EvoIT

Danke! Werde echt noch WARNSINNG! Führe ich das FTP Script auf dem RRAS Server aus funktioniert alles, versuche ich es auf einen Client im Netz hängt das Script. Ich denke dass ich noch irgendwo im LANCOM 1711 einen Fehler habe und deshalb das Script auf dem Client hängt. Was mir aufgefallen ist, beim LANCOM 1711 ist kein Eintrag im Firewall LOG wenn ich das FTP-Script auf dem Server ausführe. Wenn ich das Script auf nem Client starte habe ich einträge im LOG. Da ich über den Server route verstehe ich nicht warum es dann ein Firewall LOG im LANCON gibt. Stelle ich in den Firewall einstellungen beim LANCOM die Application von FTP auf erlaubt zeit mir das LOG von der Firewall an das der Server eine FTP Verbindung aufgebaut hat.

Danke! Würdest Du mir bitte erklären was diese Ausgabe vom FTP genau bedeutet!? Die ersten 4 sind klar das ist die IP vom FTP Server und das andere sind die Ports oder Protokolle die genutzt werden oder wie darf ich das verstehen? Entering Passive Mode (213,xxx,xxx,xxx,228,26) Hat leider auch nicht den gewünschten erfolg gebracht!

Ja und so wie ich FTP Befehle wie ls, mdel, mput benutze hängt der FTP Client. Status, Prompt, Bell funktionieren. Es muss also ein Fehler bei der Data Connection sein. Wie kann ich dem DOS FTP (W7) sagen das es eine passive Übertragung sein soll? Sehe gerade im LOG das auch Daten auf Port 20 kommen was ja nur von Aktiven FTP benutzt wird.

Analyse des Problems: Hier das Script für DOS FTP (FTP -i -s:Script.txt): open xxxxxxxxxxxxxxxxxxxxxx.de 21 <Username> <Passwort> CD Verzeichnis1 CD Verzeichnis2 mdelete *.txt type binary mput *.txt bye Nachdem das Script gestartet wurde sieht das Routing so aus. Client: IP: 192.168.22.49 Quell Port 63458 Ziel Port: 21 RRAS Server (NAT Übersetzung / Zuordnung): Protokoll: TCP Richtung: Ausgehend Private Adresse: 192.168.22.49 Privater Port: 63458 Öffentliche Adresse: 192.168.233.245 Öffentlicher Port: 61.816 Remoteadresse: 213.xxx.xxx.xxx Remoteport: 21 Router (NAT): Von IP: 192.168.233.245 Quell Port: 61.816 Nach IP: 213.xxx.xxx.xxx Ziel Port: 21 Wie man sehen kann ist alles so wie es sein soll, nur bleibt dieses FTP-Script nach den CD’s hängen. Wenn ich dieses Script auf dem RRAS Server starte, funktioniert es ohne Probleme, was mich annehmen lässt das es wieder was mit RRAS oder einem Dienst zutun haben muss. Ich hoffe das jemand eine Lösung parat hat, da ich dieses Problem so schnell wie möglich lösen muss.

Frage: hast im NAT bei der Externen-Schnittstelle FTP-Server Aktiviert ? wenn nicht mache bitte das.

Jetzt wo ich glaubte dass alles I.O. ist muss ich leider feststellen dass dem nicht so ist. FTP mit den Tools funktioniert jetzt wie es soll ohne Probleme, nur der DOS FTP Client leider nicht. Das aufbauen der Verbindung funktioniert noch ohne Probleme nur wenn jetzt befehle wie mdelete und mput genutzt werden hängt der FTP Client und bricht nach ca. 60 sec. Die Verbindung ab. Hat war dazu eine Idee wie ich das in den Griff bekomme!?

Ja, der Läuft. Danke für den Denk Anstoss :) LINK: http://www.hit-karlsruhe.de/aol2mime/server2003_ftp_firewall.htm Nachdem ich den Gatewaydienst auf Anwendungsebene deaktiviert und beendet habe, funktionierte das FTP sofort.

War mir klar dass es verwirrt! :p Die ersten IPs waren nur Beispiele um das Szenario darzustellen. Die IP Adressen von IPConfig sind jetzt die realen Adressen die verwendet werden. Kann leider die IP Adressen vom ersten Beitrag nicht mehr ändern! Bitte um Entschuldigung für die Verwirrung. Wenn ich z.B. eine Verbindung hier zum Forum aufbaue sieht die NAT Übersetzung / Zuordnung so aus. Protokoll: TCP Richtung: Ausgehend Private Adresse: 192.168.22.49 Privater Port: 52.011 Öffentliche Adresse: 192.168.233.245 Öffentlicher Port: 62.888 Remoteadresse: 74.125.79.95 Remoteport: 80 Mein W7 Client wartet auf Daten auf dem Port 52011 (NAT = Privater Port) das Ziel ist Port 80 (NAT = Remoteport) wie man schön sehen kann funktioniert alles 100%ig so wie es sein soll. Eine FTP-Verbindung die funktioniert ist die nach 1und1 da sieht dann die NAT Übersetzung / Zuordnung so aus. Protokoll: TCP Richtung: Ausgehend Private Adresse: 192.168.22.49 Privater Port: 52.134 Öffentliche Adresse: 192.168.233.245 Öffentlicher Port: 61.816 Remoteadresse: 213.165.81.33 Remoteport: 50.484 Bei dem Versuch eine FTP Verbindung aufzubauen bei denen es nicht funktioniert sehe ich nur UDP Port 137 (WINS) und mehr nicht. Ich vermute das es was mit Port 21 zutun hat aber was genau, weiß ich leider nicht.

Habe oben leider die 4000 Zeichen erreicht deshalb geht es hier weiter! So sieht der Fehler aus wenn ich mich mit einem FTP-Server vom Windows7-Client aus verbinden möchte. Status: Auflösen der IP-Adresse für xxx.de Status: Verbinde mit xx.xx.xx.xx:21... Status: Verbindung hergestellt, warte auf Willkommensnachricht... Trace: CFtpControlSocket::OnReceive() Antwort: 220 DiskStation FTP server ready. Trace: CFtpControlSocket::SendNextCommand() Befehl: USER XXX Trace: CFtpControlSocket::OnReceive() Antwort: 331 Password required for XXX. Trace: CFtpControlSocket::SendNextCommand() Befehl: PASS ****** Trace: CFtpControlSocket::OnReceive() Antwort: 230 User XXX logged in. Trace: CFtpControlSocket::SendNextCommand() Befehl: SYST Trace: CFtpControlSocket::OnReceive() Antwort: 215 UNIX Type: L8 Trace: CFtpControlSocket::SendNextCommand() Befehl: FEAT Trace: CFtpControlSocket::OnReceive() Antwort: 211- Extensions supported: Trace: CRealControlSocket::OnClose(10053) Trace: CControlSocket::DoClose(64) Trace: CFtpControlSocket::ResetOperation(66) Trace: CControlSocket::ResetOperation(66) Fehler: Herstellen der Verbindung zum Server fehlgeschlagen Trace: CFileZillaEnginePrivate::ResetOperation(66) Status: Nächsten Versuch abwarten...

1. wie oben schon geschrieben: wenn ich auf dem RAS Server den FTP-Client benutze funktieren alle FTP-Server zu 100% 1a) Filter sind keine gesetzt. 1b) Windows-Firewall ist an (abschalten bringt aber auch keinen erfolg) FTP Port 21 ist in der Firewall erlaubt Windows-IP-Konfiguration / Server Hostname . . . . . . . . . . . . : SRV-DC1 Primäres DNS-Suffix . . . . . . . : xxx-xxxxxxxxxxx.lan Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xxx-xxxxxxxxxxx.lan Ethernet-Adapter LAN0-DC1-Intern-RJ45: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel® Gigabit ET Dual Port Server Adapter Physikalische Adresse . . . . . . : 00-1B-21-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.22.2(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 127.0.0.1 Primärer WINS-Server. . . . . . . : 192.168.22.2 NetBIOS über TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter LAN1-DC1-Extern-RJ45: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Broadcom BCM5708C NetXtreme II GigE (NDIS VBD Client) Physikalische Adresse . . . . . . : 00-21-5E-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.233.245(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.233.254 DNS-Server . . . . . . . . . . . : 127.0.0.1 Primärer WINS-Server. . . . . . . : 192.168.22.2 NetBIOS über TCP/IP . . . . . . . : Aktiviert 2.W7 Client: Das Login am FTP Server funktioniert noch aber nachdem senden vom FEAT ist immer vorbei. Windows-IP-Konfiguration / Client Hostname . . . . . . . . . . . . : xxx-xxx-x Primäres DNS-Suffix . . . . . . . : xxx-xxxxxxx.xxx Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : xxx-xxxxxxx.xxx Ethernet-Adapter LAN-1GBit-RJ45: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller Physikalische Adresse . . . . . . : 00-26-18-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.22.49(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Dienstag, 19. Oktober 2010 10:11:38 Lease läuft ab. . . . . . . . . . : Mittwoch, 27. Oktober 2010 07:07:25 Standardgateway . . . . . . . . . : 192.168.22.2 DHCP-Server . . . . . . . . . . . : 192.168.22.2 DNS-Server . . . . . . . . . . . : 192.168.22.2 192.168.22.4 Primärer WINS-Server. . . . . . . : 192.168.22.2 NetBIOS über TCP/IP . . . . . . . : Aktiviert FileZilla Test Verbinde mit probe.filezilla-project.org Antwort: 220 FZ router and firewall tester ready USER FileZilla Antwort: 331 Give any password. PASS 3.3.4.1 Antwort: 230 logged on. Überprüfe Korrektheit der externen IP-Adresse IP xxx.xxx.xxx.xxx cbd-caj-bbe-bah Antwort: 200 OK PREP 51213 Antwort: 200 Using port 51213, data token 1861922879 PORT 213,209,114,107,200,13 Verbindung verloren Verbindung getrennt

Passiv wie Aktiv geht beides nicht vom Client aus. :mad:

Hallo alle zusammen, habe da ein paar Verständnis fragen und ein Mega Problem! Gegebenheit: a) W2k8 Server mit zwei Netzwerkkarten b) RRAS Rolle + NPS /VPN/NAT Jetzt mein Problem und mein vorgehen: Ich versuche mit einen Windows 7 und z.B. mit einen FTP Client (FileZilla) eine FTP Verbindung aufzubauen (was bei 1und1 auch ohne Probleme funktioniert) bei vielen andern aber leider Fehlschlägt: Um den Fehler auf die Spur zu kommen und den Router (LANCOM 1711 VPN) + Firewall auszuschließen habe ich folgendes getestet: Wenn ich auf dem Server mit dem FTP Client arbeite funktionieren alle FTP-Server ohne Probleme, also kann der Router und auch die Firewall nicht der Verursacher sein. Im Trace vom Router kann ich sehen das er alles sauber durch routet, also bleibt nur das RRAS übrig aber wie bitte kann ich feststellen was da genau da schief läuft? Ich habe mir auf dem W7 Client mit netstat –v anzeigen lassen auf welchen Port der Windows 7 Client auf eine Antwort wartet dann habe ich mir auf der Externen Schnittstelle (192.168.75.200) im NAT auf dem W2k8 Server die Übersetzung / Zuordnung angeschaut.. Beispiel: FTP Client (Windows7) Port wartet auf 49810 Server: NAT Übersetzung / Zuordnung Protokoll: TCP Richtung: Ausgehend Private Adresse: 192.168.99.10 Privater Port: 59574 Öffentliche Adresse: 192.168.75.200 Öffentlicher Port: 61404 Remoteadresse: 192.168.75.1 (Router) Remoteport: 49224 Würde mich freuen wenn mir da jemand helfen könnte!

Hallo Gemeinde, wie man im Betreff lesen kann suche ich eine Möglichkeit das ein Hauptbenutzer in Windows 7 keine Einstellungen von der VPN-Verbindung ändern kann. Es wird natürlich die Windows eigene Software benutzt. Die rasphone.pbk zu schützen bring keinen erfolg weil man da immer noch Benutzername und auch das Kennwort ändern kann. Danke, EvoIT

Hallo Steffen, erst mal DANKE das Du dich da so reinhängst! :) Ich hänge da genau wie Du in der Luft weis auch nicht mehr weiter aber vielleicht finden wir ja eine Lösung. Wünsche erst mal ein schönes WE .... am Montag geht dann das Testen weiter. ;)

Also beim Lancom-Router wird die Deny_ALL Firewall Strategie gefahren..... bedeutet alles wird erstmal geblockt, das was erlaubt werden soll bekommt eine Regel was hier natürlich der Fall ist. UDP 9 wird als Ziel erlaubt und nicht geblockt nur geht das Magic Packet trotzdem verloren. Was mich vermuten lässt das es im RRAS gefiltert wird. Werde am Montag mal ein System an den Router anschliessen und dieses in das gleiche Subnetz bringen wie der Router. Dann das Makic Packet versenden, sollte das funktionieren liegt es 100%ig nicht am Router oder am RRAS und ich habe das nachsehen... weil dann nur noch die Magic-Tools als Fehlerquelle überbleiben.

Wir sind zwar nicht Fort Knox aber die Sicherheit ist schon sehr hoch. :D Es muss doch eine Möglichkeit geben ein Magic Packet durch einen VPN-Tunnel + RRAS in das richtige Netz zu senden.

Leider funktioniert das auch nicht! :( Wenn ich MC-Wol auf einem Server im Firmennetz benutze wacht er auf, über vpn leider nicht. Im Firewall LOG beim Router ist nichts zufinden, trotzdem kommt das Paket nicht an..... kann es sein das es im RRAS verworfen wird?

OK, das bekomme ich hin :-) Szenario 1. Router (LANCOM 1711 * IP 192.168.99.254) 2. Server 2008 SP2 x64 LAN1 IP 192.168.220.2 (internes Netz) / LAN2 IP 192.168.99.250 -> geht zum Router / Rollen: DC, DNS, DHCP, RRAS + VPN + NPS 3. ca. 80 Clients wovon 24 auch Remote-Arbeitsplätze sind. Alle Clients befinden sich im gleichen Subnetz wie der Server (192.168.220.x) 4. bei einen VPN-Aufbau (IPSEC - L2TP o. PPTP) Routet der Router die Daten auf den 2008er Server mit der IP 192.168.99.250, VPN, Authentifizierung, Rechte, Regeln usw. kommen alle vom Server. VPN-Clients bekommen eine IP vom DHCP aus den Subnetz vom Server (z.B. 192.168.220.101). Anforderung Nachdem ein Benutzer eine VPN-Verbindung erfolgreich aufgebaut hat, soll sein Client im Firmennetzwerk aus dem Energiesparmodus aufwachen, so das er ohne Probleme eine RDP-Verbindung zu seinem Client aufbauen kann.

Deine Lösung ist was für Admins aber nicht für normale Benutzer geeignet! Ich brauche eine Lösung für externe Mitarbeiter die ihren Client starten können wenn sie in der Firma arbeiten müssen. Die Systeme müssen ja keine 150-300 Watt fürs nichts tun verbrauchen, da es sich um über 20 Systeme handelt rechnet sich das schon. Hier noch eine Gegebenheit: jeder externe Mitarbeiter hat ein VPN Konto (darf nur eine VPN-Verbindung aufbauen, keine lokale Anmeldung) und das RDP-Konto (dieses darf nur die RDP Verbindung zu einem bestimmten Client aufbauen). * alle Konten sind Domainkonten Jetzt meine Idee, sowie ein externer Mitarbeiter seine VPN-Verbindung aufgebaut hat, sollte auf dem Server eine Batch gestartet werden die dann seinen Client aufweckt. Nur leider finde ich keine GPO mit der ich das umsetzen kann. Da ich bei den GPO’s nicht so bewandert bin kann es ja sein das jemand da eine Lösung kennt. Die Anmelde-Batch geht nicht da sich der VPN-Benutzer ja nicht lokal Anmeldet.

wenn ich z.B. Wake nehme funktioniert das aufwachen aber dazu muss ich mich ja auf dem Server anmelden. Benutzer haben auf dem Server ja nicht zu suchen! Habe auch schon nach einer Möglichkeit gesucht das ein Batch auf dem Server startet ohne das man sich lokal Anmelden muss aber sowas gibt es scheinbar nicht.

Hallo, die Clients (24 Stück) hängen im Server LAN also nicht im Router LAN, damit fällt deine Möglichkeit aus.

Hallo Gemeinde! Gegebenheiten: Router (LANCOM 1711), Server 2008+SP2 mit 2 Netzwerkkarten (LAN 1 internes Netz *192.168.99.x / LAN 2 zum Router *192.168.200.x) + RRAS mit VPN Bemerkung: Wake on LAN im internen Netz funktioniert ohne Probleme Benutzer stellt erfolgreich eine VPN-Verbindung her, danach versucht er eine RDP-Sitzung aufzubauen, was aber nicht geht da das System im Energiesparmodus ist. Jetzt meine Frage: mit welchem Tool kann ich ein Magic Packet senden das durch den VPN Tunnel geht. WoL, Wake und Co funktionieren da leider nicht. Was auch noch wichtig ist, der Bunutzer soll von dem ganzen vorhaben nichts mitbekommen. Wir wissen ja jeder Klick den ein Benutzer machen muss führt oft zu Fehlern ;).

Hallo Gemeinde, habe da folgendes Problem: bekomme die Systeme nicht mit WoL aus dem Energiesparmodus. Gegebenheiten: 1. WoL im BIOS aktiviert (BIOS ist neuste Version / Mainboard ASUS P5P43TD PRO / System Windows7 x64 Pro) 2. Im Netzwerkkarten-Setup WoL aktiviert, haken bei Magic- Packet usw. sind gesetzt 3. Energieschema so eingestellt das das System nach 20 min in den Energiesparmodus wechselt. 4. Jetzt baue ich eine VPN-Verbindung zum Server auf, befinde mich also im gleichen Subnetz wie der Client. Aber egal was ich jetzt mache, bekomme das System nicht dazu dass es aufwacht. Habe schon Tools versucht wie Magic-Paket Sender usw. aber nichts passiert. Bin jetzt echt Ratlos, hätte wer vielleicht noch eine Idee was ich da machen kann!? Würde mich gerne via RDP auf den Client loggen aber dazu muss er ja erst mal aufwachen. Danke EvoIT

Wenn man bei der GPO Laufwerkzuordnungen einen Benutzer angibt wird dieser bei der Anmeldung am Laufwerk falsch übergeben. Einstellung der GPO: Benutzername: NASUser Siehe GPO-F1.jpg Anmeldefenster: Anmeldename: \NASUser Siehe GPO-F2.jpg Jetzt meine Frage: liegt es an meinen Server oder ist es ein genereller Fehler in Server 2008 ?

OK, dann haben wir eine Sache schon geklärt ^^ .... also umdenken .... Stunden später...... Nerven liegen Blank und man möchte aus dem Fenster springen. :( Da liegt ja mein Problem ich bekomme es nicht ans laufen nicht mal mit Preshared Keys! Bei W2k war ja das mit IPSec Richtlinen und REG. bearbeiten, denke aber das dieses bei W2k8 Server nicht mehr gemacht werden muss, oder ? Hast Du einen weg wie ich das mit einem 2k8 Server hinbekomme. Meine Vorgabe sind die 2 Netzwerkkarten und L2TP / IPSec (erstmal mit Preshared Keys). Wenn ich das mit deiner Hilfe hinbekomme wäre mir schon mehr als geholfen. Danke Evo