aodenthal
Goto Top

VPN Verbindung nicht verfügbar

VPN Verbindung bei Neustart vorhanden, danach nicht mehr erreichbar.

Hallo zusammen,

habe die Aufgabe nun unsere IT-Umgebung mit VPN zu erweitern. Dazu folgende Informationen:

- 1. W2K3 Server als Hauptdomaine , Benutzerverwaltung , und Homeverzeichnissen (angebunden an Netzwerk mittels 1 NIC , feste IP Adresse)
- 2. W2K3 Server als Seconddomaine, Anwendungssysteme (Faktur usw.) sowie FTP Verzeichnis für Netzwerkscanner (angebunden an Netzwerk mittels 1 NIC und festen IP Adresse ; direkt angebunden an sep. DSL-Router mit 2ter NIC , durch DHCP von Router zugewiesene IP)
- 3-6 Laptops mit Windows XP Prof. (DHCP Verteilte IP)
- 3 Workstation mit Windows XP Prof. (DHCP Verteilte IP)

- Das Netzwerk ist an das Internet wie folgt angebunden: Alle Rechner inkl. Server liegen mit ihrer 1.NIC an einem Switch. An diesem Switch ist ebenfalls ein DSL-Router mit DHCP Funktion angeschlossen. Von allen Systemen kann Internet genutzt werden. Zusätzlich existiert über eine zweite TK-Leitung eine seperate DSL-Flat welche ebenfalls über einen DSL-Router mit DHCP nur mit dem 2.ten W2K3 Server verbunden ist. Das bedeutet, dass theoretisch der 2te Server zwei Internetanbindungen hat.


Da wir keine Standleitung mit fester IP Adresse haben, haben wir nach den Anleitungen sowohl hier im Forum als auch bei Microsoft, den Dyndns.org Account genutzt. Am 2ten W2k3 Server die VPN aktiviert. Jetzt kann man direkt über einen seperaten Zugang (wir haben es sowohl über UMTS als auch über fremde DSL Leitungen getestet) sich einwählen. Wenn man nun ein paar Stunden abwachtet, ist der VPN Zugang nicht mehr verfügbar, der "Client" versucht zwar die VPN Verbindung aufzubauen, bricht aber dann ab mit dem Hinweis - Nicht erreichbar. Im "Internen" Netzwerk ist der Server aber sowohl über PING als auch über den Remotedesktop erreichbar.

Kennt einer das Phänomen ?

- Ich vermute, dass der Server nach einer gewissen Zeit die VPN Dienste deaktiviert oder abschaltet , nach einem Neustart des Servers ist das VPN wieder erreichbar, aber nur für eine gewisse Zeit.


Gruß
Alexander Odenthal

Content-ID: 96339

Url: https://administrator.de/forum/vpn-verbindung-nicht-verfuegbar-96339.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
aqui 08.09.2008 um 11:08:19 Uhr
Goto Top
Warum nutzt du nicht einfach einen VPN Router wie die von Draytek z.B. ???
Damit bist du komplett unabhängig von der Serverfrickelei bei dir und kannst zudem noch unabhängig alle 3 wichtigsten VPN Protokolle supporten (PPTP, IPsec und L2TP) um Client unabhängig zu sein !

In deinem Szenario hat übrigens nicht nur der Server 2 Internetzugänge sondern das gesamte Netzwerk wenn du es richtig aufgesetzt hast wie hier z.B. beschrieben:
hevtig
hevtig 08.09.2008 um 12:01:37 Uhr
Goto Top
Interessant wäre es zu wissen, ob der Server denn vom Internet anzupingen ist, wenn der VPN- Server nicht funktioniert.
Desweiteren hilft oft ein Blick in die Ereignisanzeige. Hier werden regelmäßig die Verbindungsversuche mitgeloggt.

Vielleicht tritt das Problem ja auch nur auf, wenn schon jemand eingewählt ist. (?)
Vielleicht kann dein Router nur ein VPN-Passthru. (?)
aodenthal
aodenthal 08.09.2008 um 14:31:01 Uhr
Goto Top
Hallo Aqui,


- da nur insg. 2, max. 3 Benutzer das VPN nutzen werden, ist es fraglich, ob die Anschaffung eines sep. VPN Routers sinnvoll ist. Ich habe trotzdem bei unseren Händlern angefragt, keiner hat die Produkte der Firma Draytek im Angebot.

Ist Richtig, alle Rechner haben über das Ethernet einen Internetzugang, über den Router 1 (Arcor). Nur der Server 2 hat zusätzlich einen DSL Zugang über Router 2 (T-Com). Wenn ich den Router 1 ausschalte, existiert keine Internetverbindung im Ethernet-Netzwerk. Nur Server2 kann weiterhin online gehen.


Was würde denn so ein Draytek kosten ?

Gruß
Alex
aodenthal
aodenthal 08.09.2008 um 14:38:28 Uhr
Goto Top
- Ja er ist anping bar.
- In der Ereignisanzeige ist keine Warnung oder Fehlermeldung.
- Nein, es war definitiv um 20:00 Uhr gestern bsp. keiner mehr eingeloggt.
- Passthru ? - Hilf mir auf die Sprünge ?Der T-Com Router ist eine FritzBox, da wurde die IP des Servers mit allen Ports freigegeben.


Gruß
Alexander


P.S.: Habe jetzt alle Ereignislisten gelöscht und den Server neu gestartet, jetzt läuft es wieder - mal schauen für wie lange !
hevtig
hevtig 08.09.2008 um 15:23:39 Uhr
Goto Top
- In der Ereignisanzeige ist keine Warnung oder Fehlermeldung.

Das ist wahrhaftig seltsam. Solange der RRAS Dienst läuft, sollte bei einem (mißglückten) Verbindungsversuch ein Eintrag im Ereignisprotokoll erscheinen.

- Passthru ? - Hilf mir auf die Sprünge ?Der T-Com Router ist eine FritzBox, da wurde die IP des Servers mit allen Ports freigegeben.

OK, bei der FritzBox verhält es sich wieder anders. Dort muß man nicht extra Passthru eintragen. Wieviele VPNs die FritzBox mitmacht kann ich allerdings nicht sagen.

Das Problem mit der Passthru- Funktion liegt an der SPI. Die Pakete vom VPN sind logischerweise verschlüsselt, das SPI möchte aber gerne die Pakete "lesen". Da gibt es dann häufig Probleme, daß Pakete gedropped werden oder die CPU des Routers überlastet wird. Hier bieten manche Router extra die Funktion "Passthru".
aqui
aqui 08.09.2008 um 15:29:32 Uhr
Goto Top
@aodenthal
Das dein Netzwerk keinen Internetzugang mehr hat bei Ausfall eines Routers liegt an deiner fehlerhaften Konfiguration.
Was du machen musst damit der Server mit den 2 NICs auch einen Router ins Internet darstellen kann kannst du in diesem Tutorial nachlesen:


Besser ist aber hier einen Router zu verwenden der 2 WAN/DSL Anschlüsse parallel supportet, dadrüber ein Load Balancing (Bandbreitenerhöhung) und auch eine Ausfallsteuerung realisieren kann.
So würde man das semiprofessionell umsetzen. Idealerweise hat dieser Router dann auch noch eine VPN Funktion.
All das kannst du z.B. mit Drayteksystemen umsetzen zu relativ moderaten Kosten.
Z.B. mit dem:
Vigor-2910
oder dem
Vigor-2930

Willst du diesen Aufwand der 2 Port DSL Unterstürtzung nicht reicht ein einfaches System wie z.B. der
Vigor-2200
oder auch der
Vigor-2700 (mit integriertem DSL Modem !)

Strassenpreise zu den Drayteks kannst du dir bei einem der Systemhändler ansehen wie z.B. HIER.
aodenthal
aodenthal 08.09.2008 um 16:59:19 Uhr
Goto Top
Hallo,

- Das mit dem Internet ist so richtig !.

Es soll nur über den DSL 1 Anschluss gesurft werden. Der DSL2 ist nicht dafür gedacht und soll auch nicht dafür eingesetzt werden, dass alle Rechner über diesen Surfen können.


- Frage zu den Routern, ich würde mit dem DrayTek Vigor 2930 wenn liebäugeln. Da wir keine direkte Standleitung mit fester IP Adresse, nutzen wir in der Fritz!Box den Service von Dyndns.org . Zur Zeit war es so, dass ich keine extra Software brauchte um eine VPN herzustellen, die Anmeldung erfolgte ja über den Windows Account des Nutzers. Wenn ich jetzt diesen Router hätte, gebe ich die Zugangsdaten von meinen DSL-T-Com Anschluss (Anschlusskennung usw.) sowie die Daten von Dyndns.org ein - oder ? Gibt es beim dem DrayTek Vigor 2930 auch einen Client, bzw. wo wird die Einwahl geregelt.
aqui
aqui 09.09.2008 um 15:04:16 Uhr
Goto Top
Der Draytek wird genauso konfiguriert wie die FB. Alle Eingaben sind analog !
Du überträgst nur die Daten und das wars schon bist du einsatzklar !
DynDNS supportet der natürlich auch. Auch diese Daten brauchst du nur übernehmen !!

Wenn du keine 2 DSL Verbindungen bedienen willst, dann brauchst du auch den 2910 oder 2930 nicht dann reicht ein 2200er oder 2700er mit Modem.
Die VPN Konfig ist auf allen gleich.

Der 2930 ist aber die richtige Wahl willst du mit 2 DSL Anschlüssen arbeiten...
http://www.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Dual_WAN.htm

Generelle Hilfe zur Einrichtung aller Features gibt es hier:
http://www.draytek.de/Beispiele.htm

Mit deiner Frage nach dem "Client" was meinst du da ??? den VPN Client ??
Dazu kannst du ganz normal den Windows bordeigenen VPN Client nehmen wie diese Beispiel hier zeigt:

http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
oder wenn du Mac OS-X hast analog der bordeigene MAC VPN Client:
http://www.draytek.de/Beispiele_html/VPN/Host-LAN-Macintosh.htm

Zusatzinvestitionen mit VPN Clients oder Verwendung von extra externen Clients sind also nicht nötig !
Du kannst aber natürlich auch andere VPN Clients mit z.B. IPsec wie
http://www.thegreenbow.de/
verwenden, normalerweise ist das aber überflüssig, da Windows, Mac und Linux sowie diverse PDAs das alles schon mit an Bord haben !!
Der Draytek fungiert als eigenständiger VPN Einwahlserver !
aodenthal
aodenthal 09.09.2008 um 15:08:01 Uhr
Goto Top
Super , vielen Dank für die Hilfe.

Werde mich jetzt nach dem Draytek 2930 umsehen.


Vielen Dank - melde ich dann wieder , wenn ich doch Hilfe brauche.


Gruß
Alexander