jalokin
Goto Top

VPN Router DLink DSR-500N Windows Server 2008, Verifizierung klappt nicht

Hallo,

habe mich schon blöd gegoogelt und auch hier gesucht, leider ohne Erfolg.

Ich habe einen VPN Server auf Windows Server 2008 aufgesetzt, davor ist ein DLink Router DSR-500N.
Wenn ich bei dem Router unter Firewall Rules alles freigebe von WAN->LAN funktioniert der VPN.
Wenn ich aber nur PPTP freigebe scheitert es an der Verifizierung.
Der Router hat zwar VPN passthrough aber iwie funzt das nicht oder ich bin zu blöd.
Bin immer auf das GRE Protokoll gestossen, aber irgendwie kriege ich da keine Regel zu für die Firewall Rules und alles freigeben gefällt mir auch nicht.

Hat vielleicht jemand ne Idee??
Habe auch schon alle vorgegebene Protokolle freigeben. Hatte gedacht wenn du ANY machst läufst, also alle freigeben und nach einander verbieten. Aber Pustekuchen alle freigegeben und es scheitert wieder an der Verifizierung.
Schon mal Danke vorab face-smile
Gruß
Jalokin (der Verzweifelte)

Content-ID: 182026

Url: https://administrator.de/contentid/182026

Ausgedruckt am: 06.11.2024 um 02:11 Uhr

aqui
aqui 15.03.2012, aktualisiert am 18.10.2012 um 18:50:20 Uhr
Goto Top
Hier steht genau wie es geht:
VPNs einrichten mit PPTP
bzw.
VPNs einrichten mit PPTP
Wenn das nicht klappt dann supportet der Router kein VPN Passthrough. Bei D-Link wohl nicht weiter verwunderlich. Das iist Router Müll am untersten Ende der Preisskala.
Bevor du den aber entsorgst solltest du zuallererst einen Wireshark oder MS netMonitor:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id ...
http://www.wireshark.org/
auf dem Server laufen lassen und dir überhaupt erstmal ansehen ob der Router TCP 1723 Pakete und GRE Pakete an den Server bzw. seine lokale IP schickt.
Auch solltest du darauf achten die Firewall des Servers entsprechend einzustellen, denn die Pakete kommen NICHT mit lokalen IPs...logisch !
Normalerweise blockt die Winblows Firewall sowas sofort !!
jalokin
jalokin 16.03.2012 um 09:32:41 Uhr
Goto Top
Hallo aqui,
erstmal danke für die schnelle Hilfe.
Habe das mit den besagten Programmen getestet:

Bei nur PPTP Freigabe steht da:
"Start-Control-Connection" Router --> Server
"Start-Control-Connection" Server --> Router
"Outgoing-Call-Request" Router --> Server
"Outgoing-Call-Reply" Server --> Router
"Set-Link-Info" Router --> Server

Bei Freigabe von allem kommen die Protokolle:
GRE
NSBN
SSDP
ICMP
vor und die Verbindung geht.

Zudem einstellbaren Passthrough, da steht das der Passthrough über den Firewall Rules steht. face-smile
"This page allows user to configure VPN (IPsec, PPTP and L2TP) passthrough on the router. Enabled passthrough checkboxes have higher priority than firewall rules based on the same service."
Gruß
jalokin
aqui
aqui 16.03.2012 um 12:59:47 Uhr
Goto Top
Ja dem ist ja auch so, denn die Passthrough Rules müssen ja zwangsweise die FW umgehen sonst wäre eine Kommunikation von extern ja auch gar nicht möglich. Mehr oder weniger logisch also !!
Na ja, das sieht ja dann schon mal ganz gut aus wenn GRE und TCP 1723 von der externen IP ankommen am Server. Dann sollten in den Router NAT / Port Forwarding Regeln eben stehen das **eingehend* (incoming) TCP 1723 auf die lokale IP Adresse des Servers geforwardet wird.
Normalerweise müsste dort das gleiche auch für GRE einzustellen sein wie du es am Screenshot der FritzBox ja sehen kannst aber manche Billigrouter haben das nicht sondern forwarden damit "heimlich" dann GRE gleich mit wenn TCP 1723 im Port Forwarding aktiv ist. Bei Billigmarken eine übliche Praxis.
Deshalb der Tip mit dem Paket Sniffer um zu sehen und zu kontrollieren ob das klappt und ob überhaupt GRE Pakete am Server Port von extern ankommen über den Router !
Wenn GRE und TCP 1723 von außen über den Router und sein Port Forwarding ankommen ist ja sehr gut, dann klappt das ja also.
Du kannst das auch schön checken indem du dir die Absender IP einmal ansiehst. Die sollte immer identisch mit der VPN Client IP sein die die PPTP VPN Verbindungsanfrage stellt. Kannst du immer mit "ipconfig -all" sehen !! Denk dran das der VPN Client immer die öffentliche DSL Router IP Adresse als Ziel angegeben haben muss !! Logisch, denn die interne IP des Servers kennt er ja nicht durch die Adress Translation am Router !
Dann sieht es ja so aus also ob der Router alles sauber und richtig macht.
Dann bleibt nur die interne MS Firewall auf dem Server als böser Buhmann !
Wie gesagt per default blockiert sie alles was nicht aus dem eigenen lokalen LAN kommt. Damit PPTP VPN von extern klappt musst du also für TCP 1723 und GRE auch externe IP Adressen zulassen in den FW Settings ! Sonst blockt die Server FW das und dann ists wieder aus mit dem VPN !