VPN mit Routing und RAS Problem mit WindowsServer2008 - Verbindung steht,aber kein Zugriff auf Freigaben und Internet

Hallo,
Ich versuche seit über einer Woche den VPN Zugang mit einem Win2008 Server in unser Firmennetzwerk zu konfigurieren, aber ich komm einfach nicht mehr weiter!

Also,im Netzwerk befindet sich ein Win 2008 Server [DHCP,DNS, DC, NAT]. Er hat zwei Netzwerkkarten,eine fürs Internet und eine fürs Firmennetzwerk.
Alles funkt super, Clients melden sich in der Domaine an, bekommen eine IP und haben zugang zu Netzwerkfreigabenund zur Datenbank.

Jetzt muss ich einen VPN Server einrichten, und da komm ich einfach nicht mehr weiter:

Routing und RAS ist Installiert und Konfiguriert
RAS Client wählt sich ins Netzwerk ein bekommt eine IP aus dem DHCP Range des Netzwerkes, kann alles im Netz anpingen, auch google, ABER der Zugriff auf Freigaben,Datenbanken oder Internet im Browser funktioniert nicht.

An was könnte das liegen? Habe ich irgendwas übersehen,bzw vergessen?

Der Client bekommt als Gateway IP seine eigene ist das richtig?
Sicherheits Einstellungen beim Netzwerkrichtlinien Server?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 173130

Url: https://administrator.de/contentid/173130

Ausgedruckt am: 19.11.2024 um 15:11 Uhr

12 Kommentare

Neuester Kommentar

Alle Schritte in diesem Tutorial hast du beachtet wenns denn ein PPTP VPN ist was du uns ja leider verschweigst

??
VPNs einrichten mit PPTP
bzw. Server bezogen hier:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id ...

Hallo,
Ja, beide Tutorialsund auch andere bin ich öfters durchgegangen und bin einfach nicht draufgekommen.
sorry wegen der schlechten Beschreibung, ich war beim einstellen etwas genervt nachdem ichs noch immer noch nicht geschafft habe.Ich werde jetzt versuchen das Netz besser zu beschreiben:

Ja es geht um eine pptp verbindung, auf einen Win2008 server mit 2 nics:

Im Internet ist ein Router (IP Range 192.168.0.x ) mit einer DMZ an 192.168.0.50 [1.NIC des Server]
Der Server hat eine 2. NIC[10.0.10.x] für das Interne Firmennetzwerk.

Router
192.168.0.1 = im Internet [Thomson, PPTP passtrought, DMZ an 192.168.0.50]

Win2008 Server [DHCP, DNS, DC, NAT, RAS, WINS]

NIC 1 "Extern Internet"
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.0.50
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DNS. . . . . . . . . . . . . . . . . . . : 192.168.0.1

NIC2 "Intern Intranet"
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 10.0.10.5
Subnetzmaske . . . . . . . . . . : 255.0.0.0
Standardgateway . . . . . . . . . : 0.0.0.0
DNS. . . . . . . . . . . . . . . . . . . : 10.0.10.5

Derzeit habe ich den RAS Server für einen Statischen IP Bereich konfiguriert: 10.0.10.151-160

Routes:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 Auf Verbindung 10.0.10.5 276
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.50 276
10.0.0.0 255.0.0.0 Auf Verbindung 10.0.10.5 276
10.0.10.5 255.255.255.255 Auf Verbindung 10.0.10.5 276
10.0.10.151 255.255.255.255 Auf Verbindung 10.0.10.151 306
10.255.255.255 255.255.255.255 Auf Verbindung 10.0.10.5 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.0.0 255.255.255.0 Auf Verbindung 192.168.0.50 276
192.168.0.50 255.255.255.255 Auf Verbindung 192.168.0.50 276
192.168.0.255 255.255.255.255 Auf Verbindung 192.168.0.50 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.0.10.5 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.0.50 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.0.10.151 306
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.0.10.5 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.0.50 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.0.10.151 306

Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.1.1 Standard
0.0.0.0 0.0.0.0 10.0.10.5 Standard
0.0.0.0 0.0.0.0 192.168.0.1 Standard

Client bekommt:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.10.153
Subnetzmaske. . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 10.0.10.153
DNS-Server. . . . . . . . . . . . : 10.0.10.5

Also, Einwählen kann ich mich anpingen des 10.0.10.5 Servers funktioniert u google auch, aber keinen netzwerkzugriff, weder auf lan noch internet.

Ich weiß einfach nicht an was das liegen könnte...

Machst du reines Routing oder NAT/ICS auf dem Server zwischen den 2 Segmenten ?
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Das wäre noch relevant zu wissen ?!

Hallo, danke für deine schnelle Antwort,

ich habe die Routing und Ras Rolle installiert und dann die Funktion NAT und VPN konfiguriert.

Ein Problem ist das du 2 unterschiedliche DNS Server konfiguriert hast auf den NICs. Ist dein Server selber DNS und hat dieser in den DNS Settings eine Weiterleitung auf die 192.168.0.1 ??
Wenn ja kannst du den DNS Eintrag des Routers an NIC 1 vergessen und löschen.
Wenn nein, dann sollte der DNS an NIC 2 auch auf die 192.168.0.1 gesetzt sein.
Zweite eher kosmetische Sache ist warum du sinnloserweise ein Class A Netzwerk mit einer 8 Bit Maske auf dem NIC 2 eingerichtet hast ?? Vermutlich willst du ja wohl kaum 16.777.214 Endgeräte dort adressieren oder ?? Erheblich sinnvoller wäre hier also auch eine 24 Bit Maske 10.0.10.0 /24 zu verwenden !
Siehe dazu auch: VPNs einrichten mit PPTP zu dem Thema !
Hast du im 10er Segment ggf. ein Endgerät was keine Firewall hat das du mal pingen kannst ?
Wie vergibst du IP Adressen im 10er Segment ?? Per DHCP oder statisch ?
Hast du bei den 10er Clients einmal geprüft ob deren Gateway IP auf die IP des Servers 10.0.10.5 eingestellt ist (ipconfig) ?
Was ergibt ein Traceroute oder Pathping vom aktiven VPN Client auf eine 10er Client IP (möglichst ohne Firewall) ?
Bedenke das ein VPN Test auch immer remote erfolgen muss, also nicht aus dem 10er Netz selber !

Danke für deine Bemühungen!!
Also den DNS auf der NIC1 hab ich schon draußen, da der Server auch DNS hat [habe in den Einstellungen unter Weiterleitung die DNS Server vom Provider drinnen, stimmt das??]... hab ich mal kurz in meiner Verzweifung ausprobiert.

Das mit der Kosmetik, da hast du vollkommen Recht! Das muss ich dann ändern.

im 10er Segment ist ein DHCP Server installiert, Lokale Clients bekommen alles von ihm und das lokale Netzwerk funkt einwandfrei.
PPTP Clients bekommen eine von den 10 Statischen IPs vom RAS [PPTP Client IP ist die selbe wie der Gateway, stimmt das?]

Da der Server noch nicht fertig ist, habe ich keine anderen PC's im Lokalen Netz.

Bin gerade mit dem Netbook unterwegs und hab mich mal mit ihm und dem Iphone ins VPN Netz eingewählt und von beiden aus den 10.0.10.5 Server angepingt und es funktioniert, es funktioniert auch wenn ich vom Netbook aus das Iphone anpinge und umgekehrt.
Ping auf google funktioniert auch.
Vom 10.0.10.5 Server aus kann ich auch alle VPN Clients Netbook und Iphone anpingen.

Ping in alle Richtungen funktioniert einwandfrei! Aber kein Zugriff auf Freigaben, Datenbanken und Internet...

was komisch ist, wenn ich mit dem Iphone im VPN Netz bin, zeigt mir das RDP App [Windows RemoteClient] an, dass der Server 10.0.10.5 online ist, aber er kann wie gesagt keine Verbindung aufbauen.

Ja VPN Test mache ich immer vom Inet aus,hab auch schon mal testweise vom 192.168.0.0 Netz aus eine Verbindung aufgebaut um den Router zu testen ob er eh alles durchlässt. Von dem Netz aus, das gleiche Problem!

Ich mitlerweile echt schon an, ich bin mir nicht sicher ob die Routen richtig sind, bzw. vl Einstellungen beim Netzwerkrichtlinenserver

Das riecht alles sehr verdächtig nach einem Firewall Problem auf dem Server. Der RDP Test ist da eindeutig. Der Ping (also ICMP) klappt aber kein RDP was vermutlich durch die Firewall geblockt ist.
Genau so wird es vermutlich auch für die Datei und Druckerdienste gelten. Zudem ist auch noch ein Rechteproblem möglich das die VPN User gar keine Zugriffsrechte auf die Shares haben.
Der böse Buhmann ist aller Wahrscheinlichkeit nach dein Server.
Als DNS Weiterleitung kannst du auch die IP deines Routers angeben im DNS. Der Router ist immer DNS Proxy und bekommt über PPPoE immer die aktuellen DNS Swrver dynamisch mitgeteilt. Ist aber mehr oder weniger kosmetisch...

Also, hab grad (weiß auch nicht warum) geschafft, wenn die VPN steht über Windows Remote eine Verbindung herzustellen über die Lokale Server IP.
Netzwerkfreigaben, Datenbank, Internet funkt trotzdem nicht...

Nachdem sich die User einwählen, die sich sonst lokal in der Domaine anmelden und auf die Freigaben, ... zugreifen, sollte es doch kein Rechteproblem an seiten derUser sein?oder?

Firewalltechnisch hab ich auch schon mal versucht die Firewall zu deaktivieren und es hat trotzdem nicht funktioniert

aber zwei fragen hätte ich noch:
1. Der netzwerkrichtlinien und zugriffs server kann auch nichts damit zu tun haben, denn der Benutzer hat sich ja ins Netz angemeldet und authentifiziert worden, also ist bei dem alles richtig eingestellt, oder?

2. muss ich eine verbindungssicherheitsregel bei der firewall für die vpn erstellen?

Danke für deine Bemühungen!!!!

Was sagt dein ein Pathping oder Traceroute zu einer Internet IP Adresse wie z.B. 193.99.144.85 ??
Geht die in den VPN Tunnel oder wird sie lokal geroutet ?
Wo bleibt sie stecken, wenn sie stecken bleibt ? Genau da ist auch den Problem !!

Ok,

Hab ne Tracerroute und nen Pathping auf die Internet IP geschickt ...

Ergebnis: Ich bin nicht weiter, als auf die IP 10.0.10.151 gekommen. D.h. die Anfrage ging richtig ins VPN Netz, aber nicht weiter als bis zur 151er IP.
Diese IP ist der "Intern" Adapter im RAS der für die VPN Clients als VPN Server eingetragen ist!

Also nehme ich an eine Route fehlt, stimmt das?

Ja, exakt ! Der VPN Server hat keine default Route zu seinem lokalen Internet Gateway. Es ist zusätzlich möglich das die interne 10.0.10.151er IP bzw. dieses Netz auch ein VPN internes IP Netz ist was am lokalen Router beim Server nicht statisch auf den VPN Server geroutet ist (zusätzliche statische Route).
Dadurch kann der lokale Internet Router am Server dieses VPN Netz (sofern es nicht identisch zum lokalen LAN ist) nicht rückrouten und schickt diese Pakete dann gemäß seiner Default Route zum provider wo sie im Nirwana verschwinden.
Das solltest du also genau checken...ebenso die Firewall einstellungen von VPN und LAN am Server die natürlich auch eine Falle sein können. Eins von beiden ist der böse Buhmann.

So nachdem ich wiedermal ein bisschen Zeit dafür hatte, hab ichs wiedermal versucht das Problem zu lösen.

Ich habe die Rolle öfters Deinstalliert und neukonfiguriert, doch es hat nichts gebracht. Einstellungstechnisch sollte es ja funktionieren, aber nach einer erneuten Installation der Rolle waren immer noch die alten Einstellungen drinnen.

So, Server neu aufgesetzt, Rolleinstalliert und es funktioniert! Keine Ahnung warum,ich habs genauso wie vorher konfiguriert.

Ich finds blöd, dass WinServer2008 nicht alle Konfigurationen löscht, wenn man eine Rolle neuinstalliert

Danke @ aqui für deine Bemühungen.

gelöst Frage Microsoft Windows Netzwerk

Mehr von bernhard86

Server2008 Firewall-Port offen und aktiviert, kann aber trotzdem nicht zugreifenbernhard86 - 5 Kommentare

Heiß diskutiert