6
Windows VPN L2TP , falsche Anmeldedaten
Hallo liebe Community,
ein Kollege und ich sitzen jetzt schon etwas länger an einem Problem.
Geschichte:
Ein Kunde von uns, stellt uns ein VPN über Zyxel bereit. Das VPN ist ein L2TP, was über Windows eingerichtet werden kann.
Problem:
Das VPN lässt sich ohne Probleme einrichten und die Verbindung zur Gegenseite kann aufgebaut werden.
Haben für DFS einige Netzlaufwerke auf den Workstations gemappt die nun nicht mehr funktioniert.
Entweder es wird angezeigt, dass keine Berechtigung bestehen würde oder es öffnet sich alles sehr sehr langsam.
Ein direkter Zugriff auf den Server über DNS provoziert eine Authentifizierungsanfrage.
Gebe ich den FQDN ein, werden die Freigabe problemlos angezeigt.
Wir haben schon diverse Sachen ausprobiert. Da wir mehrere Netze per VLAN haben und je nach VLAN auch unsere UTM eingerichtet ist, haben wir einen Test-PC in die verschiedenen Netze gesteckt. Normalerweise wird Umbrella als DNS verwendet, auch um dieses zu umgehen, haben wir den PC die Windows DNS Server zugewiesen.
Ich habe die ganze Sache dann mal mit Wireshark gescannt, und siehe da:
Beim SMB Request wird der VPN Benutzer mit unserer Domäne vorgeschrieben, also Domäne/Username. Was natürlich nicht geht, weil der VPN User nicht in unser AD angelegt ist. Diese Sache passiert aber auch nur wenn gerade der 2DC / DNS Server verwendet. Wird der erste verwendet funktioniert es. Wir haben beide DCs nacheinander auch schonmal neu gestartet, auch das brachte keine Besserung.
Hat jemand diese Problem schonmal gehabt?
Der Test-PC ist Windows 10 21H2 über den Zyxel kann ich leider nichts sagen.
Vielen Dank schonmal für die Hilfe.
Gruß
Sascha
ein Kollege und ich sitzen jetzt schon etwas länger an einem Problem.
Geschichte:
Ein Kunde von uns, stellt uns ein VPN über Zyxel bereit. Das VPN ist ein L2TP, was über Windows eingerichtet werden kann.
Problem:
Das VPN lässt sich ohne Probleme einrichten und die Verbindung zur Gegenseite kann aufgebaut werden.
Haben für DFS einige Netzlaufwerke auf den Workstations gemappt die nun nicht mehr funktioniert.
Entweder es wird angezeigt, dass keine Berechtigung bestehen würde oder es öffnet sich alles sehr sehr langsam.
Ein direkter Zugriff auf den Server über DNS provoziert eine Authentifizierungsanfrage.
Gebe ich den FQDN ein, werden die Freigabe problemlos angezeigt.
Wir haben schon diverse Sachen ausprobiert. Da wir mehrere Netze per VLAN haben und je nach VLAN auch unsere UTM eingerichtet ist, haben wir einen Test-PC in die verschiedenen Netze gesteckt. Normalerweise wird Umbrella als DNS verwendet, auch um dieses zu umgehen, haben wir den PC die Windows DNS Server zugewiesen.
Ich habe die ganze Sache dann mal mit Wireshark gescannt, und siehe da:
Beim SMB Request wird der VPN Benutzer mit unserer Domäne vorgeschrieben, also Domäne/Username. Was natürlich nicht geht, weil der VPN User nicht in unser AD angelegt ist. Diese Sache passiert aber auch nur wenn gerade der 2DC / DNS Server verwendet. Wird der erste verwendet funktioniert es. Wir haben beide DCs nacheinander auch schonmal neu gestartet, auch das brachte keine Besserung.
Hat jemand diese Problem schonmal gehabt?
Der Test-PC ist Windows 10 21H2 über den Zyxel kann ich leider nichts sagen.
Vielen Dank schonmal für die Hilfe.
Gruß
Sascha
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3678210108
Url: https://administrator.de/contentid/3678210108
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
6 Kommentare
Neuester Kommentar
Hi Sascha,
Beim Windowseigenen VPN wird (wenn das VPN nur für den Benutzer eingerichtet wurde) unter ...\AppData\Roaming\Microsoft\Network\Connections\Pbk die Datei rasphone.pbk angelegt mit den Einstellungen der VPN Verbindung.
Der Eintrag UseRasCredentials=0 oder 1 regelt ob Windows den VPN-Benutzer-Namen beim Zugriff auf Netzwerkressourcen nutzt oder den Windows-Anmeldenamen.
UseRasCredentials=1 ist der Standard nachdem Einrichten und es wird der VPN-Benutzer genommen
UseRasCredentials=0 es wird der Windows-Benutzer genommen.
Viele Grüße
Derek
Beim Windowseigenen VPN wird (wenn das VPN nur für den Benutzer eingerichtet wurde) unter ...\AppData\Roaming\Microsoft\Network\Connections\Pbk die Datei rasphone.pbk angelegt mit den Einstellungen der VPN Verbindung.
Der Eintrag UseRasCredentials=0 oder 1 regelt ob Windows den VPN-Benutzer-Namen beim Zugriff auf Netzwerkressourcen nutzt oder den Windows-Anmeldenamen.
UseRasCredentials=1 ist der Standard nachdem Einrichten und es wird der VPN-Benutzer genommen
UseRasCredentials=0 es wird der Windows-Benutzer genommen.
Viele Grüße
Derek
1
Hi Derek,
danke für deine Antwort. Den Eintrag hatte ich schon in einem Microsoft Forum gelesen, allerdings war damals in dieser Datei kein VPN hinterlegt.
Naja ich habe die Änderung jetzt mal vorgenommen und die VPN Verbindung neuaufgebaut. Jetzt muss ich mal abwarten, denn am Anfang war die Verbindung meistens gut, erst nach wenigen oder auch mehreren Stunden fing es an zu hängen.
Noch als Nachtrag für dich, ich habe die VPN als AllUserConnection eingerichtet auch dort wird der Eintrag dann angezeigt.
EDIT: Der Pfad heißt %appdata%\Microsoft\Network\Connections\Pbk\_hiddenPbk
Gruß
Sascha
danke für deine Antwort. Den Eintrag hatte ich schon in einem Microsoft Forum gelesen, allerdings war damals in dieser Datei kein VPN hinterlegt.
Naja ich habe die Änderung jetzt mal vorgenommen und die VPN Verbindung neuaufgebaut. Jetzt muss ich mal abwarten, denn am Anfang war die Verbindung meistens gut, erst nach wenigen oder auch mehreren Stunden fing es an zu hängen.
Noch als Nachtrag für dich, ich habe die VPN als AllUserConnection eingerichtet auch dort wird der Eintrag dann angezeigt.
EDIT: Der Pfad heißt %appdata%\Microsoft\Network\Connections\Pbk\_hiddenPbk
Gruß
Sascha
Ich habe das ganze jetzt nochmal auf einem anderen PC getestet. Da wird nach der Konfiguration des VPNs über die Windows Einstellung nicht angelegt in der rasphone.pbk . Kann es sein das diese nur für die Konfiguration über die Systemsteuerung -> Neue Verbindung oder neues Netzwerk einrichten zutrifft?
Gruß
Sascha
Gruß
Sascha
Hi Sascha,
wenn die VPN-Verbindung für Alle Benutzer eingerichtet wurde, dann müsste die rasphone.pbk unter
C:\Users\All Users\Microsoft\Network\Connections\Pbk liegen, bzw. unter
C:\ProgramData\Microsoft\Network\Connections\Pbk .
C:\Users\All Users ist ein symbolischer Link auf C:\ProgrammData
Aktuell nutze ich den Weg über die klassischen über die Systemsteuerung, dort kann man ja angeben, das die VPN-Verbindung für alle sein soll.
Bei der "modernen" Systemsteuerung wird glaube ich nur für den Benutzer die VPN-Verbindung angelegt.
Gruß
Derek
wenn die VPN-Verbindung für Alle Benutzer eingerichtet wurde, dann müsste die rasphone.pbk unter
C:\Users\All Users\Microsoft\Network\Connections\Pbk liegen, bzw. unter
C:\ProgramData\Microsoft\Network\Connections\Pbk .
C:\Users\All Users ist ein symbolischer Link auf C:\ProgrammData
Aktuell nutze ich den Weg über die klassischen über die Systemsteuerung, dort kann man ja angeben, das die VPN-Verbindung für alle sein soll.
Bei der "modernen" Systemsteuerung wird glaube ich nur für den Benutzer die VPN-Verbindung angelegt.
Gruß
Derek
Hallo Derek,
das teste ich jetzt mal.
Über Powershell ist es möglich die VPN Verbindung für All Users anzulegen.
Gruß
Sascha
das teste ich jetzt mal.
Über Powershell ist es möglich die VPN Verbindung für All Users anzulegen.
Gruß
Sascha
So das ganze klappt nun viel besser. Danke für die Hilfe.
