Server 2008 DC als VPN-Server, Einwahl klappt aber kein Netzwerkzugriff
Hallo,
seit Tagen versuche ich ein Problem zu lösen das ich derzeit mit der VPN-Einwahl habe.
Die Clients können sich ohne Problem auf dem VPN Server einwählen. Der Server steht hinter einem DSL-Router mittels "Passthroug" werden die Clients bzw. deren Anfragen an den VPN Server weiter geleitet.
Auf dem VPN Server ist DHCP installiert und aktiviert, ebenso ist ein DNS Server vorhanden (Ist bei DC ja üblich!). Ein DC als Einwahlserver wurde gewählt damit es ohne viel Aufwand eine AD Zugangsberechtigung gibt die auch die verschiedenen Benutzerrechte berücksichtigt. Ein normaler VPN-Router bringt das nicht so.
Die Einwahl klappt ohne Probleme, der DHCP weist die richtigen IP's zu, ebenso werden die Server bzw. Bereichsoptionen mitgegeben.
Bis hierher ist alles richtig und läuft einwandfrei.
Was nicht geht, ist der Zugriff auf verschiedene Netzwerkressourcen sowie virt. Maschinen.
Habe schon mehrfach die RAS-Konfig geprüft, ist benutzerdefiniert eingerichtet als VPN-Server, also ohne Assistent.
Der Client kann den Server anpingen aber sonst keinen anderen Rechner.
Auch die Clienteinstellungen müssten passen, den auch nach erfolgter Einwahl ist der Internet zugriff möglich. (Entsprechender Hacken bei den Netzwerkeinstellungen wurde rausgenommen.
Bisher funktionierte das Ganze auch mit einen 2003 Server bzw. Domänencontroller (DC) ohne irgendwelchen Problemen.
Der Ärger taucht erst auf als der 2003 DC durch einen 2008 DC ersetzt wurde.
Ich habe natürlich vorher gegoogelt bevor ich hier die Frage reinstelle, aber es gibt zwar viel über VPN zu finden aber eine passende Lösung für mein Problem habe ich nicht gefunden. Allerdings waren auch die Fragestellungen anders.
Kann es sein das ein 2008 VPN Server soviel anders ist als ein 2003 VPN Server?
Oder liegt es daran das der VPN Server ein DC ist?
Folgende Maßnahmen im Rahmen der Fehlersuche habe ich ausgeführt:
RAS neu aufgesetzt und konfiguriert
Mittels Gruppenrichtlinienverwaltung:
Gruppenrichtlinie für DC außer Kraft gesetzt
Gruppenrichtlinie für Domäne außer Kraft gesetzt.
Firewall ausgeschaltet (beide, sowohl über GPO als auch über firewall direkt in der Systemsteuerung
Nachdem mir jetzt im Moment nichts mehr einfällt, wende ich mich hier ans Forum.
Vielleicht hat einer die passende Lösung oder einen produktiven Input
Schon mal danke für Support
Lucky
seit Tagen versuche ich ein Problem zu lösen das ich derzeit mit der VPN-Einwahl habe.
Die Clients können sich ohne Problem auf dem VPN Server einwählen. Der Server steht hinter einem DSL-Router mittels "Passthroug" werden die Clients bzw. deren Anfragen an den VPN Server weiter geleitet.
Auf dem VPN Server ist DHCP installiert und aktiviert, ebenso ist ein DNS Server vorhanden (Ist bei DC ja üblich!). Ein DC als Einwahlserver wurde gewählt damit es ohne viel Aufwand eine AD Zugangsberechtigung gibt die auch die verschiedenen Benutzerrechte berücksichtigt. Ein normaler VPN-Router bringt das nicht so.
Die Einwahl klappt ohne Probleme, der DHCP weist die richtigen IP's zu, ebenso werden die Server bzw. Bereichsoptionen mitgegeben.
Bis hierher ist alles richtig und läuft einwandfrei.
Was nicht geht, ist der Zugriff auf verschiedene Netzwerkressourcen sowie virt. Maschinen.
Habe schon mehrfach die RAS-Konfig geprüft, ist benutzerdefiniert eingerichtet als VPN-Server, also ohne Assistent.
Der Client kann den Server anpingen aber sonst keinen anderen Rechner.
Auch die Clienteinstellungen müssten passen, den auch nach erfolgter Einwahl ist der Internet zugriff möglich. (Entsprechender Hacken bei den Netzwerkeinstellungen wurde rausgenommen.
Bisher funktionierte das Ganze auch mit einen 2003 Server bzw. Domänencontroller (DC) ohne irgendwelchen Problemen.
Der Ärger taucht erst auf als der 2003 DC durch einen 2008 DC ersetzt wurde.
Ich habe natürlich vorher gegoogelt bevor ich hier die Frage reinstelle, aber es gibt zwar viel über VPN zu finden aber eine passende Lösung für mein Problem habe ich nicht gefunden. Allerdings waren auch die Fragestellungen anders.
Kann es sein das ein 2008 VPN Server soviel anders ist als ein 2003 VPN Server?
Oder liegt es daran das der VPN Server ein DC ist?
Folgende Maßnahmen im Rahmen der Fehlersuche habe ich ausgeführt:
RAS neu aufgesetzt und konfiguriert
Mittels Gruppenrichtlinienverwaltung:
Gruppenrichtlinie für DC außer Kraft gesetzt
Gruppenrichtlinie für Domäne außer Kraft gesetzt.
Firewall ausgeschaltet (beide, sowohl über GPO als auch über firewall direkt in der Systemsteuerung
Nachdem mir jetzt im Moment nichts mehr einfällt, wende ich mich hier ans Forum.
Vielleicht hat einer die passende Lösung oder einen produktiven Input
Schon mal danke für Support
Lucky
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222262
Url: https://administrator.de/forum/server-2008-dc-als-vpn-server-einwahl-klappt-aber-kein-netzwerkzugriff-222262.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
9 Kommentare
Neuester Kommentar
Hacken ?
http://www.duden.de/suchen/dudenonline/der%20Haken
Interessant wäre zu wissen WELCHES VPN Protokoll du verwendest ?? PPTP, L2TP, OVPN ??
Grundlagen zur PPTP Einrichtung findest du hier:
VPNs einrichten mit PPTP
Es gibt mehrere Möglichkeiten woran es liegen kann:
Leider sagst du rein gar nix zum Design ob hinter oder nicht hinter NAT usw. und ob das Firewall Profil des Servers entsprechend richtig ist sofern du das VPN mit Winblows realisierst und nicht mit einem Router oder Firewall wie es eigentlich üblich ist.
Prüfe diese 3 wichtigen Kriterien ! Mit an Sicherheit grenzender Wahrscheinlichkeit hast du wie immer in solchen Szenarien eine der 3 oder mehr nicht beachtet und deshalb klappt es nicht !!
Traceroute und Pathping sind hier deine besten Freunde zum Troubleshooting.
http://www.duden.de/suchen/dudenonline/der%20Haken
Interessant wäre zu wissen WELCHES VPN Protokoll du verwendest ?? PPTP, L2TP, OVPN ??
Grundlagen zur PPTP Einrichtung findest du hier:
VPNs einrichten mit PPTP
Es gibt mehrere Möglichkeiten woran es liegen kann:
- "Passthrough" wie du es oben nennst ist natürlich ziemlicher Blödsinn !! Wenn dein VPN Gateway hinter einem NAT (Adress Translation) Router steht musst du hier zwingend Port Forwarding am Router verwenden. Welche Ports du forwardest hängt entscheidend vom verwendeten VPN Protokoll ab. PPTP: TCP 1723 und das GRE Protokoll mit der IP Nummer 47 (kein TCP/UDP 47 !), L2TP: UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50 (kein TCP/UDP 50 !). Andere protokolle nutzen noch andere Ports !
- Deine Firewall Einstellungen der lokalen Firewall sind nicht angepasst. Aus einem VPN kommst du mit einer fremden IP Adresse die die lokale Firewall der Systeme auf die du zugreifen willst sofort blockt, denn sie lässt nur die lokalen IPs zu. Das musst du anpassen. Gilt auch für Ping (ICMP Protokoll)
- Es ist möglich das die angesprochenen Systeme ein anderes Default Gateway haben. Wenn du nun aus deinem VPN Server kommst mit deinen Paketen schicken diese Systeme alles an das Default Gateway (ggf. der lokale Router) Hat der aber keine statische Route auf den VPN Server gehen die Pakete ins Nirwana. Der VPN Server ist ja dein Router ins VPN folglich muss also ein Default Gateway immer eine statische IP Route auf das VPN mit Next Hop IP VPN Server haben !
Leider sagst du rein gar nix zum Design ob hinter oder nicht hinter NAT usw. und ob das Firewall Profil des Servers entsprechend richtig ist sofern du das VPN mit Winblows realisierst und nicht mit einem Router oder Firewall wie es eigentlich üblich ist.
Prüfe diese 3 wichtigen Kriterien ! Mit an Sicherheit grenzender Wahrscheinlichkeit hast du wie immer in solchen Szenarien eine der 3 oder mehr nicht beachtet und deshalb klappt es nicht !!
Traceroute und Pathping sind hier deine besten Freunde zum Troubleshooting.
Hallo,
Nein.
Gruß,
Peter
Nein.
Im Rahmen vom austesten wurde auch die Firewall deaktiviert,
Welche Firewall? Da ist mehr als eine in deiner gesamten Kette.Auf ICMP hatte ich besonders geachtet, das war mir bekannt
Sehe ich genauso, deshalb habe ich zum testen die Firewall ausgeschalten, dann dürfte doch nichts mehr blocken!
Auch ier. Welche Firewall?Tracert und Pathping habe ich natürlich verwendet,
Ein Ping kommt bei dir nicht in Frage? Schon mal die Pakete und deren Verlauf mit einem Kabelhai dir angeschaut? Wo gehen die hin bzw. was kommt nicht zurück usw.Du kannst also ausschließen dass es keine Besonderheit gibt weil der 2008 VPN Server zugleich DC ist?
Sollten im Normalfall nicht hindern. Aber wir kennen z.B. deine GPOs und alle anderen Randbedingungen deines Netzes nicht.Gruß,
Peter
..."Stelle gerade fest dass man hier keine Bilder einfügen kann!!!! "
Blödsinn wie immer…. FAQs bitte lesen !
Blödsinn wie immer…. FAQs bitte lesen !
- Klicke oben auf dein Symbol, meine Inhalte, dann Fragen und wählen deinen Thread hier aus !
- Da klickst du auf "Bearbeiten" und siehst oben im Menü "Bilder hochladen"
- Das klickst du und lädst dein(e) Bilder(er) hoch
- Denn erscheinenden Bilder URL cut and pastest du mit einem Rechtsklick und sichern
- Diesen URL kannst du jetzt in jeglichen Text hier bringen. Auch Antworten und PMs. Statt des URLs wird immer dein Bild angezeigt.
Hallo,
Gruß,
Peter
Zitat von @LuckyMchn:
Die anderen Firewalls sind aus, weil ich wie man sehen kann, die relevanten GPO's deaktiviert habe.
Ich meinte deine Router Firewalls auf beiden seiten, deinen Client Firewalls auf beiden Seiten, deinen evtl RRAS Server mit ihren Firewalls usw. Die Kette von einem Ende zum anderen Ende hat also mehr als EINE Firewall. Welche meinst du dann immer?Die anderen Firewalls sind aus, weil ich wie man sehen kann, die relevanten GPO's deaktiviert habe.
Also in Worten, wenn die GPO deaktiviert ist, ist auch die integrierte Firewall deaktiviert, um genau zu sein sind es ja 3 FW :domain, public, privat
FALSCH, das sind keine getrennten Firewalls. Das ist eine einzige Firewall aber 3 verschieden Profile oder Zugriffsszenarien die von Hause unterschiedliche einstellungen aufweisen.Außerdem ist auch die Servereigene FW (Systemsteuerung) deaktiviert.
Firewalls deaktivieren ist immer schlecht bzw. ein Zeichen das jemand keine bzw. wenig Ahnung hat was denn nun passiert. (Alles was der Mensch nicht kennt oder erklären kann macht ihm Angst und daher will er es vorsorglich Vernichten).Hatte schöne screeenshots vom Router, aber geht halt nicht!
Aqui hats dir doch gesagtder RAS eine Apipa IP in der Form 169.200.x.x ausgibt
APIPA haben 169.254.0.0/16. Deine ist somit keine APIPA. Und wenn der RRAS dem Client diese IP zuteilt ist es auch keine APIPA. Eine APIPA kann ein Client sich nur selbst ausstellen, eben weil er keine IP angeboten bzw. zugeteilt bekommen hat. Damit hat ein Client auf jeden fall eine IP sodass Programmen zumindest nicht schon an einer 0.0.0.0 scheitern. Wenn dein Client also eine APIPA hat, hat er sich diese mangels eines DHCP Servers (Egal ob echter DHCP Server oder RRAS dies tut) selbst ausgestellt.Die passt ja gar nicht zum LAN, aber in dem Fall kann ich alle Maschinen pingen, verstehe jetzt die Logik bzw. Unlogik nicht.
Du hast ein RRAS bzw. Router eingerichtet. Wie lauten die Routen? Ohne ein Routen ist kein Zugriff möglich.Das Netz ist ...192.168.152.000,
Der Router ist 192.168.152.001,
Der RAS ist ...192.168.152.022 (10)
Der DHCP .....192.168.152.050
Untereinander stehend zeigen alle auf EIN (1) Netz. Wie willst du in Ein (1) Netz von wo nach wo Routen? Da jätt nett.Der Router ist 192.168.152.001,
Der RAS ist ...192.168.152.022 (10)
Der DHCP .....192.168.152.050
Wenn ich mit dem "Hai" prüfe wie der Ping läuft taucht immer wider redirekt nach 192.168.152.1 (DSL-Router)
Schicke alles was du nicht kennst an das GW (dein DSL Router) anstatt direkt an das andere Netz. Dein Router sagt dir das du auch einen Direkten Weg zum anderen Netz hast, aber du hast eben keine Route dahin. IPConfig /all sowie Route Print sind deine Freunde.Habe auch am DSL Router eine statische Route eingetragen
Warum?Ziel Netz 192.168.152.0 Gateway 192.168.152.1.
Was soll denn deiner Meinung nach hier geroutet werden? Netzangabe bzw. Subnetzmaske fehlt.Aber ist das nicht doppelt gemoppelt nach dem der DSL Router ohnehin die 192.168.152.1 hat.
Nimm ein Stück Papier und Bleistift. Mal dein Geräte alle auf. Schreib die jetzigen IPs an den jeweiligen Geräten. Was ist daraus zu erkennen? Jetzt schreib deine gewünschte VPN Verbindung hinzu. Gib aucvh diese deine wunsch IPs. Macht ein Routing jetzt sinn? Hat jedes Gerät und jedes Netz seine ihm zugewiesene IPs? Ist es so jetzt auch auf deinen VPn Server eingerichtet bzw. sind die Firewalls entsprechend angepasst?schauma mal ob ihn einer von Euch gleich sieht!!
Diese herausforderung nimmt keiner an solange du deine IPs und Netzaufbau nicht darlegst sowie welches Gerät wie womit (IPs, Maske etc.) konfiguriert ist und von wo nach wo geroutet wird (Routing tabellen der jeweiligen Geräte / Router / VPn server / RRAS usw.). Erst dann könnte wir überhaupt eine Fehler erkennen wenn den einer existiert Fangfrage, gell?Gruß,
Peter
Port TCP 1723 ist nur die halbe Miete beim PPTP VPN Protokoll wie jeder Netzwerker weiss. Die Daten werden in einem GRE Tunnel transportiert !!
GRE (Generic Route Encapsulation) ist ein eigenständiges IP Protokoll mit der Nummer 47 (Achtung nicht TCP oder UDP 47 !)
Folglich musst du also zum TCP 1723 auch noch GRE forwarden im Port Forwarding auf Router oder FW !!
Siehe auch hier:
VPNs einrichten mit PPTP
im Kapitel "VPN hinter NAT Firewall" mit der PPTP Port Forwarding Beispielkonfig einer FritzBox !
Tust du das nicht wird PPTP nicht übertragen und eine Verbindung scheitert sicher !
Vermutlich ist das bei dir der Fall weil du schlicht und einfach GRE vergessen hast. PPTP besteht eben nun mal aus diesen beiden Komponenten.
GRE (Generic Route Encapsulation) ist ein eigenständiges IP Protokoll mit der Nummer 47 (Achtung nicht TCP oder UDP 47 !)
Folglich musst du also zum TCP 1723 auch noch GRE forwarden im Port Forwarding auf Router oder FW !!
Siehe auch hier:
VPNs einrichten mit PPTP
im Kapitel "VPN hinter NAT Firewall" mit der PPTP Port Forwarding Beispielkonfig einer FritzBox !
Tust du das nicht wird PPTP nicht übertragen und eine Verbindung scheitert sicher !
Vermutlich ist das bei dir der Fall weil du schlicht und einfach GRE vergessen hast. PPTP besteht eben nun mal aus diesen beiden Komponenten.