Windows Server 2016 Standard - Essentials Rolle VPN

lukas0209
Goto Top
Hallo zusammen,

ich habe die Tage ein System aufgesetzt mit Windows Server 2016 Standard mit Essentials Rolle, damit ich einen gewünschten VPN Zugang habe, an dem ich eigentlich nicht mehr viel konfigurieren muss.
Der Windows Server 2016 Standard (192.168.57.11) ist auf einem Hyper-V Host.

IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1

DNS-Server: 192.168.57.11
192.168.57.12

DHCP-Bereich: 192.168.60.1 - 192.168.60.200

Statischer IP-Bereich für VPN-Clients: 192.168.59.1 - 192.168.59.200


So jetzt habe ich leider das Problem, dass ich keine Verbindung in das Netz bekomme. Die VPN-Verbindung lässt sich problemlos aufbauen, aber ich bekomme keinen Zugriff in die Netzwerkstruktur, also kein Zugriff auf Server und Netzlaufwerke werden auch nicht verbunden.
Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.

Ich würde mich sehr über eure Hilfe freuen.

Gruß Lukas

Content-Key: 3110542716

Url: https://administrator.de/contentid/3110542716

Ausgedruckt am: 28.06.2022 um 02:06 Uhr

Mitglied: Vision2015
Vision2015 18.06.2022 um 19:44:38 Uhr
Goto Top
Moin...

warum nutzt du deinen Router nicht als VPN Gateway!

Frank
Mitglied: lukas0209
lukas0209 18.06.2022 um 19:49:49 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

warum nutzt du deinen Router nicht als VPN Gateway!
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.

Frank

Mitglied: Vision2015
Vision2015 18.06.2022 um 19:57:00 Uhr
Goto Top
Zitat von @lukas0209:

Zitat von @Vision2015:

Moin...

warum nutzt du deinen Router nicht als VPN Gateway!
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
... was ist daran schwer?
das wäre aber sicherer... was hast du den einegrichtet, PPTP, L2TP / IPsec oder SSTP?


Frank


Frank

Mitglied: lukas0209
lukas0209 18.06.2022 um 19:58:54 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @lukas0209:

Zitat von @Vision2015:

Moin...

warum nutzt du deinen Router nicht als VPN Gateway!
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
... was ist daran schwer?
das wäre aber sicherer... was hast du den einegrichtet, PPTP, L2TP / IPsec oder SSTP?
Bei mir ist SSTP eingerichtet


Frank
Lukas


Frank

Mitglied: radiogugu
radiogugu 18.06.2022 um 20:00:24 Uhr
Goto Top
Hi.

Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?

Verständnisfrage: Ist der Essentials mit AD Rolle ausgestattet? Wenn ja, warum ist dieser dann nicht auch DNS Server?

Gruß
Marc
Mitglied: Vision2015
Vision2015 18.06.2022 um 20:00:25 Uhr
Goto Top
Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?

Frank
Mitglied: aqui
aqui 18.06.2022 aktualisiert um 20:09:59 Uhr
Goto Top
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme.
Eigentlich unsinnig. Zumindestens L2TP und IPsec IKEv2 bieten genügend Alternativen, denn fast alle Router und Firewalls supporten dies:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Sogar ein popeliger Raspberry Pi kann sowas: ;-) face-wink
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...

Leider hast du ja oben nicht mitgeteilt WELCHES der Windows VPN Protokolle du verwendest. Wenn du natürlich das Windows proprietäre SSTP nutzt wird es dann schon deutlich enger mit der Router Auswahl.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/

Dieses Manko ist auch ein Grund warum eine zielführende Hilfe zu dem o.a. Problem in Kristallkugelei endet. Man muss ja so gut wie alles raten. ;-(
Protokoll, VPN Konfig, Firewall Konfig, VPN Log von Server und Client.
Wie bei Windows fast immer: Zu 98% ein Fehler in der lokalen Firewall Konfig. Aber auch das ist erstmal wegen fehlender Infos nur geraten.
Mitglied: lukas0209
lukas0209 18.06.2022 um 20:11:43 Uhr
Goto Top
Zitat von @radiogugu:

Hi.

Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?
Ist eine normale Fritzbox 7490

Verständnisfrage: Ist der Essentials mit AD Rolle ausgestattet? Wenn ja, warum ist dieser dann nicht auch DNS Server?
Ist auch der DNS-Server.

Gruß
Marc

Mitglied: lukas0209
lukas0209 18.06.2022 aktualisiert um 20:22:47 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.

Frank

Mitglied: lukas0209
lukas0209 18.06.2022 um 20:22:07 Uhr
Goto Top
Zitat von @aqui:

Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme.
Eigentlich unsinnig. Zumindestens L2TP und IPsec IKEv2 bieten genügend Alternativen, denn fast alle Router und Firewalls supporten dies:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Das müsste ich mir in Ruhe anschauen und die Hardware auch noch erweitern, ich würde schon gerne die integrierte Lösung nutzen.
Sogar ein popeliger Raspberry Pi kann sowas: ;-) face-wink
https://administrator.de/tutorial/ikev2-vpn-server-fuer-windows-und-appl ...

Leider hast du ja oben nicht mitgeteilt WELCHES der Windows VPN Protokolle du verwendest. Wenn du natürlich das Windows proprietäre SSTP nutzt wird es dann schon deutlich enger mit der Router Auswahl.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Habe ich ja oben auf Nachfrage erwähnt, SSTP.

Dieses Manko ist auch ein Grund warum eine zielführende Hilfe zu dem o.a. Problem in Kristallkugelei endet. Man muss ja so gut wie alles raten. ;-(
Protokoll, VPN Konfig, Firewall Konfig, VPN Log von Server und Client.
Client Log gibt nichts aus.
Server Log: "RoutingDomainID- {00000000-0000-0000-0000-000000000000}: CoId={CB8F2A7E-802E-0001-E62C-92CB2E80D801}: Die Verbindung des mit Port VPN2-11 verbundenen Benutzers xyz wurde getrennt, da keine Netzwerkprotokolle ausgehandelt werden konnten."
Wie bei Windows fast immer: Zu 98% ein Fehler in der lokalen Firewall Konfig. Aber auch das ist erstmal wegen fehlender Infos nur geraten.

Mitglied: Vision2015
Vision2015 18.06.2022 um 20:46:48 Uhr
Goto Top
Zitat von @lukas0209:

Zitat von @Vision2015:

Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.
nun, viel ist das nicht...
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.
sorry, der satz gibt für mich keinen sinn... bitte was genau?

wiso ist die fritte auch dns server, das macht man nicht! wo ist da der sinn?

Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
ja... 25/5 ist nicht vie, was hasz du erwartetl... also eigentlich fast alles richtig.
mit SSTP arbeitet mit AES-256-Verschlüsselung, ist also langsam kein schnelles Protokoll für getunnelte und verschlüsselte Kommunikation.
VPN Router haben dazu besondere CPUs, die auf diese aufgaben getrimmt sind, dein server ist das nicht- und die DSL leitung ist dürftig! also eigentlich alles innerhalb der specs... kein fehler!
Frank
Mitglied: lukas0209
lukas0209 18.06.2022 um 20:51:22 Uhr
Goto Top
Zitat von @Vision2015:

Zitat von @lukas0209:

Zitat von @Vision2015:

Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.
nun, viel ist das nicht...
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.
sorry, der satz gibt für mich keinen sinn... bitte was genau?
Wenn ich das Standardgateway im VPN aktiviere, geht ja der ganze E-Mail Verkehr über die VPN-Verbindung. So und wenn das jetzt alle Mitarbeiter machen könnte die Bandbreite zu gering sein und es dauert und dauert.

wiso ist die fritte auch dns server, das macht man nicht! wo ist da der sinn?
Wann habe ich das geschrieben?

Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
ja... 25/5 ist nicht vie, was hasz du erwartetl... also eigentlich fast alles richtig.
mit SSTP arbeitet mit AES-256-Verschlüsselung, ist also langsam kein schnelles Protokoll für getunnelte und verschlüsselte Kommunikation.
VPN Router haben dazu besondere CPUs, die auf diese aufgaben getrimmt sind, dein server ist das nicht- und die DSL leitung ist dürftig! also eigentlich alles innerhalb der specs... kein fehler!
Mir ist klar das die DSL-Leitung dürftig ist, aber es gibt nicht mehr....
Was meinst du mit alles innerhalb der Specs?
Frank
Lukas
Mitglied: Vision2015
Vision2015 18.06.2022 um 22:03:06 Uhr
Goto Top
Moin..

hast du den keine"Host-to-Network" Verbindung eingerichtet?

Was meinst du mit alles innerhalb der Specs?
na so wie ich das oben beschrieben habe!

zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.

als große lösung schlage ich einen ordentlichen VPN router vor, oder nutze von der fritte das VPN!

IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1

sach mal... was machst du mit einem /21 Netz? an deinem Serverchen wirst doch keine 2046 hosts dübeln wollen?!?!
arbeite lieber mit VLANs...


Frank
Mitglied: Dobby
Dobby 19.06.2022 um 01:30:28 Uhr
Goto Top
Hallo zusammen,

mach VPN an den Router und gut ist es, das ist sauber umzusetzen und Dein Windows Server ist nicht
direkt im Internet zu erreichen.

Dobby
Mitglied: aqui
aqui 19.06.2022 aktualisiert um 09:40:29 Uhr
Goto Top
Zudem SSTP ziemlich kontraproduktiv ist, da es den VPN Zugriffe einzig auf reine MS Geräte beschränkt und die VPN Nutzung unnötig einengt. Mit IPsec / L2TP wäre es zumindestens auch mit allen anderen Geräten Mac, Linux, Smartphones nutzbar.
da keine Netzwerkprotokolle ausgehandelt werden konnten."
Zeigt auch das der VPN Client falsch konfiguriert wurde und hier nicht SSTP als VPN Protokoll vorgegeben wurde.
Zu den sicherheitstechnischen Nachteilen ungeschützen Traffic ins lokale Netz auf einen Server zu leiten ist ja oben schon alles gesagt worden. Klingt wie schon die fragwürdige Subnetzmaske alles nach frickeliger Bastellösung... :-( face-sad
Mitglied: Dani
Dani 19.06.2022 um 23:27:36 Uhr
Goto Top
@Vision2015
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Achtung. Das hängt davon ab, ob der TO noch Direct Access oder AlwaysON VPN einsetzt. Wird AON VPN eingesetzt, sollte die Route auch über dessen Konfiguration verteilt werden. Denn spätestens, wenn in einem anderen, fremende Netzwerk das gleiche der kleiner Subnetz zum Einsatz kommt und das Gerät sich dort im Netzwerk verbindet, ist das Chaos vorprogrammiert.

@lukas0209
amit ich einen gewünschten VPN Zugang habe, an dem ich eigentlich nicht mehr viel konfigurieren muss.
Handelt es sich hierbei um Direct Access oder AlwaysOn VPN?


Gruß,
Dani
Mitglied: lukas0209
lukas0209 20.06.2022 um 09:58:13 Uhr
Goto Top
Zitat von @Vision2015:

Moin..

hast du den keine"Host-to-Network" Verbindung eingerichtet?

Was meinst du mit alles innerhalb der Specs?
na so wie ich das oben beschrieben habe!

zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Danke, nur leider funktioniert das auch nicht immer...

als große lösung schlage ich einen ordentlichen VPN router vor, oder nutze von der fritte das VPN!

Die Fritte kann ich aber nicht mit dem Windows VPN-Client anwählen.
IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1

sach mal... was machst du mit einem /21 Netz? an deinem Serverchen wirst doch keine 2046 hosts dübeln wollen?!?!
arbeite lieber mit VLANs...


Frank

Mitglied: lukas0209
lukas0209 20.06.2022 um 10:00:42 Uhr
Goto Top
Zitat von @aqui:

Zudem SSTP ziemlich kontraproduktiv ist, da es den VPN Zugriffe einzig auf reine MS Geräte beschränkt und die VPN Nutzung unnötig einengt. Mit IPsec / L2TP wäre es zumindestens auch mit allen anderen Geräten Mac, Linux, Smartphones nutzbar.
Das ist mir ziemlich egal, da sowieso nur Windows Geräte eingesetzt werden. Bisher kam noch keiner auf die Idee Linux einzusetzen.
da keine Netzwerkprotokolle ausgehandelt werden konnten."
Zeigt auch das der VPN Client falsch konfiguriert wurde und hier nicht SSTP als VPN Protokoll vorgegeben wurde.
Zu den sicherheitstechnischen Nachteilen ungeschützen Traffic ins lokale Netz auf einen Server zu leiten ist ja oben schon alles gesagt worden. Klingt wie schon die fragwürdige Subnetzmaske alles nach frickeliger Bastellösung... :-( face-sad
Die frickelige Bastellösung ist leider dann die Lösung von Microsoft. :( face-sad Da ich das alles über den Assistenten von der Essentials Rolle einrichten lassen habe.
Das Subnetz ist relativ groß, dass weiß ich.
Mitglied: lukas0209
lukas0209 20.06.2022 um 10:01:48 Uhr
Goto Top
Zitat von @Dani:

@Vision2015
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Achtung. Das hängt davon ab, ob der TO noch Direct Access oder AlwaysON VPN einsetzt. Wird AON VPN eingesetzt, sollte die Route auch über dessen Konfiguration verteilt werden. Denn spätestens, wenn in einem anderen, fremende Netzwerk das gleiche der kleiner Subnetz zum Einsatz kommt und das Gerät sich dort im Netzwerk verbindet, ist das Chaos vorprogrammiert.
Ne es wird nur ein ganz normales VPN eingesetzt. Kein Always On VPN oder DirectAccess.

Gruß,
Dani

Mitglied: lukas0209
lukas0209 20.06.2022 um 13:46:37 Uhr
Goto Top
Hallo zusammen,

der Großteil der VPN funktioniert nun.
Das einzige Problem was jetzt noch vorhanden ist, ist das die ersten Sekunden nachdem man sich über die Windows VPN angemeldet hat, die Domäne nicht verfügbar ist, obwohl ich die Domäne und die Domänencontroller erreichen kann.
Ich bekomme einmal die Meldung das keine Anmeldeserver erreichbar sind und dazu sind die gemappten Netzlaufwerke( mit Domänennamen) nicht erreichbar. Nach ca. 30 Sekunden geht dann alles problemlos.

Hat wer eine Idee??

Gruß Lukas