yudansha
Goto Top

VPN via Windows 2003 Server hinter Rotuer nicht erreichbar

Hallo Leute,
ich hoffe mir kann hier jemand helfen.
Habe schon einige Beiträge hier durchgelesen, jedoch noch nichts passendes gefunden.

Nun zu meinem Problem:
Ich möchte eine VPN-Verbindung mit hilfe eines Windows Server 2003 einrichten. Dieser steht hinter einem Linksys WRV200 Router.
VPN Passthrough ist aktiviert und der Port TCP 1723 wird weitergeleitet. Ich habe noch gelesen, dass das GRE Protokoll benötigt wird, jedoch habe ich bei meinem Router keine Möglichkeit dies einzustellen.

Den Server habe ich nach folgender Anleitung konfiguriert:
http://support.microsoft.com/kb/323441/de

Inerhalb meines LANs funktioniert das VPN problemlos. Kann mich einwählen, IP wird zu gewiesen.

Jedoch versuche von drausen zuzugreifen funktioniert das ganz nicht.

Bei dem Client ist auch der Port TCP 1723 weitergeleitet.

Weiß jemand eine Lösung für mein Problem??

Vielen Dank schon einmal.

Gruß

Content-ID: 89941

Url: https://administrator.de/contentid/89941

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

sysad
sysad 16.06.2008 um 12:51:42 Uhr
Goto Top
Wenn GRE nicht durchkommt wird es auch nicht gehen.
Yudansha
Yudansha 16.06.2008 um 13:04:22 Uhr
Goto Top
Ok, jedoch wie kann ich das GRE dann weiterleiten?
Gibt es irgendwelche Möglichkeiten?
Oder sollte das nicht schon durch das VPN-Passthrough gelöst sein?
aqui
aqui 16.06.2008 um 13:14:18 Uhr
Goto Top
Eigentlich ja, denn wenn TCP 1723 auf die lokale IP des Servers geht und VPN Passthrough aktiviert ist sollte das automatisch geschehen.
Du schreibst leider nicht WELCHES VPN Protokoll du benutzt, denn das oben gesagte gilt ausschliesslich für das PPTP VPN Protokoll nicht aber für L2TP oder IPsec !!!

Im Zweifelsfall installierst du auf dem Server einen Packet Sniffer wie den www.WIRESHARK.org oder den MS-NetMonitor und prüfst erstmal generell ob dein Router eingehende GRE Packete forwardet.

Bedenke das du das NICHT mit einem internen Client testen kannst der die externe Router Adresse connectet !!
Der Client muss in einem remoten Netzwerk sein und als VPN Server IP die aktuelle DSL IP des Routers angeben !!!
Welche das ist kannst du sehen wenn du z.B. auf die Seite www.wieistmeineip.de gehst !
sysad
sysad 16.06.2008 um 13:31:16 Uhr
Goto Top
<<Oder sollte das nicht schon durch das VPN-Passthrough gelöst sein?>>

Nein. Das VPN-Passthrough bezieht sich auf die Clientseite. Beim Server-Router musst Du das entsprechende Protokoll an die IP des Servers forwarden.
Yudansha
Yudansha 16.06.2008 um 14:33:56 Uhr
Goto Top
Ich benutze PPTP.
Wie sieht es bei L2TP oder IPsec aus, brauche ich dort auch das GRE-Protokoll?

Weiß einer eine Möglichkeit, dies zu Lösen, da ich bei meinem Linksys WRV200 keine GRE-Protokoll weiterleiten kann.

Danke für euer Bemühungen bis jetzt.
sysad
sysad 16.06.2008 um 15:02:41 Uhr
Goto Top
<<Ich benutze PPTP.>>

Bei PPTP musst Du normalerweise GRE forwarden, bei L2TP ist es ESP.
sysad
sysad 16.06.2008 um 15:27:57 Uhr
Goto Top
Mir fällt gerade noch auf:

Bei dem Client ist auch der Port TCP 1723 weitergeleitet.<<

Das musst Du nicht am Client, sondern am Server machen. Am Client ist es VPN-Passthrough.
aqui
aqui 16.06.2008 um 15:35:51 Uhr
Goto Top
Eigentlich ist es auch völlig blödsinnig den VPN Server hinter den Router zu verlegen wo der Router selber ja ein VPN Router ist und damit als VPN Server selber VPN Client Sessions terminieren kann.
Das kann er sogar kostengünstiger und besser als der Server.
Das Handbuch beschreibt die Einrichtung genau ab Seite 93 ff.

Warum musst du dir das Leben schwer machen wenn du schon eine so guten VPN Router hast der dir diese Hürde abnimmt ??!!
Aber vielleicht handelst du ja auch lieber nach der Devise "Warum einfach machen wenn es umständlich auch geht..." ??!!
Yudansha
Yudansha 16.06.2008 um 16:30:58 Uhr
Goto Top
@aqui:
ich weiß, dass man router dies kann, ganz blöd bin ich auch wieder nicht. face-smile
jedoch kann ich über meinen router nur eine gewisse anzahl an usern einstellen. zudem sollte das ganze mit dem ad arbeiten.
es ist auch nicht blödsinnig den vpn server hinter den router zu setzten, da sonst der vpn server direkt am i-net sitzt und dieser dann mein gesamtes netz in das netz routen müsste, das wäre blödsinn.

@sysad:
Das musst Du nicht am Client, sondern am Server machen.<<

Dies ist auch am Server gemacht.
aqui
aqui 16.06.2008 um 17:42:57 Uhr
Goto Top
_
"...es ist auch nicht blödsinnig den vpn server hinter den router zu setzten, da sonst der vpn server direkt am i-net sitzt und dieser dann mein gesamtes netz in das netz routen müsste, das wäre blödsinn...."

So so.... und du meinst also wenn du Port Forwarding machst auf einen VPN Server hinter dem Router dann ist das etwas anderes ??
Das ist doch Selbstbetrug das zu glauben, denn dort passiert das gleiche !! Wenn man selber nicht ganz blöd ist wie du sagst sollte man das eigentlich wissen !!
Der VPN Server im lokalen Netz routet mir ebenfalls dein gesamtes Netz auf den Client, da ist keinerlei Unterschied zu einem VPN Server im Router nur das der die NAT Firewall noch überwinden muss mit Port Forwarding...

Die Userbegrenzung allerdings ist schon ein Nachteil, denn der Linksys kann nur 10 VPN User. Mit einem anständigen VPN Router wie einem Draytek wäre das nicht passiert zumal der dann auch noch außer PPTP noch L2TP und auch IPsec supportet....na ja egal.

Umständlich geht es ja auch mit dem Server. Wie gesagt du musst sehen, das die GRE Packete auf den Server kommen, was vermutlich nicht der Fall ist bei dir, da der Router selber VPN Server sein kann.
Du musst also im Setup irgendwo die VPN Funktion disablen vermutlich und zusätzlich die TCP 1723 und GRE Packet in eine Port Weiterleitungsliste bringen.

Wie gesagt wirf einen der o.a. Sniffer auf dem Server an und prüfe ertsmal ob die VPN Packete überhaupt auf dem Server landen !! Dann weisst du mehr.
Vermutlich versanden die im Router...