9
Server Probleme aller Art (VPN -L2TP over IPsec oder PPTP und scheinbar falsche DNS Konfig.)
Probleme mit internem L2TP-IPsec und extern PPTP. Interner DNS muckt rum, durch scheinbare Fehlkonfiguration. Und einrichtung eines weiteren DCs.
Hallo liebe Admins,
ich habe gleich 4 Probleme auf einmal.
Ich fang mal an:
1. Ich versuche seit knapp 2 Wochen per Foren, Google hier und da und so weiter, mein "kleines Firmennetzwerk" für externe Mitarbeiter per VPN bereitzustellen.
Da ist mir gleich L2TP over IPsec eingefallen. Da ich selber noch keine Erfahrung mit Zertifikaten habe, wollte ich ein PSK benutzen.
Schön und gut, WS 2008 R2 als VM und RAS+Routing Rolle installiert. L2TP eingerichtet, intern getestet. klappt nicht. Gut, weiter versucht. Ging und ging nicht. Hab vermutet es lag an der internen FW, klappte leider auch nicht.
Also habe ich mal PPTP versucht und ohne Probleme klappte es intern.
Na gut dann eben PPTP.
Schön und gut nur hab ich es seitdem nicht geschafft mich über das Internet per DynDNS Adresse mit meinem Server zu verbinden. Egal ob VM oder auf dem Host, habe die Firewall regeln kontrolliert, nix. Alles frei was frei sein soll.
Das ist mein erstes Problem, ich bekomme keine Verbindung über das Internet auf meinen Server. Und ich würde sehr gerne L2TP benutzen.
2. Mein DNS Server spinnt ein wenig rum. Habe jetzt seit knapp 4 Wochen WS 2008 R2 und bislang gab es ab und zu mal kleinere Probleme die sich dann reparieren liessen. Ab und zu auch durch Anleitung eines guten Freundes hier aus dem Forum.
2.1. Unter WS 2008 R2 hat man in der rechten Ecke in der Taskbar ein Netzwerksymbol was mir seit 3 Tagen ständig ein Ausrufezeichen zeigt. Dazu kommt, dass seit 3 Tagen nun auch regelmäßig mein NSLOOKUP als Servernamen Unknown (Nur am Server! An den Clienten zeigt er den normalen Namen an) anzeigt.
Ich hab vermutet das es an den Host Einträgen liegt, wobei diese allerdings genau so sind wie vorher. Ich bin auch der einzige der an den Server kann und ich habe keine änderung in den letzen Tagen vorgenommen.
3. Seit heute ist mir aufgefallen das mein Hauptserver nun auch keine weiteren Server in die Domain aufnimmt. Er meldet mir das es entweder keinen SRV Eintrag gibt oder die Domain nicht erreichbar ist.
4. Ich wollte auch gerne eine weitere Domain mit meiner derzeitigen Verbinden wobei die user dieser beiden Domains per gleichem UN+PW auf Freigaben kommen sollen.
Leider ist dies nicht möglich dank meiner DNS Probleme und ich scheine mich nicht mehr daran zu erinnern wie das geht. Unter WS 2003 hatte ich dies auch schon mal und konnte an jedem DC die Domain ändern für Einstellungen.
Was ich besonders gut fand, war das ich an jedem Clienten mich an beide Domains Anmelden konnte.
So liebe Admin-Gemeinschaft, ich würde mich sehr über eure hilfe freuen und hoffe ich habe jetzt keine wichtigen Informationen vergessen.
Ich bedanke mich schon mal für jede hilfreiche Antwort,
euer AKIH
Hallo liebe Admins,
ich habe gleich 4 Probleme auf einmal.
Ich fang mal an:
1. Ich versuche seit knapp 2 Wochen per Foren, Google hier und da und so weiter, mein "kleines Firmennetzwerk" für externe Mitarbeiter per VPN bereitzustellen.
Da ist mir gleich L2TP over IPsec eingefallen. Da ich selber noch keine Erfahrung mit Zertifikaten habe, wollte ich ein PSK benutzen.
Schön und gut, WS 2008 R2 als VM und RAS+Routing Rolle installiert. L2TP eingerichtet, intern getestet. klappt nicht. Gut, weiter versucht. Ging und ging nicht. Hab vermutet es lag an der internen FW, klappte leider auch nicht.
Also habe ich mal PPTP versucht und ohne Probleme klappte es intern.
Na gut dann eben PPTP.
Schön und gut nur hab ich es seitdem nicht geschafft mich über das Internet per DynDNS Adresse mit meinem Server zu verbinden. Egal ob VM oder auf dem Host, habe die Firewall regeln kontrolliert, nix. Alles frei was frei sein soll.
Das ist mein erstes Problem, ich bekomme keine Verbindung über das Internet auf meinen Server. Und ich würde sehr gerne L2TP benutzen.
2. Mein DNS Server spinnt ein wenig rum. Habe jetzt seit knapp 4 Wochen WS 2008 R2 und bislang gab es ab und zu mal kleinere Probleme die sich dann reparieren liessen. Ab und zu auch durch Anleitung eines guten Freundes hier aus dem Forum.
2.1. Unter WS 2008 R2 hat man in der rechten Ecke in der Taskbar ein Netzwerksymbol was mir seit 3 Tagen ständig ein Ausrufezeichen zeigt. Dazu kommt, dass seit 3 Tagen nun auch regelmäßig mein NSLOOKUP als Servernamen Unknown (Nur am Server! An den Clienten zeigt er den normalen Namen an) anzeigt.
Ich hab vermutet das es an den Host Einträgen liegt, wobei diese allerdings genau so sind wie vorher. Ich bin auch der einzige der an den Server kann und ich habe keine änderung in den letzen Tagen vorgenommen.
3. Seit heute ist mir aufgefallen das mein Hauptserver nun auch keine weiteren Server in die Domain aufnimmt. Er meldet mir das es entweder keinen SRV Eintrag gibt oder die Domain nicht erreichbar ist.
4. Ich wollte auch gerne eine weitere Domain mit meiner derzeitigen Verbinden wobei die user dieser beiden Domains per gleichem UN+PW auf Freigaben kommen sollen.
Leider ist dies nicht möglich dank meiner DNS Probleme und ich scheine mich nicht mehr daran zu erinnern wie das geht. Unter WS 2003 hatte ich dies auch schon mal und konnte an jedem DC die Domain ändern für Einstellungen.
Was ich besonders gut fand, war das ich an jedem Clienten mich an beide Domains Anmelden konnte.
So liebe Admin-Gemeinschaft, ich würde mich sehr über eure hilfe freuen und hoffe ich habe jetzt keine wichtigen Informationen vergessen.
Ich bedanke mich schon mal für jede hilfreiche Antwort,
euer AKIH
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153748
Url: https://administrator.de/contentid/153748
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
9 Kommentare
Neuester Kommentar
Hoffentlich bastelst du nicht an einem Produktivnetzwerk... Am besten schaust Du Dich mal nach EDV-Fortbildungsmaßnahmen in Deiner Umgebung um, und wenn Du dann fit genug in der Materie bist, kannst Du ja mal einen Neustart wagen. So ist es ja nur ein Gestochere, da nützt kein gesundes Halbwissen. Wenn man sich an solch eine Aufgabe traut, sollten die Grundlagen schon einigermaßen sitzen.
Gruß, Arch Stanton
Gruß, Arch Stanton
Danke für den Ratschlag, ich werde ihn berücksichtigen ^^.
Nur leider sind damit nicht die Probleme gelöst.
Wie gesagt, Domain und Netzwerk liefen ohne Probleme bis zum Umzug des Servers und auf 2008 R2 und ab dann kamen ab und zu mal kleinere Dinge.
Vorher hatte ich mit WS 2003 und ISA 2006 gearbeitet.
Jetzt mit einer MikroTik FW und eben WS 2008 R2.
Hoffe trotzdem weiterhin auf Problemlösungen.
Nur leider sind damit nicht die Probleme gelöst.
Wie gesagt, Domain und Netzwerk liefen ohne Probleme bis zum Umzug des Servers und auf 2008 R2 und ab dann kamen ab und zu mal kleinere Dinge.
Vorher hatte ich mit WS 2003 und ISA 2006 gearbeitet.
Jetzt mit einer MikroTik FW und eben WS 2008 R2.
Hoffe trotzdem weiterhin auf Problemlösungen.
Zu Frage 1:
Hast du das gelesen ?
VPNs einrichten mit PPTP
Den DynDNS Client aktivierst du auf deinem DSL Router ! denn der hält die DynDNS Zugangs IP zu deinem Netz.
Jeder Router hat dafür eine Konfig Seite im Setup !
DynDNS Setup findest du hier.
Ist das alles gemacht und das Port Forwarding im Router auf die interen Server IP Adresse eingerichtet (TCP 1723 und GRE Protokoll, siehe Tutorial oben)
Damit funktioniert das problemlos auf Anhieb.
Technisch besser ist es aber bei einem Firmen VPN Zugang immer den PPTP Zugang auf dem Router zu realisieren:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Damit verhinderst du das du Löcher in die Firewall auf dem DSL Router bohren musst. (Sicherheit, Unabhängigkeit vom Server)
Bei L2TP verwendest du dann entsprechend die IPsec Ports im PFW als da sind UDP 500, UDP 4500, ESP Protokoll um die NAT Firewall im Router überwinden zu können beim externen Zugriff !
Auch hier gilt: Besser auf dem Router terminieren.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hast du das gelesen ?
VPNs einrichten mit PPTP
Den DynDNS Client aktivierst du auf deinem DSL Router ! denn der hält die DynDNS Zugangs IP zu deinem Netz.
Jeder Router hat dafür eine Konfig Seite im Setup !
DynDNS Setup findest du hier.
Ist das alles gemacht und das Port Forwarding im Router auf die interen Server IP Adresse eingerichtet (TCP 1723 und GRE Protokoll, siehe Tutorial oben)
Damit funktioniert das problemlos auf Anhieb.
Technisch besser ist es aber bei einem Firmen VPN Zugang immer den PPTP Zugang auf dem Router zu realisieren:
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Damit verhinderst du das du Löcher in die Firewall auf dem DSL Router bohren musst. (Sicherheit, Unabhängigkeit vom Server)
Bei L2TP verwendest du dann entsprechend die IPsec Ports im PFW als da sind UDP 500, UDP 4500, ESP Protokoll um die NAT Firewall im Router überwinden zu können beim externen Zugriff !
Auch hier gilt: Besser auf dem Router terminieren.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Yo danke,
auf dem DSL Router (FritzBox) häng bereits der DynDNS Dienst.
Die VPN Router Idee nur leider habe ich knapp 10 User welche extern auf das netz müssen und meine FritzBox leider kein VPN ohne Zertifikat erlaubt.
Was das direkte VPN angeht, ich würde gerne einen VPN Router benutzen, allerdings habe ich mal in einem Forum gelesen das es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt.
Ausserdem soll das ganze ohne Integration ins Active Directory zu umständlich sein für normale Computer-User.
Daher hab ich mich für die Server Variante entschieden.
Kann man im grunde nicht einen VPN User anlegen der für mehrere Clienten gleichzeitig funktioniert?
Ich besitze in meinem Netzwerk kein NAT. Ich lasse die FritzBox per Routes alles nach meiner MikroTik laufen und dann an die jeweiligen Netze.
Das Port Forwarding habe ich auch genauso in die FritzBox eingetragen und es hatte trotzdem nicht funktioniert.
Das ist ja gerade der Punkt was mich wundert. Ich konnte vom externen Netz machen was ich wollte. Es hat nciht funktioniert, immer wieder meldete er mir es kann keine Verbindung zum Zielhost hergestellt werden.
Ich habe natürlich auf dem DSL Router und der MikroTik Firewall
Also ich werde mir nochmal die Tutorials anschauen und es nochmal machen mit dem Port Forwarding.
Sowei was VPN angeht, danke schön ^^
auf dem DSL Router (FritzBox) häng bereits der DynDNS Dienst.
Die VPN Router Idee nur leider habe ich knapp 10 User welche extern auf das netz müssen und meine FritzBox leider kein VPN ohne Zertifikat erlaubt.
Was das direkte VPN angeht, ich würde gerne einen VPN Router benutzen, allerdings habe ich mal in einem Forum gelesen das es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt.
Ausserdem soll das ganze ohne Integration ins Active Directory zu umständlich sein für normale Computer-User.
Daher hab ich mich für die Server Variante entschieden.
Kann man im grunde nicht einen VPN User anlegen der für mehrere Clienten gleichzeitig funktioniert?
Ich besitze in meinem Netzwerk kein NAT. Ich lasse die FritzBox per Routes alles nach meiner MikroTik laufen und dann an die jeweiligen Netze.
Das Port Forwarding habe ich auch genauso in die FritzBox eingetragen und es hatte trotzdem nicht funktioniert.
Das ist ja gerade der Punkt was mich wundert. Ich konnte vom externen Netz machen was ich wollte. Es hat nciht funktioniert, immer wieder meldete er mir es kann keine Verbindung zum Zielhost hergestellt werden.
Ich habe natürlich auf dem DSL Router und der MikroTik Firewall
Also ich werde mir nochmal die Tutorials anschauen und es nochmal machen mit dem Port Forwarding.
Sowei was VPN angeht, danke schön ^^
Für das FritzBox VPN benötigst du kein "Zertifikat", das ist Blödsinn:
http://www.avm.de/vpn/
Noch gößerer Blödsinn ist das Argument "...es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt." Das hat dir sicher ein blutiger Laie erzählt denn technisch ist das Quatsch.
In deiner Konstellation benötigst du 2 mal Port Forwarding !
Einmal macht dein Mikrotik NAT (Adress Translation) zum Internet und dann nochmal die Fritzbox. Bei der Fritzbox ist NAT nichtmal abschaltbar !
Also musst du in beiden Routern bei PPTP ein Port Forwarding von TCP 1723 und GRE eintragen, sonst geht deine PPTP Verbindung nicht über die NAT Firewall !
Logisch das du dann "...keine Verbindung zum Zielhost hergestellt werden" kann !!
Im Zweifelsfalle hängst du einen Wireshark Sniffer oder MS NetMonitor ins Netz und checkst wo die PPTP Pakete hängenbleiben !
Da liegt dann der Hase im Pfeffer !
Eigentlich ist das ein simples Standardszenario was mit ein paar Mausklicks auf Anhieb klappt !
http://www.avm.de/vpn/
Noch gößerer Blödsinn ist das Argument "...es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt." Das hat dir sicher ein blutiger Laie erzählt denn technisch ist das Quatsch.
In deiner Konstellation benötigst du 2 mal Port Forwarding !
Einmal macht dein Mikrotik NAT (Adress Translation) zum Internet und dann nochmal die Fritzbox. Bei der Fritzbox ist NAT nichtmal abschaltbar !
Also musst du in beiden Routern bei PPTP ein Port Forwarding von TCP 1723 und GRE eintragen, sonst geht deine PPTP Verbindung nicht über die NAT Firewall !
Logisch das du dann "...keine Verbindung zum Zielhost hergestellt werden" kann !!
Im Zweifelsfalle hängst du einen Wireshark Sniffer oder MS NetMonitor ins Netz und checkst wo die PPTP Pakete hängenbleiben !
Da liegt dann der Hase im Pfeffer !
Eigentlich ist das ein simples Standardszenario was mit ein paar Mausklicks auf Anhieb klappt !
Wireshark hab ich schon ein paar mal benutzt um die PPTP Pakete / L2TP zu verfolgen wobei er ständig gemeint hatte das die Ports geschlossen waren. War aber alles offen.
Nun ja, ich fand die Erklärung "..es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt." recht Logisch da ja ein Router hinter einer FW auch Portforwarding braucht. Genauso wie ein Server!
Ich fand es sonst auch immer sehr einfach
Hba hier mal ein Bild damit du siehst das es bei meiner FritzBox doch mit Zertifikat ist
[URL=http://www.pic-upload.de/view-7524447/FB-VPN.jpg.html]
Oder ich hab das Einstellungsfenster nicht gesehen
Nun ja, ich fand die Erklärung "..es unsicherer ist und genauso viel "Bohrungen" in der Firewall hinterlässt." recht Logisch da ja ein Router hinter einer FW auch Portforwarding braucht. Genauso wie ein Server!
Ich fand es sonst auch immer sehr einfach
Hba hier mal ein Bild damit du siehst das es bei meiner FritzBox doch mit Zertifikat ist
[URL=http://www.pic-upload.de/view-7524447/FB-VPN.jpg.html]
Oder ich hab das Einstellungsfenster nicht gesehen
Das mit dem VPN ist ja erstmal zweitrangig.
hast du ne Ahnung wie ich die DNS Einstellungen repaireren kann?
Ich kann per Clienten ins Internet, kann per Clienten den Server als DNS nutzen, kann auch alles andere mit dem Server machen wobei das ja wenig mit dem DNS zu tun hat (Fileserver, RDP usw.)^^
Ich kann allerdings nicht mit dem Server selbe eine Internetseite öffnen, allerdings per NSlookup Google auflösen.
Er zeigt mir als Server auch nicht Localhost oder den Namen meines Servers an, sondern Unknown... Kann aber wie gesagt mit den Clienten über den DNS ins Internet.
Ich vermute mal ganz stark das ich dadurch auch keine NEUEN Clienten oder Server in die Domain aufnehmen kann.
Wär klasse wenn wir das erstmal einrichten. Ich denke durch deine Tipps und HowTos komme ich schon mit dem VPN klar ;)
hast du ne Ahnung wie ich die DNS Einstellungen repaireren kann?
Ich kann per Clienten ins Internet, kann per Clienten den Server als DNS nutzen, kann auch alles andere mit dem Server machen wobei das ja wenig mit dem DNS zu tun hat (Fileserver, RDP usw.)^^
Ich kann allerdings nicht mit dem Server selbe eine Internetseite öffnen, allerdings per NSlookup Google auflösen.
Er zeigt mir als Server auch nicht Localhost oder den Namen meines Servers an, sondern Unknown... Kann aber wie gesagt mit den Clienten über den DNS ins Internet.
Ich vermute mal ganz stark das ich dadurch auch keine NEUEN Clienten oder Server in die Domain aufnehmen kann.
Wär klasse wenn wir das erstmal einrichten. Ich denke durch deine Tipps und HowTos komme ich schon mit dem VPN klar ;)
So liebe Gemeinschaft,
folgendes habe ich nun geschafft:
Hab ein wenig in den rumgeschnüffelt und bemerkt das der Server teilweise sich mit einem internen Computer, der hier nicht hergehört, in die Wolle bekommen hat.
Jedenfalls hat er, warum auch immer, eine interne IP gemeldet was mir später auch das schöne Analyzer Tool im Server Manager gezeigt hat.
Dieser fremde Computer stammt von einem Mitarbeiter und hat sich selber eine statische IP eingerichtet. Er hatte zwar kein Internet, aber wie gesagt, er hat sich den IP Adressbereich vom DNS Server abgeguckt.
Seit dem ich den Rechner entfernt habe und die MAC Adresse in der Firewall gebanned habe, klappt alles wieder. Ich kann Clienten sowie Server in die Domain aufnehmen.
Jetzt kommt bei mir ne schöne frage, WIE GEHT DAS?
Und durch diese Sache habe ich gleich erstmal gelernt das man fremde Rechner von Grund auf nicht ins Netz lassen sollte. Ich möchte (kann es jetzt noch nicht da ich noch ein klitze kleines DNS Problem habe, was ja am Anfang schon steht) die Sicherheitsrichtlinien oder eben die allgemeine Sicherheit extrem verstärken.
Gut, was leider immer noch ist, ist das kleine problem mit dem NSlookup und somit auch dem Ausrufezeichen unten in rechts ind er Taskleiste beim Netzwerkstatus.
Das Problem habe ich noch nicht in den Griff bekommen, hoffe aber das mir hier soweit einer helfen kann.
@aqui
ich werde heute oder spätestens morgen mal die Methoden mit dem VPN anwenden. Dazu erstmal danke ^^
Gruß AKIH
folgendes habe ich nun geschafft:
Hab ein wenig in den rumgeschnüffelt und bemerkt das der Server teilweise sich mit einem internen Computer, der hier nicht hergehört, in die Wolle bekommen hat.
Jedenfalls hat er, warum auch immer, eine interne IP gemeldet was mir später auch das schöne Analyzer Tool im Server Manager gezeigt hat.
Dieser fremde Computer stammt von einem Mitarbeiter und hat sich selber eine statische IP eingerichtet. Er hatte zwar kein Internet, aber wie gesagt, er hat sich den IP Adressbereich vom DNS Server abgeguckt.
Seit dem ich den Rechner entfernt habe und die MAC Adresse in der Firewall gebanned habe, klappt alles wieder. Ich kann Clienten sowie Server in die Domain aufnehmen.
Jetzt kommt bei mir ne schöne frage, WIE GEHT DAS?
Und durch diese Sache habe ich gleich erstmal gelernt das man fremde Rechner von Grund auf nicht ins Netz lassen sollte. Ich möchte (kann es jetzt noch nicht da ich noch ein klitze kleines DNS Problem habe, was ja am Anfang schon steht) die Sicherheitsrichtlinien oder eben die allgemeine Sicherheit extrem verstärken.
Gut, was leider immer noch ist, ist das kleine problem mit dem NSlookup und somit auch dem Ausrufezeichen unten in rechts ind er Taskleiste beim Netzwerkstatus.
Das Problem habe ich noch nicht in den Griff bekommen, hoffe aber das mir hier soweit einer helfen kann.
@aqui
ich werde heute oder spätestens morgen mal die Methoden mit dem VPN anwenden. Dazu erstmal danke ^^
Gruß AKIH
So Problem gelöst.
Ein Freund hat mir ein wenig unter die Arme gegriffen.
Der Grund für meine DNS fehlfunktion ist rätselhaft. Wir haben zwar einen weg gefunden aber wir wissen nicht warum es so ist.
Meine MikroTik hatte plötzlich keine UDP 53, also DNS, Anfragen durchgelassen. komischerweise aber TCP 53.
Das ist sehr merkwürdig gewesen.
Die DNS Einstellungen sind alle samt OK und als wir dann noch einen kleinen Subnetzfehler erkannt haben haben sich auch alle anderen Probleme gelöst.
Bislang habe ich auch noch keine Ahnung wie das fremde Notebook meinen Server stören konnte.
Wär cool wen jemand dazu noch ne Antwort parrat hat. Ich werde mir morgen erstmal den Besitzer des Notebooks vorknöpfen.
Also dann erstmal danke an die Helfenden und eine gute Nacht wünsche ich
Gruß AKIH
Ein Freund hat mir ein wenig unter die Arme gegriffen.
Der Grund für meine DNS fehlfunktion ist rätselhaft. Wir haben zwar einen weg gefunden aber wir wissen nicht warum es so ist.
Meine MikroTik hatte plötzlich keine UDP 53, also DNS, Anfragen durchgelassen. komischerweise aber TCP 53.
Das ist sehr merkwürdig gewesen.
Die DNS Einstellungen sind alle samt OK und als wir dann noch einen kleinen Subnetzfehler erkannt haben haben sich auch alle anderen Probleme gelöst.
Bislang habe ich auch noch keine Ahnung wie das fremde Notebook meinen Server stören konnte.
Wär cool wen jemand dazu noch ne Antwort parrat hat. Ich werde mir morgen erstmal den Besitzer des Notebooks vorknöpfen.
Also dann erstmal danke an die Helfenden und eine gute Nacht wünsche ich
Gruß AKIH
