eddie66
Goto Top

Verbindung RDP zum Server über VPN klappt andere PCs nicht erreichbar

Hallo,
ich habe mal vorsichtig den Bereich Win Server gewählt...
Wobei ich momentan keinen Plan habe ob ich hier richtig bin.
Bitte verzeiht mir wenn ich hier falsch liege.

Ich habe hinter einer Astaro einen SBS 2008.
Wenn ich die VPN Verbindung aufbaue kann ich per RDP auf den Server zugreifen und selbstverständich auch anpingen.
Mein Problem ist das ich keine anderen PC´s per RDP verbunden bekomme.

Ich habe dann mal die Route verfolgt:
tracert 10.1.2.100

10.1.1.1 - (mein lokales Netzwerk)
10.1.2.104 (VPN IP Adresspool)
Server (10.1.2.100)

Bei einem beliebegen PC sieht das ganze so aus:

tracert 10.1.2.18

10.1.1.1 - (mein lokales Netzwerk)
10.1.2.104 (VPN IP Adresspool)
10.1.2.18

Ist doch alles gut! Oder?
Warum bekomme ich dann keine RDP Verbindung?

Ist im Forum jemand der mir helfen kann?

Liebe Grüße aus Oberhausen

Eddie

Content-ID: 158187

Url: https://administrator.de/forum/verbindung-rdp-zum-server-ueber-vpn-klappt-andere-pcs-nicht-erreichbar-158187.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

intel386
intel386 07.01.2011 um 18:04:21 Uhr
Goto Top
Hallo

wo befinden sich denn die anderen PC die eien Verbindung zum Server via VPN und dann via RDP aufbauen wollen ?
eddie66
eddie66 07.01.2011 um 18:13:01 Uhr
Goto Top
Hallo,
es ist so.
Ich sitze zu Hause und baue eine VPN Verbindung zur Firma auf.
Kann mich dann per RDP auf dem Firmenserver verbinden.
Möchte ich statt dessen mit meinem Firmen PC per RDP verbunden werden kommt keine Verbindung zustande.
Der Firmen PC ist im gleichen Netz wie der Server, als Server habe ich einen SBS 2008.
Vom Server kann ich wiederum, wenn ich per RDP verbunden bin eine weitere RDP Verbindung zu allen Firmen PC´s aufbauen - eben nur nicht direkt von zu Hause auf den Firmen PC - nur zum Server.

Gruß Eddie
intel386
intel386 07.01.2011 um 18:21:32 Uhr
Goto Top
Ist die IP-Adresse die dein VPN-Server verteilt im gleichen Bereich von Server und Client in der Firma ? sonst klingt es stark nach DNS Problem.... kannst du von Zuhause aus bei bestehender VPN ein PING an einem deiner PC absetzen ?

wenn nicht RDP und VPN nötig sind nutze alternativen z.b.TeamViewer
eddie66
eddie66 07.01.2011 um 18:26:39 Uhr
Goto Top
Klar, Ping geht, wie ich schon beschrieben habe - Hier
Ich habe dann mal die Route verfolgt:
tracert 10.1.2.100

10.1.1.1 - (mein lokales Netzwerk)
10.1.2.104 (VPN IP Adresspool)
Server (10.1.2.100)

Bei einem beliebegen PC sieht das ganze so aus:

tracert 10.1.2.18

10.1.1.1 - (mein lokales Netzwerk)
10.1.2.104 (VPN IP Adresspool)
10.1.2.18 (Firmen PC)

DNS Problem klingt logisch - habe leider davon keinen Plan face-sad
intel386
intel386 07.01.2011 um 18:29:39 Uhr
Goto Top
ggf. noch ein Grund kann sein das du keine Rechte hast eine RDP Verbindung zu den Clients aufzubauen (wenn kein Admin)

Was bekommst du für eine Meldung wenn du die IP des Clients angibt im RDP ???
eddie66
eddie66 07.01.2011 um 18:32:33 Uhr
Goto Top
Adminrechte sind vorhanden. Über den Firmenserver kann ich ja dann auch die anderen Firmen PC´s per RDP erreichen.
aqui
aqui 07.01.2011, aktualisiert am 18.10.2012 um 18:45:26 Uhr
Goto Top
Normalerweise besitzt das 10er RFC 1918 Netz eine Class A Maske mit 8 Bit !
Leider hast du bis dato mit keinem Wort erwähnt welche Subnetzmaske du denn benutzt in deinen Netzen. Wenn die eine 24 Bit Maske haben ist alles gut ansonsten gilt das:
VPNs einrichten mit PPTP
Desweiteren wäre ist die Frage noch offen ob du die lokale Firewall der PCs angepasst hast. Die blockt bekanntlich alles was aus Fremdnetzen (VPN) kommt. Vermutlich also bleibst du schlicht und einfach da hängen...
Hilfreich wäre zudem ein ipconfig -all des VPN Interfaces wenn der Client eingewählt ist. Ein route print ggf auch.
Wir gehen auch mal davon aus das dein VPN Server die Astaro ist und nicht der Server....richtig ?
48829
48829 07.01.2011 um 22:52:28 Uhr
Goto Top
Ich vermute, dass in der Firewall der RDP- Dienst nur auf den einen Server freigegeben ist. So konfiguriere ich es zumindest bei unseren Kunden auch immer und denke das der Admin hier aus Sicherheitsgründen das gleiche gemacht hat.

Das würde auch erklären, wenn du vom Server aus per RDP auf deinen Rechner kommst. So wie ich das mitbekommen habe befinden die sich alle im gleichen Netz.
eddie66
eddie66 08.01.2011 um 01:31:27 Uhr
Goto Top
Hallo aqui und Binziback,
Ich freue mich sehr über eure beiträge, danke! Ich kann leider erst zu den "normalen" Zeiten eure Tipps ausprobieren.
Ich bin echt froh das es solche Foren gibt und bedanke mich bei euch.

Melde mich morgen.
Grus Eddie
eddie66
eddie66 08.01.2011 um 11:56:27 Uhr
Goto Top
Guten morgen,
Subnetzmaske ist 24 Bit
Ipconfig war ja eine Super Idee, wie blöd von mir....
Sieht alles gut aus, DNS vom Firmennetzwerk, also der SBS
VPN Server ist die Astaro, die ich als Fehlerquelle mittlerweile komplett ausschliessen kann.
Ich glaube fast das ihr mit der Windows Firewall richtig liegt. Werde sie heute Nachmittag mal deaktivieren.
Danke noch einmal
aqui
aqui 08.01.2011 um 15:57:50 Uhr
Goto Top
Wenns das denn war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen...
eddie66
eddie66 08.01.2011 um 17:20:18 Uhr
Goto Top
bin gerade wiederauf dem Server gewesen.
In der in der Serverfirewall (SBS2008) ist RDP 2x als Ausnahme eingetragen, einmal als Gruppenrichtlinie und einmal ohne Gruppenrichtlinie.
Vom Server binich dann auf einen PC (so geht es ja - vom Server zu den PC´s geht, nur eben nicht per VPN) und die Gruppenrichtline scheint zu greifen jedenfalls ist die RDP Ausnahme auch auf den Clients in der Firewall (XP pro) eingetragen.

Ich kann über die VPN Verbindung alles im Firmennetzwerk anpingen.
Was kann es denn noch sein?
Weiß jemand rat?

Gruß Eddie
48829
48829 08.01.2011 um 17:24:57 Uhr
Goto Top
Dann ist vermutlich das was ich gesagt habe. RDP ist in der astaro Firewall nur auf den Server freigeben. PING bzw. ICMP dagegen auf alle.
eddie66
eddie66 08.01.2011 um 17:57:53 Uhr
Goto Top
Aber wenn ich mit VPN doch verbunden bin, befinde ich mich doch schon im internen Netz.
Oder?
Werde aber mal in diese Richtung schon mal anfangen zu suchen.
Danke für deine Beitrag.
aqui
aqui 08.01.2011 um 22:34:29 Uhr
Goto Top
Eins ist auf alle Fälle klar: Wenn du im Netzwerk von remote (VPN) alles anpingen kannst ist IP seitig alles im Lack und die Adressierung soweit OK.
Das ist dann jetzt ausschliesslich nur noch ein Firewall und/oder Winblows Rechte Problem !
48829
48829 08.01.2011 um 23:06:32 Uhr
Goto Top
Zitat von @eddie66:
Aber wenn ich mit VPN doch verbunden bin, befinde ich mich doch schon im internen Netz.

Wenn du die Geräte anpingen kannst, dann scheint der VPN- Tunnel zu stehen und du bist mit dem Netz verbunden. Bei einem 08/15 Router z.b. FritzBox etc. würde das auch bedeuten, dass du auf alle Geräte in dem Netzwerk zugreifen kannst.

Bei einer Astaro Firewall ist das aber noch etwas anderes. Da kann man natürlich auch einem VPN- Zugang den Zugriff auf das ganze Netz freigeben. Wenn man aber eine solche Firewall hat, dann macht es Sinn nur das frei zu geben, was notwendig ist.

Bedeutet, dass du einmal festlegen kann, auf welches Gerät über VPN überhaupt zugegriffen werden darf und zuätzlich welche Dienste dann genutzt werden dürfen z.b. Port 3389 (RDP) oder VNC, SQL, HTTP etc.

Wenn du einen guten Draht zum Admin hast, dann wird er dir bestimmt helfen face-wink
eddie66
eddie66 09.01.2011 um 16:53:37 Uhr
Goto Top
Hallo,
Habe mir heute die Astaro angesehen, Intern sind keine EInschränkungen und auch die VPN User dürfen alles.
Im Verkehrsmonitor der Astaro - habe ich gerade entdeckt kann ich sehen wenn ich per rdp auf einen PC zugreifen will.
kann also jetzt wirklich nur wie aqui vermutet ein Windowsproblem sein.

Lt. Monitor stehe ich ja schon vor dem PC und komme nicht rein.

Gruß Eddie
eddie66
eddie66 10.01.2011 um 10:39:06 Uhr
Goto Top
Guten morgen,
heute habe ich die Firewall am Server deaktivert, gpupdate /force ausgeführt
und trotzdem bekomme ich keine Verbindung. sehe aber weiterhin das ich bis zum PC komme.
Werde jetzt mal googlen um mich weiter zu bilden face-smile
eddie66
eddie66 10.01.2011 um 11:47:49 Uhr
Goto Top
Hallo Eddie,

das ist kein Unterschied zum 2008. Mit Domänenrichtlinien meine ich die Gruppenrichtlinien.
Standardmäßig ist für alle Domainuser die FW aktiviert. Per GP festgelegt. Das kann man dann als User auch nicht ändern.

Um das zu ändern machst Du folgendes:
Auf der Server öffne die Gruppenrichtlinien.
Jetzt erstellst Du entweder für Deine Änderungen eine neue Richtlinie und verknüpfst die z.B. an letzter Stelle, oder Du bearbeitest die entsprechende Policy.
Beim Bearbeiten gehst Du auf:
Computerkonfiguration -> Richtlinien -> Windows Einstalölungen -> Sicherheitseinstellungen -> Windows Firewall mit erweiterter Sicherheit

Dieses Snap-In kannst Du konfigurieren. In dem Fenster Übersicht klicke auf:
Windows-Firewalleigenschaften
Stelle es auf "Nicht konfiguriert". Somit kannst Du entscheiden auf welchem Client Du es deaktivierst oder aktivierst. Wenn Du die Einstellungen gemacht hast, führe in der Command Shell gpupdate /force aus. Ebenfalls auf dem Client. Danach kannst Du die FW deaktivieren und testen, ob es daran lag.