbar und prächtig wie ein Client alleine. Aber 2 XP-Clients gleichzeitig funktionieren nicht. Da ist doch was faul!!! Was soll das? Ich find den Fehler einfach nicht.


In einem anderen Forum wurde ich auf diese Links aufmerksam gemacht. Ist zwar linux-lastig, aber trotzdem interessant.
http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade.html
http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade-2.html# ...
http://www.impsec.org/linux/masquerade/VPN-howto/VPN-Masquerade-2.html# ...

Wirklich weitergebracht hat's mich auch nicht. Weil's ein bisschen widersprüchlich zu dem ist, was bei mir funktioniert, aber laut diesen Beschreibungen nicht funktionieren dürfte.

Also Problem nach wie vor ungelöst. face-sad Leider!
21998
21998 23.12.2005 um 08:46:55 Uhr
Goto Top
Habe leider kein anderes Betriebssystem zur verfügung um das zu testen. Es wäre wirklich interessant zu wissen was ein Mac bei der VPN verbindungsherstellung anders macht als ein XP Client.

Habe mal die Ereignisanzeige von System durchforstet. Jedesmal wenn der genannte Fehler auftritt wird folgendes protokolliert:

Quelle: Rasman
Typ: Warnung
Ereigniskennung: 20209

Es wurde eine Verbindung zwischen dem VPN-Server und dem VPN-Client xxx.xxx.xxx.xxx initiiert, aber die VPN-Verbindung konnte nicht hergestellt werden. Der wahrscheinlichste Ursache dafür ist, dass der Firewall bzw. der Router zwischen dem VPN-Server und dem VPN-Client nicht so konfiguriert ist, dass GRE-Pakete (Generic Routing Encapsulation) zugelassen sind (Protokoll 47). Stellen Sie sicher, dass die Firewalls bzw. Router zwischen dem VPN-Server und dem Internet GRE-Pakete zulassen. Stellen Sie ebenfalls sicher, dass die Firewalls bzw. Router im Netzwerk des Benutzers auch so konfiguriert sind, dass GRE-Pakete zugelassen sind. Wenn das Problem weiterhin besteht, sollte der Benutzer sich an den Internetdienstanbieter wenden, um zu ermitteln, ob der Internetdienstanbieter eventuell GRE-Pakete blockt.


Aber, daran kann es nicht liegen, weil natürlich GRE als auch 1723 TCP zum Server geforwarded werden. Sonst würde es ja überhaupt nicht funktionieren. Auf der Client Seite macht es wohl wenig Sinn die GRE Pakete an irgendeinen Rechner forzuwarden.

Es ist wirklich zum verzweifeln, denke schon darüber nach ein Router-zu-Router VPN aufzubauen oder das ganze statt über PPTP über IPSec zu probieren, vielleicht klappts ja dann.
ghofmann
ghofmann 02.06.2006, aktualisiert am 18.10.2012 um 17:56:56 Uhr
Goto Top
Router-zu-Router-Verbindung wär wahrscheinlich wirklich das beste, siehe auch hier:
2 x VPN Verbindung aus einem privaten LAN geht nicht
intel386
intel386 01.09.2008 um 16:43:06 Uhr
Goto Top
So Jahre sind vergangen und ich muss mal diesen alten Threat zum Leben erwachen lassen. Da ich jetzt auch das problem habe und keine zweite verbidnung aufgebaut bekomme bzw. nichtmal eine.. erst nach 3 fehlgeschlagen Verbindungen will er die verbindung wieder aubauen.

Danach sehe ich in der Ereignisanzeige das gleiche was steirol am "23.12.2005 um 08:46:55 Uhr" schrieb.

Ich hoffe nach sovielen Jahren hat jemand den Fehler gefunden und könnte mir ein Tipp geben.
DaniSane
DaniSane 10.12.2008 um 10:15:16 Uhr
Goto Top
So Monate sind vergangen face-smile

1) hat den jemand eine Lösung für das Problem?
(2 Client aus dem selben entfernten Netz bauen VPN Verbindung gegen den gleichen Server auf)

2) Warum geht Win + Mac scheinbar gleichzeitig und 2x Win nicht?

3) gibt es zeitgemäße Router die man PPTP konfiguriren kann?
die Fritz.Box kann es z.B. nicht !
dewib
dewib 10.12.2008 um 10:29:28 Uhr
Goto Top
zu 1)
Nein, mir ist keine Lösung bekannt.

zu 2)
Keine Ahnung.

zu 3)
Schau Dir mal die Geräte von Draytek (www.draytek.de) an, die können das. Zumindest mein 7 Jahre alter Vigor 2500We (den gibt's schon gar nimmer zu kaufen) kann's. Dann werden es die aktuelleren Modelle sicher auch können.