Verbindung zu windows remoteapp server (2008) schlägt fehl - double NAT
hallo, ich bin heute mit folgendem problem konfrontiert worden (und zum ersten mal mit remoteapp auf der client seite, ich hatte damit bisher noch nie was zu tun):
aus einem mir unerklärlichen grund kann sich client X nicht mehr mit dem windows 2008 remote app server verbinden (also rdp-3389, die webverbindung und das einloggen auf dem webserver geht natürlich einwandfrei) wenn ich ihn aus seiner ursprünglichen umgebung
WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)CLIENT
herausnehme, und einen weiteren NATROUTER vor den client setze:
WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)NATROUTER.B(IP subnetB)--(IP subnetB)CLIENT
bitte jetzt mal nicht nach dem grund fragen warum das so sein muss... die verbindung mit dem remoteapp server (also mit dem webif via iexplorer) funktioniert wie gesagt, aber sobald ich die remoteapp-verbindung herstellen will kommt direkt beim verbindungsversuch
"der computer kann keine verbindung mit dem remotecomputer herstellen, da ein fehler auf dem remotecomputer aufgetreten ist"
ich verstehe nicht direkt wieso doubleNAT dieses problem verursacht, was aber damit zusammenhängt (webbrowsing funktioniert einwandfrei) das ich gar nicht genau weiss was eigentlich im ganzen passiert wenn ich da auf das remoteapp symbol klicke, abgesehen davon das der computer dann wohl den server via 3389 erreichen will...
kann mir da jemand zufällig weiterhelfen?
auf den beiden NATROUTERn sind keine outgoing firewall regeln eingestellt (ausgehend nix blockiert). eingehend habe ich nur eine portweiterleitung auf NATROUTER.A nach NATROUTER.B weil der ein SSL-VPN gateway ist.
muss ich für remoteapp auch noch irgendwelche ports auf NATROUTER.A an NATROUTER.B weiterleiten?
danke + mfg
die 0lsenbande
aus einem mir unerklärlichen grund kann sich client X nicht mehr mit dem windows 2008 remote app server verbinden (also rdp-3389, die webverbindung und das einloggen auf dem webserver geht natürlich einwandfrei) wenn ich ihn aus seiner ursprünglichen umgebung
WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)CLIENT
herausnehme, und einen weiteren NATROUTER vor den client setze:
WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)NATROUTER.B(IP subnetB)--(IP subnetB)CLIENT
bitte jetzt mal nicht nach dem grund fragen warum das so sein muss... die verbindung mit dem remoteapp server (also mit dem webif via iexplorer) funktioniert wie gesagt, aber sobald ich die remoteapp-verbindung herstellen will kommt direkt beim verbindungsversuch
"der computer kann keine verbindung mit dem remotecomputer herstellen, da ein fehler auf dem remotecomputer aufgetreten ist"
ich verstehe nicht direkt wieso doubleNAT dieses problem verursacht, was aber damit zusammenhängt (webbrowsing funktioniert einwandfrei) das ich gar nicht genau weiss was eigentlich im ganzen passiert wenn ich da auf das remoteapp symbol klicke, abgesehen davon das der computer dann wohl den server via 3389 erreichen will...
kann mir da jemand zufällig weiterhelfen?
auf den beiden NATROUTERn sind keine outgoing firewall regeln eingestellt (ausgehend nix blockiert). eingehend habe ich nur eine portweiterleitung auf NATROUTER.A nach NATROUTER.B weil der ein SSL-VPN gateway ist.
muss ich für remoteapp auch noch irgendwelche ports auf NATROUTER.A an NATROUTER.B weiterleiten?
danke + mfg
die 0lsenbande
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206651
Url: https://administrator.de/contentid/206651
Ausgedruckt am: 05.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
das wird so in der Art hier zwei bis drei mal im Monat gefragt und das Forum hat eine Suchfunktion!
Also wenn es eilt würde ich diese benutzen wollen!
Deine SHIFT Taste scheint einen defekt zu haben! Hier im Forum legt man Wert darauf richtig zu schreiben
denn sonst hat man nach 100 Beitrage eventuell Augenkrebs!
willst es einfach nicht verstehen oder hast eben Deine Gründe dafür, aber der Sinn und auch der Zweck
einer Router Kaskade ist damit voll und ganz aufgehoben und somit obsolet!
Gruß
Dobby
das wird so in der Art hier zwei bis drei mal im Monat gefragt und das Forum hat eine Suchfunktion!
Also wenn es eilt würde ich diese benutzen wollen!
Deine SHIFT Taste scheint einen defekt zu haben! Hier im Forum legt man Wert darauf richtig zu schreiben
denn sonst hat man nach 100 Beitrage eventuell Augenkrebs!
bitte jetzt mal nicht nach dem grund fragen warum das so sein muss...
Nö, warum auch entweder Du hast das mit der Router Kaskade und der doppelten NAT nicht verstanden,willst es einfach nicht verstehen oder hast eben Deine Gründe dafür, aber der Sinn und auch der Zweck
einer Router Kaskade ist damit voll und ganz aufgehoben und somit obsolet!
Gruß
Dobby
Hi
ich finde das Konstrukt auch recht irreführend (soll jetzt nicht heissen das es falsch ist), bei uns sieht es anders aus:
Trusted LAN ist komplett im Layer 3, die Anfrage des Clients für die RemoteApp kommt an FW 1 auf einer bestimmten IP (z.B. 10.999.999.1 - ja ist eine Symbolische IP )auf Port 3389 an und wird an die 2. Firewall weitergeleitet, diese macht dann auch die eigentliche Authentifizierung (z.B. Forefront TMG via FAB) und leitet das dann erst an den internen Server weiter.
Die VPN Verbindung bzw. dessen Authentifizierung von Benutzername/Passwort geschieht direkt an der ersten FW (IPSec, L2TP, SSL oder was auch immer) gegen das AD/LDAP - (Alternative kannst die elegante und teure Variante mit DirectAccess von MS nehme) und wenn diese positiv war routet die erste FW das direkt in's interne Netz - steuert zu gleich die möglichen Zugriffe auf die internen Ressourcen.
Eine Firewall INTERN -> EXTERN mit Allow All einzustellen halte ich für grob fahrlässig, am besten auch noch UPnP an... man sperrt alles nicht benötigten Ports i.d.R. komplett weg und man sollte in der Firma für den regulären Internetverkehr Proxies verwenden, alleine schon um ungewollten Content (Porn, Gewalt, Streaming Dienste usw.) wegfiltern zu können und ggf. auch direkt einen Virenscanner mitlaufen lassen damit die Gefahr von Mailware usw. reduziert wird. Des weiteren kann imo jeder deiner Clients lustig fröhlich "Mailserver" spielen und dafür sorgen, dass deine IP auf Blacklisten landet und euer regulärer Mail-Server keine Mails mehr versandt bekommt...
Mein Rat: hol dir einen Dienstleister ins Haus der dir das gesamte Konstrukt gescheit einstellt, investiere ein paar Euros in eine gescheite Firewall nach draußen (Sonicwall, Fortinet, Juniper, Cisco, Watchguard) die solltest für unter 1.000 EUR bekommen und du hast was gescheites da stehen - alternativ verwende die Suchfunktion und suche nach einem Tutorial von @aqui "mOnOwall" & "pfense" - dort findest auch eine gute Anleitung bzgl. Firewall usw. im Eigenbau (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät)
Juhu es scheint endlich die Sonne
Grüße clSchak
PS: hmm wenn ich selbst nach "DoubleNAT" suche finde ich haufenweise "...is Evil" - "...some Problems" ;)
ich finde das Konstrukt auch recht irreführend (soll jetzt nicht heissen das es falsch ist), bei uns sieht es anders aus:
Trusted LAN ist komplett im Layer 3, die Anfrage des Clients für die RemoteApp kommt an FW 1 auf einer bestimmten IP (z.B. 10.999.999.1 - ja ist eine Symbolische IP )auf Port 3389 an und wird an die 2. Firewall weitergeleitet, diese macht dann auch die eigentliche Authentifizierung (z.B. Forefront TMG via FAB) und leitet das dann erst an den internen Server weiter.
Die VPN Verbindung bzw. dessen Authentifizierung von Benutzername/Passwort geschieht direkt an der ersten FW (IPSec, L2TP, SSL oder was auch immer) gegen das AD/LDAP - (Alternative kannst die elegante und teure Variante mit DirectAccess von MS nehme) und wenn diese positiv war routet die erste FW das direkt in's interne Netz - steuert zu gleich die möglichen Zugriffe auf die internen Ressourcen.
Eine Firewall INTERN -> EXTERN mit Allow All einzustellen halte ich für grob fahrlässig, am besten auch noch UPnP an... man sperrt alles nicht benötigten Ports i.d.R. komplett weg und man sollte in der Firma für den regulären Internetverkehr Proxies verwenden, alleine schon um ungewollten Content (Porn, Gewalt, Streaming Dienste usw.) wegfiltern zu können und ggf. auch direkt einen Virenscanner mitlaufen lassen damit die Gefahr von Mailware usw. reduziert wird. Des weiteren kann imo jeder deiner Clients lustig fröhlich "Mailserver" spielen und dafür sorgen, dass deine IP auf Blacklisten landet und euer regulärer Mail-Server keine Mails mehr versandt bekommt...
Mein Rat: hol dir einen Dienstleister ins Haus der dir das gesamte Konstrukt gescheit einstellt, investiere ein paar Euros in eine gescheite Firewall nach draußen (Sonicwall, Fortinet, Juniper, Cisco, Watchguard) die solltest für unter 1.000 EUR bekommen und du hast was gescheites da stehen - alternativ verwende die Suchfunktion und suche nach einem Tutorial von @aqui "mOnOwall" & "pfense" - dort findest auch eine gute Anleitung bzgl. Firewall usw. im Eigenbau (Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät)
Juhu es scheint endlich die Sonne
Grüße clSchak
PS: hmm wenn ich selbst nach "DoubleNAT" suche finde ich haufenweise "...is Evil" - "...some Problems" ;)
Haloo nochmal,
in diesem Forum achten die Leute und nicht gerade wenige, eben darauf, kann man auch leicht hier
nachlesen! Wie Du eine Frage richtig stellst
Fakt ist doch folgendes:
- Du hast ein Problem
Und ich wollte nur höflich, bestimmt und sicher zugegebener Maßen etwas direkt, darauf hinweisen,
damit Du mehr Zuschriften und Feedback bekommst und Dein Problem gelöst wird!
- Du möchtest das sich am besten viele Leute "einklinken" und Dir helfen es zu lösen.
Auch wenn man die direkte oder eben auch genaue Lösung nicht kennt, kann man trotzdem
konstruktiv daran mitarbeiten, das eine Lösung herbei geführt wird, falls Dir das nicht passt brauchst Du ja nicht gleich ausfallend werden und mit dem Gassenjargon aufwarten.
kaum Antworten würde ich noch einmal darüber nachdenken wollen an Deiner Stelle.
Gruß
Dobby
in diesem Forum achten die Leute und nicht gerade wenige, eben darauf, kann man auch leicht hier
nachlesen! Wie Du eine Frage richtig stellst
Fakt ist doch folgendes:
- Du hast ein Problem
Und ich wollte nur höflich, bestimmt und sicher zugegebener Maßen etwas direkt, darauf hinweisen,
damit Du mehr Zuschriften und Feedback bekommst und Dein Problem gelöst wird!
- Du möchtest das sich am besten viele Leute "einklinken" und Dir helfen es zu lösen.
Auch wenn man die direkte oder eben auch genaue Lösung nicht kennt, kann man trotzdem
konstruktiv daran mitarbeiten, das eine Lösung herbei geführt wird, falls Dir das nicht passt brauchst Du ja nicht gleich ausfallend werden und mit dem Gassenjargon aufwarten.
D.o.b.b.y. meine shift taste funktioniert einwandfrei, und bei allem respekt,
Rede Du bitte nicht von Respekt und verhöhne noch die Leute die es gut mit Dir meinen!dein beitrag war aktuell für mich leider so hilfreich wie ein griff ins klo
Nein ich denke eher Deiner, denn in einem Forum wie diesem, ein Beitrag mit fast ~500 Aufrufen undkaum Antworten würde ich noch einmal darüber nachdenken wollen an Deiner Stelle.
Gruß
Dobby