VPN Verbindung wird nicht aufgebaut - Fehler 800

[IThome 10]

Wie gehen denn die Notebooks ins Internet, über einen Proxy-Server ? Hast Du mehrere Router ? Trage auf dem Server mal das Gateway (IP-Adresse des Routers) ein und versuche dann nochmal den Zugriff von aussen. Erst wenn das nicht klappt, den Virtual DMZ-Host ...

Poste mal IPCONFIG /ALL und ROUTE PRINT eines Notebooks ...

[Alforno 10]

Die Notebooks sind, genau wie der Server direkt mit dem Router verbunden. Der Router hat einen integrierten Switch.

 

Ich habe jetzt beim Server den Router als Gateway eingetragen. Zusätzlich habe ich den Server als DMZ Host im Router eingetragen.

 

Habe den Router neugestartet, jetzt können auch die Notebooks wieder online gehen.

Ich kann den Router auch vom Server aufrufen, dass funktionierte vorher ja nicht.

Wenn ich mich jetzt von außen verbinden will, klappt es nicht.

 

Ich denke ich sollte jetzt mal kontrollieren inwieweit Daten beim VPN Server ankommen.

 

@ithome

 

vielleicht hast du ja noch eine Idee. Dein Tipp mit der DMZ host war ja offensichtlich schonmal ein Volltreffer. :)

 

Danke.

 

mfg

ALforno

[IThome 10]

Was ich nicht verstehe, dass die Notebooks kein Gateway haben und trotzdem über den Router ins Internet kommen.

Das mit dem DMZ-Host war nur zum Testen und das solltest Du aus Sicherheitsgründen so nicht lassen. Wie sprichst Du vom VPN-Client aus den VPN-Server an ?

[Alforno 10]

Ist alles nur zu Testzwecken.

Auf dem Server ist nichts drauf.

 

Die Verbindung stelle ich ganz normal mit Windows Boardmitteln her.

Also neue Verbindung erstellen und dann vpn usw.

 

Wie könnte ich den jetzt sehen, wo es hakt?

 

mfg

Alforno

[IThome 10]

IPCONFIG /ALL und ROUTE PRINT vom Server und einem Notebook bitte ...

[Alforno 10]

Gibt es eine Möglichkeit das Ergebnis aus der cmd zu kopieren?

 

mfg

Alforno

[IThome 10]

IPCONFIG /ALL > IPCONFIG.TXT

ROUTE PRINT > ROUTE.TXT

Den Inhalt aus den TXT-Dateien posten (Copy and Paste) ...

[Alforno 10]

Hier ist das Ergebnis vom Notebook:

 

Windows 2000-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : laptop1

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Broadcastadapter

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : WorkGroup

 

Ethernetadapter "LAN-Verbindung":

 

Verbindungsspezifisches DNS-Suffix: WorkGroup

Beschreibung. . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC

(3C905B-TX)

Physikalische Adresse . . . . . . : xxxxxxx

DHCP-aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.2.11

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DHCP-Server . . . . . . . . . . . : 192.168.2.1

DNS-Server. . . . . . . . . . . . : 192.168.2.1

Lease erhalten. . . . . . . . . . : Montag, 3. September 2007 14:10:24

Lease läuft ab. . . . . . . . . . : Dienstag, 4. September 2007 02:10:24

 

route print vom laptop

 

===========================================================================

Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x1000003 ...00 01 02 17 1a 3e ...... 3Com EtherLink PCI

===========================================================================

===========================================================================

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl

0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.11 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.11 192.168.2.11 1

192.168.2.11 255.255.255.255 127.0.0.1 127.0.0.1 1

192.168.2.255 255.255.255.255 192.168.2.11 192.168.2.11 1

224.0.0.0 224.0.0.0 192.168.2.11 192.168.2.11 1

255.255.255.255 255.255.255.255 192.168.2.11 192.168.2.11 1

Standardgateway: 192.168.2.1

===========================================================================

Ständige Routen:

Keine

[Alforno 10]

ipconfig vom server

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : servervpn

Primäres DNS-Suffix . . . . . . . : company.local

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : company.local

 

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : xxxxxxxx

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.120

Subnetzmaske . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . :

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel® PRO/1000 CT Network Connection

Physikalische Adresse . . . . . . : xxxxxxxx

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.2.100

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.1

DNS-Server . . . . . . . . . . . : 192.168.2.100

 

route print vom server:

 

IPv4-Routentabelle

===========================================================================

Schnittstellenliste

0x1 ........................... MS TCP Loopback interface

0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface

0x10003 ...00 0c f1 bf dc 1b ...... Intel® PRO/1000 CT Network Connection

===========================================================================

===========================================================================

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik

0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.100 10

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.2.0 255.255.255.0 192.168.2.100 192.168.2.100 10

192.168.2.100 255.255.255.255 127.0.0.1 127.0.0.1 10

192.168.2.120 255.255.255.255 127.0.0.1 127.0.0.1 50

192.168.2.255 255.255.255.255 192.168.2.100 192.168.2.100 10

224.0.0.0 240.0.0.0 192.168.2.100 192.168.2.100 10

255.255.255.255 255.255.255.255 192.168.2.100 192.168.2.100 1

Standardgateway: 192.168.2.1

===========================================================================

Ständige Routen:

Keine

 

 

Hoffe das hilft weiter.

 

Dankeschön für die Mühe.

 

mfg

Alforno

[IThome 10]

Das sieht ja schon mal okay aus. Wenn also interne VPN-Verbindungen funktionieren, funktioniert der Server. Im Internet surfen sollte der Server auch können (sofern der DNS-Server des Servers richtig eingerichtet ist). Die Notebooks sollten auch den Server als primären DNS-Server eintragen (besonders im Falle eines Active Directorys), was jetzt aber nichts mit dem Fehler zu tun hat. Meiner Meinung ist es der Router bzw. dessen Konfiguration, die einen Verbindungsaufbau verhindert. Entweder hat er eine feste, öffentliche IP und der VPN-Client gibt diese Adresse als Ziel an oder er hat eine dynamische, öffentliche Adresse, es wird DynDNS benutzt und der VPN-Client benutzt den DynDNS-Namen als Ziel. In beiden Fällen muss vom Router eine Weiterleitung konfiguriert werden. Er muss TCP 1723 und GRE (IP-Protokoll 47) zum Server leiten oder für GRE so etwas wie VPN-Passthrough ermöglichen. Alternativ kann ohne spezielle Portweiterleitung gearbeitet werden und der Server wird als DMZ-Host eingetragen, wobei alle an die externe Adresse des Routers adressierten Pakete (initial) zum Server geleitet werden (ist sicherheitstechnisch ohne weitere Schutzmassnahmen auf dem Server nicht zu empfehlen) ...

[Alforno 10]

Danke Dir für die ausführliche Antwort.

 

Ich gehe aktuell davon aus, dass der Router VPN Passthrough unterstützt.

Der Router hat nach außen eine feste IP. Die Weiterleitung für Port 1723 TCP eingerichtet.

Sollte also klappen.

 

Gibt es denn jetzt eine Möglichkeit zu prüfen, an welcher Stelle es genau hakt?

Netzwerkmonitor?

 

Aktuell habe ich den Server noch als DMZ Host eingetragen, wenn ich das nicht mache, kann ich vom Server aus nicht auf den Router zugreifen.

 

Vielleicht hast du ja noch eine Idee wie ich der Sache auf die Spur komme.

 

Mir ist aufgefallen, dass ich nachdem ich den Server als DMZ Host eingetragen habe, beim Versuch eine VPN Verbindung aufzubauen eine andere Fehlermeldung bekomme.

 

Ich meine das vorher der Verbindungsversuch daran scheiterte, dass der VPN Server nicht kontaktiert werden konnte.

Jetzt wird mir beim Verbindungsversuch angezeigt:

Benutzername und Kennwort werden verifiziert ...

Dies schlägt fehl. Fehler 721

 

Der Benutzername und das Passwort stimmen aber definitiv.

 

Vielleicht hilft das ja schon.

 

Gibt es für den RAS ein eigenes Protokoll oder steht das mit in der Ereignisanzeige?

 

Nochmal vielen Dank für deine HIlfe sonst hätte ich das wohl alles schon lange aufgegeben.

 

mfg

Alforno

[Alforno 10]

In der Ereignisanzeige des Servers steht folgendes:

 

Es wurde eine Verbindung zwischen dem VPN-Server und dem VPN-Client xxxxxxxxx initiiert, aber die VPN-Verbindung konnte nicht hergestellt werden. Der wahrscheinlichste Ursache dafür ist, dass der Firewall bzw. der Router zwischen dem VPN-Server und dem VPN-Client nicht so konfiguriert ist, dass GRE-Pakete (Generic Routing Encapsulation) zugelassen sind (Protokoll 47). Stellen Sie sicher, dass die Firewalls bzw. Router zwischen dem VPN-Server und dem Internet GRE-Pakete zulassen. Stellen Sie ebenfalls sicher, dass die Firewalls bzw. Router im Netzwerk des Benutzers auch so konfiguriert sind, dass GRE-Pakete zugelassen sind. Wenn das Problem weiterhin besteht, sollte der Benutzer sich an den Internetdienstanbieter wenden, um zu ermitteln, ob der Internetdienstanbieter eventuell GRE-Pakete blockt.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

 

Sagt dann wohl alles.

 

mfg

Alforno

[IThome 10]

Ich denke, dass der Fehler nicht am Server zu suchen ist, sondern entweder auf der Clientseite (der Router dort oder eine Clientfirewall) oder auf dem SMC-Router. Ich würde nachschauen, was in den Logs der Router steht ...

[Alforno 10]

Hallo ithome,

 

ich habe gerade nochmal im Netz gesucht. Ich gehe weiterhin davon aus, dass der Router VPN Passthrough unterstützt. Habe einige Beiträge gefunde, in denen eindeutig davon gesprochen wird.

 

In der Log Datei des SMC steht dazu nichts drin.

Ich habe den den VPN Server aus der DMZ des Routers wieder rausgenommen.

Komischweise funktioniert trotzdem alles wie vorher.

 

Ich habe den Router zweimal neugestartet. Ist für mich nicht ganz nachzuvollziehen, warum man das Gerät mehrere Male starten muss, damit alle Funktionen laufen.

 

Naja, ich werde es heute abend nochmal probieren. Vielleicht von der Client Seite mal ohne Router und sehen ob das funktioniert.

 

Melde mich dann nochmal.

 

Danke Dir für deine Mühe.

mfg

Alforno

[Alforno 10]

Es klappt, kann es ja selber nicht glaueben, auch die Geschwindigkeit des RDP ist ok. Hatte mir das deutlich langsamer vorgestellt. Kann nicht sagen woran es gelegen hat.

Nach zweimaligem rebooten des Routers klappt nun alles einwandfrei.

 

Vielen Dank an alle, besonders an ithome für die tatkräftige Unterstützung.

 

Werde mich mal daran machen, das ganze auf ipsec umzustellen. Da werden ja sicherlich auch wieder Fragen aufkommen.

 

mfg

Alforno