10
VPN (PPTP) via Routing und RAS auf Windows Server 2008 (R2)
Hallo Leute,
ich habe einen Windows Server 2008 mit zwei Netzwerkkarten für den Einsatz von RRAS eingerichtet.
Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden. Auf dem LANCOM ist der Port 1723 auf IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.
Die Clients die sich dann einwählen sollen, sollen per RDP nur Zugriff auf unseren Terminalserver (IP: 192.168.10.yyy) haben. Die Einwahl an sich funktioniert wie sie soll, jedoch wird der Terminalserver nicht gefunden.
Was mache ich falsch?
lg Joyce
ich habe einen Windows Server 2008 mit zwei Netzwerkkarten für den Einsatz von RRAS eingerichtet.
Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden. Auf dem LANCOM ist der Port 1723 auf IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.
Die Clients die sich dann einwählen sollen, sollen per RDP nur Zugriff auf unseren Terminalserver (IP: 192.168.10.yyy) haben. Die Einwahl an sich funktioniert wie sie soll, jedoch wird der Terminalserver nicht gefunden.
Was mache ich falsch?
lg Joyce
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 214886
Url: https://administrator.de/contentid/214886
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Hi
Warum nutzt du denn nich diesen für das VPN?
Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP
Weiterhin vermute ich mal, dass die Firewall deines TS den Zugriff von außerhalb des internen Netzwerkes blockt.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen Remote-Clients erlaubt wird.
ich habe einen Windows Server 2008 mit zwei Netzwerkkarten für den Einsatz von RRAS eingerichtet.
Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen
Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden.
Was hast du denn für einen Lancom Router?Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen
Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden.
Warum nutzt du denn nich diesen für das VPN?
Auf dem LANCOM ist der Port 1723 auf
IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.
IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.
Was mache ich falsch?
Deinerster und größter Fehler ist es, PPTP-VPN einzurichten.Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP
Weiterhin vermute ich mal, dass die Firewall deines TS den Zugriff von außerhalb des internen Netzwerkes blockt.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen Remote-Clients erlaubt wird.
1
Zitat von @goscho:
Was hast du denn für einen Lancom Router?
Warum nutzt du denn nich diesen für das VPN?
Was hast du denn für einen Lancom Router?
Warum nutzt du denn nich diesen für das VPN?
Der LANCOM Router ist ein 1781A; aus Kostengründen wurde entschieden, dass ein Windows Server diese Aufgabe übernehmen soll.
Dein erster und größter Fehler ist es, PPTP-VPN einzurichten.
Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP
Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP
Der Artikel ist mir natürlich bekannt. Die Gefahr wurde für unser Scenario als gering bis nicht vorhanden eingeschätzt und dementsprechend wurde ich mit der Umsetzung betraut.
Weiterhin vermute ich mal, dass die Firewall deines TS den Zugriff von außerhalb des internen Netzwerkes blockt.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen
Remote-Clients erlaubt wird.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen
Remote-Clients erlaubt wird.
Danke für den Tipp. Das werde ich überprüfen.
lg Joyce
Weitere Grundlagen findest du auch hier:
VPNs einrichten mit PPTP
und bei 2 NICs:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
..."Der LANCOM Router ist ein 1781A; aus Kostengründen wurde entschieden, dass ein Windows Server diese Aufgabe übernehmen soll."
Spricht ja nicht gerade für Fachkompetenz....aber egal !
VPNs einrichten mit PPTP
und bei 2 NICs:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
..."Der LANCOM Router ist ein 1781A; aus Kostengründen wurde entschieden, dass ein Windows Server diese Aufgabe übernehmen soll."
Spricht ja nicht gerade für Fachkompetenz....aber egal !
1
Hallo aqui,
vielen Dank für die Links; ich habe sie eingehend studiert. Ich habe jedoch das Gefühl, dass das nicht meinem Anwendungsbeispiel entspricht. Oder ich kapier' das einfach nicht.
Zur Veranschaulichung meines Problems habe ich eine schematische Darstellung angefertigt.
Die VPN Verbindung von den Notebooks bis zum RRAS Server funktioniert - jedoch komme ich von dort nicht weiter. Die Benutzer mit den Notebooks sollen letztendlich nur Zugriff auf den Terminalserver haben. Vielleicht kann mir jemand helfen.
Vielen Dank.
lg Joyce
vielen Dank für die Links; ich habe sie eingehend studiert. Ich habe jedoch das Gefühl, dass das nicht meinem Anwendungsbeispiel entspricht. Oder ich kapier' das einfach nicht.
Zur Veranschaulichung meines Problems habe ich eine schematische Darstellung angefertigt.
Vielen Dank.
lg Joyce
Eine Bitte: lasse diese sinnlosen externen Bilderlinks hier im Forum mit Facebook Zwangswerbung usw. !
Wenn du deinen Ursprungsthread mit Klick auf Fragen -> Thread -> Bearbeiten editierst, siehst du oben eine hervorragende Bilder Upload Funktion ! (Kann man nicht übersehen !)
Den nach dem Bild Upload erscheinden URL Bilderlink kannst du mit Rechtsklick und Cut and Paste in jeglichen Text hier bringen.
Statt des URL erscheint dann immer dein hocgeladenes Bild. So haben andere Forumsteilnehmer die Chance das zu sehen und davon zu lernen auch wenn die externe Bilderquelle mal vom Netz ist.
Eigentlich kinderleicht wenn man mal die Forums FAQs liest
Kann man übrigens auch immer noch prima nachträglich machen !!
Zurück zu deinem Problem.... !
Eine Kardinalsfrage hast du nicht beantwortet:
Dein ganzes Netz Design ist mit Verlaub gesagt etwas krank.
Warum routest du einmal über die 2 NICs des Servers, hast aber das 2te Segment gleichzeitig wieder direkt am Lancom dran ??
Eigentlich ein bischen blödsinning, denn so hast du 2 mögliche parallele Routing Wege was das Szenario unnötig verkompliziert !!
Die Frage ist nämlich in welchem IP Segment die PPTP Clients enden, im 10er oder 20er Segment ? (Oben gefragte Absender IP)
Das ist essentiell wichtig, denn ggf. müssen sie routen um den TS zu erreichen und dann hast du da, wie zu 98% hier bei solchen Forumsfragen, die statische Route vergessen ?!
All das steht in den o.a. Tutorials die du vermutlich wirklich nicht ganz durchdrungen bzw. kapiert hast, denn das ist ja genau dein Szenario ! Abgesehen von dem unsinnigen L3 Design.
Egal, wichtig ist jetzt erstmal die aktive IP Adresse des PPTP Clients und ggf. ein Traceroute (tracert) oder Pathping auf den TS Zielserver um hier weiterzukommen... !!
Wenn du deinen Ursprungsthread mit Klick auf Fragen -> Thread -> Bearbeiten editierst, siehst du oben eine hervorragende Bilder Upload Funktion ! (Kann man nicht übersehen !)
Den nach dem Bild Upload erscheinden URL Bilderlink kannst du mit Rechtsklick und Cut and Paste in jeglichen Text hier bringen.
Statt des URL erscheint dann immer dein hocgeladenes Bild. So haben andere Forumsteilnehmer die Chance das zu sehen und davon zu lernen auch wenn die externe Bilderquelle mal vom Netz ist.
Eigentlich kinderleicht wenn man mal die Forums FAQs liest
Kann man übrigens auch immer noch prima nachträglich machen !!
Zurück zu deinem Problem.... !
Eine Kardinalsfrage hast du nicht beantwortet:
- Wenn du mit PPTP eingewählt bist WAS für eine IP Adresse bekommst du denn auf dem PPTP Client bzw. PPTP Netzwerk Adapter ??
Dein ganzes Netz Design ist mit Verlaub gesagt etwas krank.
Warum routest du einmal über die 2 NICs des Servers, hast aber das 2te Segment gleichzeitig wieder direkt am Lancom dran ??
Eigentlich ein bischen blödsinning, denn so hast du 2 mögliche parallele Routing Wege was das Szenario unnötig verkompliziert !!
Die Frage ist nämlich in welchem IP Segment die PPTP Clients enden, im 10er oder 20er Segment ? (Oben gefragte Absender IP)
Das ist essentiell wichtig, denn ggf. müssen sie routen um den TS zu erreichen und dann hast du da, wie zu 98% hier bei solchen Forumsfragen, die statische Route vergessen ?!
All das steht in den o.a. Tutorials die du vermutlich wirklich nicht ganz durchdrungen bzw. kapiert hast, denn das ist ja genau dein Szenario ! Abgesehen von dem unsinnigen L3 Design.
Egal, wichtig ist jetzt erstmal die aktive IP Adresse des PPTP Clients und ggf. ein Traceroute (tracert) oder Pathping auf den TS Zielserver um hier weiterzukommen... !!
Diese Kardinalfrage hat bisher niemand gestellt... Die IP Adressen werden aus einem im RRAS konfigurierten Bereich, welcher sich von 192.168.10.180 bis 192.168.10.240 erstreckt, vergeben. Der RRAS Server erhält dabei die 192.168.10.180.
Pathping auf den RRAS Server liefert folgendes Ergebnis:
Pathping auf den Terminalserver liefert folgendes Ergebnis:
192.168.254.229 ist die lokale IP des Notebooks.
Die statische Route habe ich nicht nur vergessen, sondern bisher nicht eingerichtet, da das die Schwierigkeit ist, bei der ich nicht weiter komme. Routen einrichten, um von einem Subnet zu einem anderen zu kommen, ist an sich kein Problem, aber beim RRAS Server versagt meine Verkehrsregelung offensichtlich ... Ich glaube, dass ich den Wald vor lauter Bäumen nicht sehe. Ich weiß nicht wie die Routen aussehen sollen und wo ich sie eintragen soll.
lg Joyce
PS Das Netz habe ich mir nicht ausgedacht... Ich bin hier nur das Mädchen.
Pathping auf den RRAS Server liefert folgendes Ergebnis:
Routenverfolgung zu "RRAS" [192.168.10.180]
über maximal 30 Hops:
0 MARLIN [192.168.10.181]
1 RRAS [192.168.10.180]
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 MARLIN [192.168.10.181]
0/ 100 = 0% |
1 0ms 0/ 100 = 0% 0/ 100 = 0% RRAS [192.168.10.180]
Pathping auf den Terminalserver liefert folgendes Ergebnis:
Routenverfolgung zu "192.168.20.10" über maximal 30 Hops:
0 MARLIN [192.168.254.229]
1 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 MARLIN [192.168.254.229]
Die statische Route habe ich nicht nur vergessen, sondern bisher nicht eingerichtet, da das die Schwierigkeit ist, bei der ich nicht weiter komme. Routen einrichten, um von einem Subnet zu einem anderen zu kommen, ist an sich kein Problem, aber beim RRAS Server versagt meine Verkehrsregelung offensichtlich ... Ich glaube, dass ich den Wald vor lauter Bäumen nicht sehe. Ich weiß nicht wie die Routen aussehen sollen und wo ich sie eintragen soll.
lg Joyce
PS Das Netz habe ich mir nicht ausgedacht... Ich bin hier nur das Mädchen.
Okay, das ist mir dann doch aufgefallen. Ich habe jetzt auf dem Notebook den RRAS Server als DNS Server eingetragen und eine Route vergeben.
route add 192.168.20.10 mask 255.255.255.255 192.168.10.180 Pathping auf den Terminalserver liefert jetzt folgendes Ergebnis:
Routenverfolgung zu "ts3.domain.intern" [192.168.20.10]
über maximal 30 Hops:
0 MARLIN [192.168.10.181]
1 RRAS [192.168.10.180]
2 * * *
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 MARLIN [192.168.10.185]
0/ 100 = 0% |
1 6ms 0/ 100 = 0% 0/ 100 = 0% RRAS [192.168.10.180]
Jedoch alle routing Versuche zum Terminalserver auf dem RRAS Server scheitern. Wenn ich eine Route in der RRAS Console auf den Terminalserver eingebe (was als cmd line
route add 192.168.20.10 mask 255.255.255.255 192.168.20.100lg Joyce
Einen pahtping später ...OMG...
Vielen lieben Dank aqui...
lg Joyce
Vielen lieben Dank aqui...
lg Joyce
Na ja die Route "route add 192.168.20.10 mask 255.255.255.255 192.168.20.100" ist Schwachsinn, sorry !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?
Was bedeutet denn nun die Danksagung...klappt es nun wie es soll ??
P.S. Ein route print sagt dir am Client ob er das Zielnetz wo er hinsoll auch kennt und in welche Richtung er gehen muss !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?
Was bedeutet denn nun die Danksagung...klappt es nun wie es soll ??
P.S. Ein route print sagt dir am Client ob er das Zielnetz wo er hinsoll auch kennt und in welche Richtung er gehen muss !
Zitat von @aqui:
Na ja die Route "route add 192.168.20.10 mask 255.255.255.255 192.168.20.100" ist Schwachsinn, sorry !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?
Jupp...Na ja die Route "route add 192.168.20.10 mask 255.255.255.255 192.168.20.100" ist Schwachsinn, sorry !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?
Was bedeutet denn nun die Danksagung...klappt es nun wie es soll ??
P.S. Ein route print sagt dir am Client ob er das Zielnetz wo er hinsoll auch kennt und in welche Richtung er gehen muss !
Nochmals Danke.
lg Joyce
