hendrik2586
Goto Top

Windows Server 2019 Routing und RAS

Hallo liebe Kolleginnen und Kollegen.

Ein kurze Frage von mir .
Ich habe eine VM mit Windows Server 2019 installiert. Diesem habe ich die Rolle " Remotezugriff" zugriff installiert und "Routing & RAS".
Hier habe ich nun einen VPN konfiguriert über SSTP. Soweit so gut funktioniert das auch alles. Nur eine einzige Sache nervt mich.

Sobald ich die VPV Verbindung aufbaue, mit dem Client (Windows 10 1909), tunnelt er alles darüber, so das ich zwar über diesen eine RDP Session zum Server bekomme, aber nicht ins Internet und auch
so alle Verbindungen gekappt werden. Ich denke das liegt einfach an der Default Route die dem "Tunnel" mitgegeben wird. Wie bekomme ich es hin, das der Server dem
Client bei der Verbindung mitgibt das er keine Default Route setzt, bzw gibt es eine Möglichkeit eine andere Default Router mitzugeben?

Man kann das zwar am Client direkt konfigurieren, aber halt nur manuell und das ist für mich keine Alternative.

Das Ganze ist zusätzlich ohne interne Domäne aufgesetzt. Nur so als Info nebenbei.


Wer hat hier vielleicht noch eine Info oder einen Tip für mich?

Content-ID: 587400

Url: https://administrator.de/forum/windows-server-2019-routing-und-ras-587400.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

144705
144705 14.07.2020 aktualisiert um 09:40:53 Uhr
Goto Top
Erstelle die Verbindung gleich mit den richtigen Parametern
Add-VPNConnection

Parameter -SplitTunneling

Man kann das zwar am Client direkt konfigurieren, aber halt nur manuell und das ist für mich keine Alternative.
Wofür gibt es wohl Skripte?!

tunnelt er alles darüber, so das ich zwar über diesen eine RDP Session zum Server bekomme, aber nicht ins Internet und auch so alle Verbindungen gekappt werden.
Ist ja auch logisch, damit auch das geht muss im RRAS entweder NAT oder am Def Gateway die entsprechende Static Route auf den RRAS angelegt sein, dann würde auch das klappen face-wink.
Hendrik2586
Hendrik2586 14.07.2020 um 09:49:35 Uhr
Goto Top
Zitat von @144705:

Erstelle die Verbindung gleich mit den richtigen Parametern
Add-VPNConnection

Parameter -SplitTunneling

ist eine PS Variante mit der ich den Kunden nicht behelligen werde. Es muss einen einfachen weg geben den man an den Kunden kommunizieren kann.


Man kann das zwar am Client direkt konfigurieren, aber halt nur manuell und das ist für mich keine Alternative.
Wofür gibt es wohl Skripte?!

Damit die IT damit arbeiten kann und nicht der Endkunde.


tunnelt er alles darüber, so das ich zwar über diesen eine RDP Session zum Server bekomme, aber nicht ins Internet und auch so alle Verbindungen gekappt werden.
Ist ja auch logisch, damit auch das geht muss im RRAS entweder NAT oder am Def Gateway die entsprechende Static Route auf den RRAS angelegt sein, dann würde auch das klappen face-wink.

Diesen Punkt musst du mir bitte etwas genauer erläutern.

Vielen dank schonmal im Voraus für den Tip. face-smile
144705
Lösung 144705 14.07.2020 aktualisiert um 09:56:59 Uhr
Goto Top
Zitat von @Hendrik2586:

Man kann das zwar am Client direkt konfigurieren, aber halt nur manuell und das ist für mich keine Alternative.
Wofür gibt es wohl Skripte?!

Damit die IT damit arbeiten kann und nicht der Endkunde.
Nein, auch Endkunden kann man diese so zur Verfügung stellen das ein einfacher Doppelklick reicht!

Es gibt keine Einstellung die Split-Tunneling als Default einrichtet, da müsstest du auch wieder Manuell Hand anlegen!! Von selbst von Windows dein Hirn auslesen lassen geht nunmal nicht.

tunnelt er alles darüber, so das ich zwar über diesen eine RDP Session zum Server bekomme, aber nicht ins Internet und auch so alle Verbindungen gekappt werden.
Ist ja auch logisch, damit auch das geht muss im RRAS entweder NAT oder am Def Gateway die entsprechende Static Route auf den RRAS angelegt sein, dann würde auch das klappen face-wink.

Diesen Punkt musst du mir bitte etwas genauer erläutern.
Einfach hier lesen und verstehen.
VPN Einrchtung unter Windows Server 2012
Hendrik2586
Hendrik2586 14.07.2020 um 11:30:07 Uhr
Goto Top
Zitat von @144705:

Zitat von @Hendrik2586:

Man kann das zwar am Client direkt konfigurieren, aber halt nur manuell und das ist für mich keine Alternative.
Wofür gibt es wohl Skripte?!

Damit die IT damit arbeiten kann und nicht der Endkunde.
Nein, auch Endkunden kann man diese so zur Verfügung stellen das ein einfacher Doppelklick reicht!

Es gibt keine Einstellung die Split-Tunneling als Default einrichtet, da müsstest du auch wieder Manuell Hand anlegen!! Von selbst von Windows dein Hirn auslesen lassen geht nunmal nicht.

tunnelt er alles darüber, so das ich zwar über diesen eine RDP Session zum Server bekomme, aber nicht ins Internet und auch so alle Verbindungen gekappt werden.
Ist ja auch logisch, damit auch das geht muss im RRAS entweder NAT oder am Def Gateway die entsprechende Static Route auf den RRAS angelegt sein, dann würde auch das klappen face-wink.

Diesen Punkt musst du mir bitte etwas genauer erläutern.
Einfach hier lesen und verstehen.
VPN Einrchtung unter Windows Server 2012



Langsam wird mir klar warum das so wenig genutzt wird. Ja man könnte den Adress-Pool raus naten über ein Interface oder ein Script dazugeben, aber das ist alles nicht so wie ich das möchte.


Ich danke aber trotzdem für die Unterstützung. face-smile
144705
144705 14.07.2020 aktualisiert um 11:51:29 Uhr
Goto Top
Schau dir mal Wireguard an. Einfacher geht's wirklich nicht.
aber das ist alles nicht so wie ich das möchte.
Dann musst du auch sagen wie du es haben willst, und lass uns hier nicht sämtliche Möglichkeiten extra aufzählen.

Btw. ein VPN auf einen Windows Server zu terminieren ist wirklich "wüüüürrrrrg", setz da ne pFsense or whatever Firewall Appliance davor und terminier das VPN am Perimeter.
Hendrik2586
Hendrik2586 14.07.2020 um 12:47:36 Uhr
Goto Top
Zitat von @144705:

Schau dir mal Wireguard an. Einfacher geht's wirklich nicht.
aber das ist alles nicht so wie ich das möchte.
Dann musst du auch sagen wie du es haben willst, und lass uns hier nicht sämtliche Möglichkeiten extra aufzählen.

Btw. ein VPN auf einen Windows Server zu terminieren ist wirklich "wüüüürrrrrg", setz da ne pFsense or whatever Firewall Appliance davor und terminier das VPN am Perimeter.

Pass auf, um es genau zu erklären.

Es geht um einen kleinst Betrieb, in dem nur zwei Personen ab und an per VPN auf den Server wollen um ein paar Dinge zu bearbeiten etc. Dafür wollen wir nun aber nicht extra noch ne FW oder sowas davor stellen. " more than i need"

Daher dachte ich mir, teste ich mal die Windows Version, aber die Konfig ist mehr als wüüürrrgggg wie du schon geschrieben hast. Von daher wird es wohl doch mit ner kleinen Appliance abgewickelt.

Sorry, das ich euch so lange rum raten lassen habe, bzw dich. ;)
Dr.Bit
Dr.Bit 14.07.2020 um 13:27:58 Uhr
Goto Top
Zitat von @Hendrik2586:

Es geht um einen kleinst Betrieb, in dem nur zwei Personen ab und an per VPN auf den Server wollen um ein paar Dinge zu bearbeiten etc. Dafür wollen wir nun aber nicht extra noch ne FW oder sowas davor stellen. " more than i need"

Also eine FW ist auch für Kleinstkunden niemals "more than i need". Und eine pfSense oder Sophos kostet nun auch nicht die Welt.


Sorry, das ich euch so lange rum raten lassen habe, bzw dich. ;)

Wer nicht fragt bleibt dumm. face-smile

🖖
colinardo
Lösung colinardo 15.07.2020 aktualisiert um 16:59:15 Uhr
Goto Top
Servus,
für das Vorkonfigurieren von VPN-Profilen für Windows-Systeme gibt es das RAS Verbindungs-Manager-Verwaltungskit (CMAK).
Damit lässt sich per Assistent eine EXE zusammenklicken, die die VPN-Verbindung am Client einrichtet.
Man kann das Profil sogar von einem entfernten Server auf dem Client aktualisieren wenn man möchte.

Auch die Standard-Gateway-Einstellung die du suchst lässt sich damit vorkonfigurieren

screenshot

Zu finden ist das Toolkit hier im Server-Manager

screenshot

Vorausgesetzt das entsprechende Feature ist aktiviert

screenshot

Hinten raus kommt dann eine ausführbare Datei die der User dann nur noch auf seinem System ausführen muss.

Grüße Uwe