Jump to content

schneidi

Members
  • Gesamte Inhalte

    14
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von schneidi

Explorer

Explorer (4/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

10

Reputation in der Community

  1. :schreck: Lieber Himmel, ich Dösel, klar... Bisher nie gebraucht, gleich vergessen. Nur wie würde das mit meinem VPN-Software-Client funktionieren?
  2. Ok, Filterregeln sind definitiv aus, also neuer Router :rolleyes: Danke für die Hilfe!! :thumb1:
  3. Hallo! (Wie) ist es möglich, sich über VPN an einer Windows-Domäne anzumelden? Ich arbeite mit einer PPTP-Verbindung, die ich aber von der Netzwerkumgebung aus initiiere. Also erst, wenn ich schonirgendwo angemeldet bin. Die VPN-Verbindung müßte aber sonst ja schon bestehen, wenn der Anmeldebildschirm kommt. Wie geht das?
  4. Ja, man kann prinzipiell zu dem VPN-Router eine unverschlüsselte L2TP-Verbindung aufbauen und eine verschlüsselte L2TP over IPSec. Letzteres scheitert, wenn der NAT-DSL-Router hinter dem Client hängt, geht aber, wenn ich den Rechner direkt ans DSL-Modem stöpsele. Nur, um sicher zu sein, dass wir vom gleichen reden :wink2: : Ich habe zu Hause ein Windows XP, davor ein NAT-DSL-Router, um ins Internet zu gehen. Das ist der Client, der die Verbindung aufbaut. Der Server selbst ist der VPN-Router auf der Gegenseite (Firmennetzwerk). Oder verwechsele ich da was?! Bist Du sicher, dass ich dann "Virtueller Server" nehmen muß? Ich dachte, der sei für eingehende Verbindungen, die VPN-Verbindung ist aber "ausgehend". Wie gesagt: Ich hatte die lokale IP des Client-PCs schon mal in die DMZ des NAT-DSL-Routers gepackt - ohne Erfolg. Könnte es sein, dass der NAT-DSL-Router generell das IPSec sperrt, weil da ja - ohne NAT-T - andere Protokolle gefahren werden?
  5. Hallo und danke für die Hilfsbereitschaft! Bin mir leider nicht ganz sicher, was Du meinst. Ich habe im Router das NAT auf den Ports fest gesetzt, die ich so zusammensuche konnte (UDP 500, 1701, 1723, 113, 4500). Dort kann ich nur einen Trigger Port angeben und einen Public Port. Die habe ich immer gleich gesetzt (1701/1701, UDP). Sonst hat der Router noch einen "Virtuellen Server", der wohl für eingehende Verbindungen da ist. Auch hier habe ich mal getestet, die o.g. Ports auf die interne IP meines PCs zu mappen. Beides hat bisher nichts gebracht. Ich habe den Client-PC auch schon mal als DMZ angegeben - auch nix. *Added* Eine Verbindung L2TP OHNE IPSec geht übrigens. Scheint also ein IPSec-Problem zu sein. Also entweder die Protokolle, oder das NAT...
  6. Danke, hatte ich schon versucht. Hatte alle 3 Werte mal in die Reg gehackt, leider ohne Erfolg. VPN-Server ohne NAT 0 VPN-Server hinter NAT, Client ohne NAT 1 VPN-Server und -Client hinter NAT 2 Lustig ist auch: Meine Version (VPN-Server ohne NAT, Client hinter NAT) ist nicht aufgeführt/möglich... Irgendwie kann mein VPN-Router (Draytek) wohl kein NAT-T, oder ich muß noch was anderes machen.
  7. Hi Alex, danke für die Antwort. Ich habe in anderen Foren Beiträge gefunden, wo Leuten geraten wird, verschiedene Ports aufzumachen; einige hatten angeblich damit auch erfolg. Ist das alles Humbug?
  8. schneidi

    Vpn

    Hallo! Ich habe mich damit noch nicht beschäftigt, aber in der aktuellen 'ct ist ein Artikel drüber drin. Lohnt sich vielleicht, da mal reinzuschauen.
  9. Hallo! Ich versuche, von zu Hause (Windows-XP) auf einen VPN-Router mittels L2TP over IPSec zuzugreifen. Das funktioniert auch gut, solange ich meine Netzwerkkarte direkt mit dem DSL-Modem verbinde. Gehe ich über meinen DSL-Router, verhuntzt mir vermutlich das NAT die IPSec-Authentifizierung. Angeblich soll mit NAT-T das Problem ja behoben sein, ich habe nun Win XP SP2 (wo angeblich NAT-T mit drin ist), aber es geht trotzdem nicht. Ich habe am Router die NAT-Funktion für die Ports UDP 500, 1701, 4500 freigeschaltet (einfache Abbilung von diesen Ports auf diese Ports). Dann habe ich den "virtuellen Server" auf die gleichen Ports eingestellt. Leider kann der Router hier keine anderen Protokolle als TCP und UDP. Gibt es *irgendeine* Möglichkeit, das trotzdem über den Router zu schicken? Kann man vielleicht irgendwie in Windows "erzwingen", dass das VPN nur über TCP/UDP läuft?
  10. Hallo! Ich habe einen Draytek-Router. Verbinde ich mich damit mit PPTP von einem WinXP aus (Modem-Verbindung zum Testen), klappt die Verbindung, und ich kann die dahinter liegenden Clients pingen. Fein. Verbinde ich mich damit mit L2TP over IPSec von einem WinXP aus (Modem-Verbindung zum Testen), klappt die Verbindung auch, aber ich kann die dahinter liegenden Clients NICHT pingen. Hat jemand ne Idee, woran das liegen könnte bzw. was ich noch machen könnte? Ich habe mir das Router-Log angeschaut, da steht dann z.B. nach einem PING drin: 2:27:43.550 ==>L2TP Len=20 Control(0x2C8)-L-S Ver:2 Len:20 Tunnel ID:10, Session ID:0 Ns:8, Nr:4 AVP(M): Message Type, Len=8 Hello 2:27:43.730 <==L2TP Len=12 Control(0x2C8)-L-S Ver:2 Len:12 Tunnel ID:4, Session ID:0 Ns:4, Nr:9 Also scheint irgendwas zu passieren :suspect:
  11. Generell würde eine Anmeldung auf dem Server reichen, da z.B. alle "Eigenen Dateien" usw. auch schon dort liegen. Ein Routing von b nach a müßte/soll gar nicht stattfinden (erst mal eins nach dem anderen ;)) Danke für den Link, dann müßte L2TP ja eigentlich mit XP SP2 schon gehen. Werde ich mal testen. Ich experimentiere mal noch ein bißchen :suspect:
  12. Hi heinzumpel, danke für Deine Antwort. Ich versuchs mal, ist nicht ganz einfach ;-) Aufgabe ist es, Win-XP-Clients "zu Hause" per VPN mit dem Firmennetzwerk zu verbinden. In der Firma läuft ein Windows 2003-Server als "ich-mach-alles"-Server, also u.a. DC- und RAS-Server. Problem dabei ist, dass wg. der verwendeten DSL-Router zu Hause und dem Router in der Firma nur PPTP mit Passwort möglich ist, was einen gewissen Unsicherheitsfaktor beinhaltet. Dieser Zugang funktioniert auch schon testweise und mappt die externen Client-PCs ins gleiche Subnetz. Dies hat jedoch zur Folge, dass jeder, der diese Verbindung herstellen kann, sich an den Windows-Systemen im Firmennetz mit Benutzername+Passwort anmelden kann, Netzwerkdrucker einfach so anwerfen kann usw. Das ist dem Verantwortlichen des Netzes mit PPTP zu unsicher. Idee war es nun, den externen Client-PCs ein anderes Subnetz zuzuweisen, dieses Subnetz auf eine 2. Netzwerkkarte im Server zu routen (bis hierhin gehts), und dann eben die Anmeldung am Server über diese Netzwerkarte NUR mit Zertifikat zu gestatten. Soweit die Theorie. Problem hierbei ist, dass ursprünglich mal ein 2. VPN-Tunnel im 1. Tunnel gedacht war, dies scheint aber der Router der Firma nicht zu verkraften. Also ist der einzige Unterschied, an der der RAS-Server erkennen kann, ob eine "externe" Einwahl vorliegt, die IP-Adresse, die die externen Clients zugewiesen bekommen. Alle Klarheiten beseitigt? ;)
  13. Hi heinzelrumpel und danke für die Antwort!! Hm, aber da liegt ja genau das Problem: Beide Verbindungen kommen "ganz normal" über Ethernet/NetBIOS rein, der einzige Unterschied liegt in der IP-Adresse. Was ich machen könnte: Die Clients aus dem Netz, die sich per Zertifikat anmelden sollen, per VPN verbinden. Dann per RAS-Firewall alle Ports bis auf die VPN-Ports sperren und die Einwahl per VPN gestatten. Ist zwar etwas gebastelt, aber was anderes fällt mir jetzt auch nicht ein...
  14. Hallo! Ich würde gerne alle Anmeldungen, die über eine bestimmte Netzwerkkarte (192.168.1.x) kommen, nur per Zeritifikat erlauben lassen. Im Server stecken 2 Netzwerkkarten (Subnetze 192.168.0.x und 192.168.1.x). Des weiteren soll es an dieser Karte nur einer bestimmten Gruppe möglich sein, sich anzumelden, für alle anderen soll die Anmeldung - egal wie - verweigert werden. Irgendwie kriege ich das nicht hin, eine Anmeldung bleibt immer auch einfach über Kennung/Passwort möglich. Hilfe! Muß man das RAS noch irgendwo "einschalten"? Der RAS-Dienst läuft, der Server hat einen grünen Pfeil in der RAS-MMC. Bisher habe ich 2 Richtlinien erstellt: 1.) NAS-Typ ist Ethernet AND NAS-IP Adresse stimmt überein mit "192.168.1.*" AND Windows-Groups ist [die gewünschte Gruppe]. => RAS-Berechtigung erteilen. 2.) NAS-Typ ist Ethernet AND NAS-IP Adresse stimmt überein mit "192.168.1.*". => RAS-Berechtigung verweigern. Wie gesagt ist dennoch eine Anmeldung mit Benutzer/Passwort über z.B. 192.168.1.2 möglich.
×
×
  • Neu erstellen...