kein Zugriff auf Netzwerk über VPN

[hoschi2]

hi
gemäß diesem diesem How-To hab ich auf einem Windows Server 2003 eine VPN Verbindung erstellt und gleich mal im internen LAN getestet und siehe da , es läuft. Das ist zwar schön und gut und sagt mir dass ich einiges richtig eingestellt haben muss, doch leider kann ich übers Internet ,wozu VPN ja gedacht ist , diese Verbindung nicht nutzen. Trotz richtiger IP des Servers und korrektem Benutzernamen und Passwortes auf dem Client PC kommt die Meldung ' Verbindung kann nicht hergestellt werden.
Das Serversystem sieht folgendermanßen aus : Der Server hat 2 Netzwerkkarten ,an einer hängt der Switch mitsammt den ganzen Rechnern und an der andern der ROuter ,der sich um die Verbindung ins Internet kümmert. Dort habe ich den Port 1372 mittels Virtual Server Option auf den Server durchgestellt.
Jetzt sollte doch eigentlich alles funzen . Tuts aber nicht .
Entweder liegt das Problem am Router oder ich muss in den RAS Einstellungen irgendwo noch reinfriemeln dass die VPN Verbindung auch von außen kommen darf, weil im LAN läufts ja.

Wer kann mir helfen ?
DANKE schon mal im vorraus.

[grizzly999]

Zitat von hoschi2 Dort habe ich den Port 1372 mittels Virtual Server Option auf den Server durchgestellt.

Schreibfehler? Ist der Port 1723. Ausserdem muss die FW VPN-Passthrough unterstützen.

grizzly999

[hoschi2]

ja ist port 1723
FW = ?
Firewall , hab ich nicht
Firmware ?

kannst du mir nicht noch mehr helfen ? Danke

[grizzly999]

FW=Firewall (dein Router, den du konfiguriert hast).

Der muss wie geasgt PassTruogh unterstützen und man muss die Weiterleitung dieser verschlüsselten Pakete (GRE-Pakete) auch erst einrichten. Wie, das ist von Firewall zu Firewall unterschiedlich, read the manual

Es gibt auch wenige ältere Modelle, die das nicht können ,aber alle gängigen, auch im Consumer-Bereich, können das


grizzly999

[hoschi2]

hmm, dass VPN nur funktoniert wenn der Router PassTruogh unterstützt ist mir neu.
Klar , es gibt Router mit denen man VPN schon direkt einrichten kann , dass aber VPN mit einem Router der nichts mit VPN zu tun hat nicht funktionieren soll kann ich nicht glauben. Dann übernimtm halt er Server diese Funktion.

Wemm ich den Port 1723 durchschalte müsste doch ganz einfach gesagt alles was mit VPN zu tun hat auch an den Server weitergeleitet werden , oder nicht ?
Ich hab schon einigen How To's und Anleitungen zum Thema VPN gelesen.Darin stand aber nie dass der Router VPN auch zwingend unterstützen muss. Es muss ja wohl auch so gehen .

[hoschi2]

das hab ich zum Thema Router/Firewall vor VPN Server gefunden :

Für PPTP reicht auf der Serverseite der Port 1723 TCP, d.h. dass dieser Port an den VPN-Server durchgereicht werden muss.

Dennoch klappt nicht mit allen Routern die Verbindungsaufnahme. Damit der VPN-Server hinter dem Router erreichbar ist, muss der Router für eintreffende PPTP-Verbindungen diese ins lokale Netz weiterleiten (Port Forwarding) bzw. die Firewall diese durchlassen. PPTP verwendet jedoch nicht TCP/UDP sondern GRE (Generic Routing Encapsulation) als Transportprotokoll (Protokollnummer 47). Dies können nicht alle Router an einen VPN-Server weiterleiten. Viele Hersteller meinen mit VPN-Fähigkeit lediglich, dass der Router mit einem VPN-Server verbinden kann, nicht aber vor einem VPN-Server funktioniert.

Das Problem ist daher der Router/die Firewall vor dem VPN-Server. Entweder muss hier auch das GRE-Protokoll für den Server-Rechner weitergeleitet werden oder der Rechner komplett von der Firewall (bzw. der des Routers) freigestellt werden (nennt sich meist DMZ, wenn es auch eher ein Exposed Host darstellt). Die 2. Lösung macht den Rechner aber für alle Angriffe von außen angreifbar und sollte daher nur eine Notlösung darstellen.

Was zum Geier ist DMZ ?

[weg5st0]

Zitat von hoschi2 das hab ich zum Thema Router/Firewall vor VPN Server gefunden : Das Problem ist daher der Router/die Firewall vor dem VPN-Server. Entweder muss hier auch das GRE-Protokoll für den Server-Rechner weitergeleitet werden oder der Rechner komplett von der Firewall (bzw. der des Routers) freigestellt werden (nennt sich meist DMZ, wenn es auch eher ein Exposed Host darstellt). Die 2. Lösung macht den Rechner aber für alle Angriffe von außen angreifbar und sollte daher nur eine Notlösung darstellen. Was zum Geier ist DMZ ?

Hi,

DMZ = Demilitarized Zone = Spezieller Netzwerkbereich der "öffentliche" Dienste im Internet anbietet und auch "private" Zugriffe tätigen kann. MS nennt das auch Perimeternetzwerk.

Die obige Beschreibung ist aber falsch! DMZ würde heissen:

Internet ----- Externe FIREWALL --------- DMZ ---------- Interne Firewall ---------- privtaes LAN

Manchmal ist die Externe und die Interne Firewall ein und dasselbe Gerät mit dann mindestens 3 Schnittstellen (Int, Ext, DmZ).

[hoschi2]

und was muss ich jetzt in meinem VPN unfreundlichen Router einstellen ,damit es trotzdem funzt .

[weg5st0]

Einen anderen kaufen der das kann - sorry aber ist leider so!

[hoschi2]

Erstmal vielen Dank für die Hilfe .Dieses Forum ist wircklich super.

VPN wird bei mir wohl nicht ohne neuen Router laufen.
Deshalb hab ich jetzt versucht einen FTP Server aufzubauen mit Quick 'n Easy FTP Server .
Da hab ich aber das fast gleiche Problem . Innerhalb des LANs kann ich darauf zugreifen, von außerhalb aber nicht . Port 21 TCP und UDP hab ich im Router auf den Server durchgestellt. Das müsste doch eigentlich funktionieren . Wo liegt das Problem ? ? ? ? Am Router kanns jetzt ja nicht liegen.