noexen
Goto Top

Verbindung zu windows remoteapp server (2008) schlägt fehl - double NAT

hallo, ich bin heute mit folgendem problem konfrontiert worden (und zum ersten mal mit remoteapp auf der client seite, ich hatte damit bisher noch nie was zu tun):

aus einem mir unerklärlichen grund kann sich client X nicht mehr mit dem windows 2008 remote app server verbinden (also rdp-3389, die webverbindung und das einloggen auf dem webserver geht natürlich einwandfrei) wenn ich ihn aus seiner ursprünglichen umgebung


WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)CLIENT

herausnehme, und einen weiteren NATROUTER vor den client setze:

WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)NATROUTER.B(IP subnetB)--(IP subnetB)CLIENT

bitte jetzt mal nicht nach dem grund fragen warum das so sein muss... die verbindung mit dem remoteapp server (also mit dem webif via iexplorer) funktioniert wie gesagt, aber sobald ich die remoteapp-verbindung herstellen will kommt direkt beim verbindungsversuch

"der computer kann keine verbindung mit dem remotecomputer herstellen, da ein fehler auf dem remotecomputer aufgetreten ist"

ich verstehe nicht direkt wieso doubleNAT dieses problem verursacht, was aber damit zusammenhängt (webbrowsing funktioniert einwandfrei) das ich gar nicht genau weiss was eigentlich im ganzen passiert wenn ich da auf das remoteapp symbol klicke, abgesehen davon das der computer dann wohl den server via 3389 erreichen will...

kann mir da jemand zufällig weiterhelfen?

auf den beiden NATROUTERn sind keine outgoing firewall regeln eingestellt (ausgehend nix blockiert). eingehend habe ich nur eine portweiterleitung auf NATROUTER.A nach NATROUTER.B weil der ein SSL-VPN gateway ist.

muss ich für remoteapp auch noch irgendwelche ports auf NATROUTER.A an NATROUTER.B weiterleiten?

danke + mfg
die 0lsenbande

Content-ID: 206651

Url: https://administrator.de/contentid/206651

Ausgedruckt am: 05.11.2024 um 10:11 Uhr

108012
108012 17.05.2013 um 22:23:01 Uhr
Goto Top
Hallo,

das wird so in der Art hier zwei bis drei mal im Monat gefragt und das Forum hat eine Suchfunktion!
Also wenn es eilt würde ich diese benutzen wollen!

Deine SHIFT Taste scheint einen defekt zu haben! Hier im Forum legt man Wert darauf richtig zu schreiben
denn sonst hat man nach 100 Beitrage eventuell Augenkrebs!

bitte jetzt mal nicht nach dem grund fragen warum das so sein muss...
Nö, warum auch entweder Du hast das mit der Router Kaskade und der doppelten NAT nicht verstanden,
willst es einfach nicht verstehen oder hast eben Deine Gründe dafür, aber der Sinn und auch der Zweck
einer Router Kaskade ist damit voll und ganz aufgehoben und somit obsolet!

Gruß
Dobby
clSchak
clSchak 19.05.2013 aktualisiert um 09:05:26 Uhr
Goto Top
Hi

ich finde das Konstrukt auch recht irreführend (soll jetzt nicht heissen das es falsch ist), bei uns sieht es anders aus:

3f72347b06591390a92dd5df10f4001f

Trusted LAN ist komplett im Layer 3, die Anfrage des Clients für die RemoteApp kommt an FW 1 auf einer bestimmten IP (z.B. 10.999.999.1 - ja ist eine Symbolische IP face-smile )auf Port 3389 an und wird an die 2. Firewall weitergeleitet, diese macht dann auch die eigentliche Authentifizierung (z.B. Forefront TMG via FAB) und leitet das dann erst an den internen Server weiter.

Die VPN Verbindung bzw. dessen Authentifizierung von Benutzername/Passwort geschieht direkt an der ersten FW (IPSec, L2TP, SSL oder was auch immer) gegen das AD/LDAP - (Alternative kannst die elegante und teure Variante mit DirectAccess von MS nehme) und wenn diese positiv war routet die erste FW das direkt in's interne Netz - steuert zu gleich die möglichen Zugriffe auf die internen Ressourcen.

Eine Firewall INTERN -> EXTERN mit Allow All einzustellen halte ich für grob fahrlässig, am besten auch noch UPnP an... man sperrt alles nicht benötigten Ports i.d.R. komplett weg und man sollte in der Firma für den regulären Internetverkehr Proxies verwenden, alleine schon um ungewollten Content (Porn, Gewalt, Streaming Dienste usw.) wegfiltern zu können und ggf. auch direkt einen Virenscanner mitlaufen lassen damit die Gefahr von Mailware usw. reduziert wird. Des weiteren kann imo jeder deiner Clients lustig fröhlich "Mailserver" spielen und dafür sorgen, dass deine IP auf Blacklisten landet und euer regulärer Mail-Server keine Mails mehr versandt bekommt...

Mein Rat: hol dir einen Dienstleister ins Haus der dir das gesamte Konstrukt gescheit einstellt, investiere ein paar Euros in eine gescheite Firewall nach draußen (Sonicwall, Fortinet, Juniper, Cisco, Watchguard) die solltest für unter 1.000 EUR bekommen und du hast was gescheites da stehen - alternativ verwende die Suchfunktion und suche nach einem Tutorial von @aqui "mOnOwall" & "pfense" - dort findest auch eine gute Anleitung bzgl. Firewall usw. im Eigenbau (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät)


Juhu es scheint endlich die Sonne
Grüße clSchak

PS: hmm wenn ich selbst nach "DoubleNAT" suche finde ich haufenweise "...is Evil" - "...some Problems" ;)
noexen
noexen 19.05.2013 aktualisiert um 14:24:54 Uhr
Goto Top
ich bin echt mal wieder begeistert wie einem hier weitergeholfen wird...

1. es ist nicht mein netz - ich verwalte es nicht!
2. es ist nicht mein drecks-remote app windows-server - ich verwalte ihn nicht!
3. es ist eine kleine minibude die halt eine verbindung zu einem fremdverwalteten remote app server hat und dort eben ein programm X benutzt, und sich garantiert keine high end firewall (und deren administration) leisten kann und darum auch dieses NAT-NAT konstrukt hat (tcom VDSL router/modem grütze und dahinter ein SSLVPN gateway router)
ob die einen outbound filter brauchen oder nicht mit 3 leuten sei mal dahingestellt, und ist auch nicht meine aufgabe das zu beurteilen - hat aber sicher recht wenig mit meiner frage zu tun, oder? das double NAT diverse probleme verursachen KANN ist mir bestens bekannt... es hätte natürlich sein können das zufällig jemand weiss das die verbindung mit dem remote app server an 3389 deswegen nicht funktioniert - oder eben das es eigentlich kein problem sein sollte. das war alles worauf meine frage abzielte.

wie ein company netz auszusehen hat und wie man es managed ist mir bestens bekannt - trotzdem danke für den hinweis, ich schreibs so für die praktikanten ins wiki. warum glauben immer alle das hier nur auf IT umgeschulte klempner fragen stellen, ist mir echt unklar.

ich wurde nur mal freunlich gefragt ob ich mir das problem mal ansehen könnte, das ist alles... meine nächste handlung wäre ohnehin gewesen zu empfehlen, den tcom router auszubauen, dafür modem einzubauen und den dial direkt vom VPNrouter erledigen zu lassen (was wohl aktuell nicht zu funktionieren scheint, weshalb dieses NAT-NAT konstrukt besteht)...


D.o.b.b.y. meine shift taste funktioniert einwandfrei, und bei allem respekt, ich weiss nicht wie viele kompetente beiträge du täglich schreibst und darum will ich mich nicht zu weit aus dem fenster lehnen, aber wenn du keinen bock hast meinen beitrag zu lesen weil ich alles klein schreibe - musst du ihn auch nicht lesen, oder? ignoriere ihn, fertig aus. dein beitrag war aktuell für mich leider so hilfreich wie ein griff ins klo (aber das war dir klar als du ihn verfasst hast) / ich weiss was die suchfunktion ist und wie man sie benutzt...
108012
108012 20.05.2013 um 00:13:05 Uhr
Goto Top
Haloo nochmal,

in diesem Forum achten die Leute und nicht gerade wenige, eben darauf, kann man auch leicht hier
nachlesen! Wie Du eine Frage richtig stellst

Fakt ist doch folgendes:
- Du hast ein Problem
Und ich wollte nur höflich, bestimmt und sicher zugegebener Maßen etwas direkt, darauf hinweisen,
damit Du mehr Zuschriften und Feedback bekommst und Dein Problem gelöst wird!


- Du möchtest das sich am besten viele Leute "einklinken" und Dir helfen es zu lösen.
Auch wenn man die direkte oder eben auch genaue Lösung nicht kennt, kann man trotzdem
konstruktiv daran mitarbeiten, das eine Lösung herbei geführt wird, falls Dir das nicht passt brauchst Du ja nicht gleich ausfallend werden und mit dem Gassenjargon aufwarten.


D.o.b.b.y. meine shift taste funktioniert einwandfrei, und bei allem respekt,
Rede Du bitte nicht von Respekt und verhöhne noch die Leute die es gut mit Dir meinen!

dein beitrag war aktuell für mich leider so hilfreich wie ein griff ins klo
Nein ich denke eher Deiner, denn in einem Forum wie diesem, ein Beitrag mit fast ~500 Aufrufen und
kaum Antworten würde ich noch einmal darüber nachdenken wollen an Deiner Stelle.


Gruß
Dobby
noexen
noexen 30.05.2013 aktualisiert um 18:22:23 Uhr
Goto Top
nur mal so zur info falls den beitrag jemand liest, ich hab das problem selbst nicht gelöst sondern einfach doubleNAT entfernt... tcom speedport 723v ausgebaut welcher nicht als VDSL modem funktioniert, und tcom speedport 920v eingebaut und als modem konfiguriert. trotzdem danke an alle die versucht haben zu helfen. mich würde allerdings nach wie vor interessieren was jetzt eigentlich der grund ist das die remote app nicht startet mit doubleNAT...