_STF_

Wenn ich das zwingend brauche, nehm ich OpenVPN. RRAS kann Broadcasts offensichtlich nicht weitertunneln.

STF

Original geschrieben von melinko

tja das hab ich befürchtet.

 

kann man denn in solch einem fall nicht ein geroutetes sondern ein gebridgetes VPN einsetzen?

Ich habe jetzt hin- und wieder "OpenVPN" im Einsatz, das kommt zumindest mit Broadcasts klar. Habe allerdings noch nicht den Zugriff auf gesamte netzwerk hinbekommen, mich aber aus Zeitgründen auch gar nicht weiter damit beschäftigt.

STF

Fein, hab ich natürlich das wichtigste vergessen,

VPN-Server ist der Win2003 Server RRas Dienst. Clients natürlich per DFÜ ;-)

STF

Hi,

wie bekomm ich diese lustigen UDP-Broadcastpakete in diesen (vermutlich zu engen ;-)) VPN-Tunnel, so dass auch angemeldete VPN-Clients was davon mitbekommen?

Ich habe dazu gestern den ganzen Abend Google gequält und nur einige wenige aussagekräftige Ergebnisse bekommen. Leider sind davon die meisten Aussagen wie "Eigentlich weiß ichs nich, aber man könnte auch...".

Hier, die Antworten fand ich ganz interessant:

http://sisyphus.iocaine.com/pipermail/vpn/2003-January/003867.html

Dort steht sinngemäß, dass zum Beispiel Cisco-Router (zumindest einige) in der Lage sind, Broadcast-Pakete in Unicast-Pakete umzuwandeln und sie zu tunneln. Die Alternativen Ideen sind ein lustiges Script, dass eben diese Funktionalität simuliert.

Von der CPU-Last sollte sich das auch in Grenzen halten, da nicht viele dieser Pakete verschickt werden. Die Frage ist, an welchen stellen überall eine solche Umwandlung stattfinden muss. Primär auf jeden Fall an der Stelle vom LAN zum VPN-Client (also am VPN-Server), muss allerdings ein solches Script auch an den VPN-Clients laufen oder kommen die Pakete von dort aus in den Tunnel?

Vielleicht habt ihr ja ein paar Ideen dazu :-)

STF

PS: Das erstaunliche an der Sache ist, wenn man in Windows XP eine eingehende Verbindung zulässt, scheinen selbst die Broadcasts zu funktionieren (hab ich aber nicht ausführlich getestet), also vielleicht besteht auch die Chance das mit Hausmitteln zu lösen.

Das klingt grob nach einer überhitzten Grafikkarte, defekter Treiberinstallation oder zu schwachem Netzteil, wobei sich letzteres eher durch sporadisches Neubooten äußert. Einfrieren könnte auch ein Zeichen von defekten RAM-Modulen sein, stürzt er denn schon immer in der aktuellen Zusammenstellung ab oder erst seit dem "Treibergeupdate"? :D

Passiert das nur bei Spielen oder auch wenn du mal intensiv 100MB große JPG-Bilder ver- und bearbeitest? Wenns dann auch passiert liegts wohl relativ sicher am RAM.

STF

PS: Falsches Forum oder?

Wenn der RRas-Dienst sich partout weigert beendet zu werden, dann dreh den Spieß doch um und benutze ihn genau dafür, wofür du die ICS benutzen wolltest. Wie das funktioniert steht ja oben schon verlinkt, ist auch gar nicht so schwer. Das hab sogar ich hinbekommen.

STF

Vorsicht!

Wenn auf dem Server DHCP konfiguriert ist und das die anderen Clients benutzen funktionert ICS NICHT!. ICS bringt einen eigenen DHCP-Server mit, der dann IP-Adressen und Netzeinstellungen verteilt und der DHCP-Server von Win2003 muss dann beendet sein.

Dieses Problem hat mich schon etliche Stunden meines Lebens gekostet bis ich dahintergestiegen bin, warum die Clients nie die IP-Adressen aus dem reservierten Bereich bekommen haben.

STF

Wenn du auf dem VPN-Server W2k drauf hast, und auf den einwählenden Clients WindowsXP dann sollten diese jegliche Internetverbindungsfreigabe DEaktiviert(!) haben.

Wenn diese aus ist, klappt (zumindest bei mir) alles problemlos. Windows Server 2003 hat dieses Problem nicht mehr, auch wenn ich nicht weiß auf welcher Seite das eigentliche Problem liegt.

STF

Oh, das klingt einfach. Also brauche ich vorher keine Einstellungen vornehmen, dass es so klappt?

Steht die Sach mit dem lokalen Profil löschen in den Sicherheitsrichtlinien, oder wo finde ich das?

Danke nochml :-)

STF

Hi,

also ich habe eine Frage: Ein Rechner aus einer Domäne soll temporär ausserhalb verwendet werden. Allerdings soll der Benutzer auch ausserhalb sein Profil verwenden können, welches allerdings Servergespeichert in der Domäne liegt.

Soweit ich das jedoch beobachtet habe, liegt auch eine lokale Kopie des Profils vor und sollte somit benutzbar sein...

Wie kann ich jetzt ohne die Anmeldeeinstellungen ändern zu müssen, den Rechner netzwerklos ausserhalb einer Domäne betreiben und dabei aber noch das Profil benutzen, welches auch innerhalb der Domäne benutzt wird?

STF

Hi,

also folgende Regeln für ICS:

- Es darf kein zweiter DHCP-Server im Subnetz laufen, das gibt Konfigurationsprobleme.

- Alle Clients, die über die ICS-Verbindung arbeiten sollen, MÜSSEN ihre IP-Informationen über DHCP beziehen, da die Internetverbindungsfreigabe einen DHCP-Server enthält, der aber nicht konfigurier bar ist.

Wenn du das beachtest, solltest du mit dn Clients auch ins Netz kommen.

STF

PS: ICS = Internetverbindungsfreigabe = Gemeinsame Internetverbindung

Oh vielen Dank, das hab ich irgendwie nicht finden können. Das hilft bestimmt.

Das mit der Anmeldung geht auch...

STF

Hi

sacht ma an, ist die Migration von 2000 Server auf 2003 Server problemlos per Update möglich? Oder zerhauts mir da die komplette Konfiguration?

Was sind dabei für Punkte zu beachten? Es läuft momentan nen DC, DNS, RRAS mit NAT, WINS und DHCP.

STF

Hi,

ich habe ein seltsames Problem. Und zwar habe ich vor einiger Zeit per DFS eine Freigabe erstellt um diese Funktion zu testen. Ich habe das dann auch erfolgreich eine Weile betrieben und habe dann wohl beim entfernen dieser Freigabe einen Fehler gemacht.

Jedenfalls ist jetzt noch der freigegebene Ordner vorhanden, die Freigabe darauf auch. Will ich die Freigabe im Explorer entfernen, schreibt er mir, ich müsse das unter der DFS-Verwaltung machen. Also starte ich diese, aber die findet meine Freigabe nicht.

Das wär alles gar nicht so schlimm, wenn ich dann wenigstens eine neue anlegen könnte. Aber bei jedem Versuch eben dies zu tun, schreibt er mir wiederum, eine Freigabe mit diesem Stammordner oder dieser Bezeichnung (sinngemäß) kann nicht doppelt vergeben werden.

Ich kann jetzt also nicht vor und nicht zurück :-( Gibt es da irgendwo eine generelle "Deinstallation" oder Reperaturfunktion für den DFS-Dienst?

Zweites Problem:

Ich habe jetzt eine ganze Weile das Forum durchsucht und keine definitive Antwort erhalten:

Ich möchte eine automatische Anmeldung eines Rechners an der Domäne haben, d.h. der Rechner sollte sich komplett ohne Benutzereinwirkung mit einem dafür vorgesehenem Benutzernamen an der Domäne anmelden. Geht das? Und wenn ja wie, und wenn nicht was habe ich für Alternativen?

STF

Von welchem Rechner aus versuchst du die VPN-Verbindung zu erstellen?

Nachdem du RRAS eingerichtet hast, dem Dienst "no-ip.com" deine IP übermittelt hast (mit dem Progrämmchen) lässt du den Server einfach online stehn.

Jetzt kannst du von dem einwählenden Client eine VPN-Verbindung zu "hansi.no-ip.com" aufbauen. Wenn das dann nicht geht und nicht an irgendeiner Firewall scheitert, wird es wohl an der ISDN Karte liegen. Obwohl die B1-Karten das eigentlich machen sollten.

Ich verstehe an deinem Post nicht "wenn ich vom Server mir ne VPN- verbindung auf z.b Hansi.no-ip.com mache"!

Was versuchst du da für eine Verbindung herzustellen?

STF

Nee leider nicht. Der Macht noch ganz viel annern Kram.

Ich hatte gedacht, vielleicht der angelegten Benutzergruppe "VPNUsers" (wo alle Einwählberechtigten Benutzer Mitglied sind)das Einwählrecht zu entziehen, leider geht das aber immer nur für einzelne Benutzer. Gibt es einen schnellen Weg vielleicht eine Richtlinie anzulegen oder zu aktiviern, den man vielleicht mit einfachem Doppelklick oder Script starten kann?

Stefan

Hi,

für euch sicherlich eine ganz einfache Frage, für mich im Moment eher ein Problem.

Ich möchte die VPN-Einwahl nicht auf Tages- oder Nachtzeiten einschränken, sondern per "Schalter" (Script o.ä.) aktivieren oder deaktivieren können.

Gibt es da schon eine state-of-the-art Lösung? Oder muss ich selbst was stricken?

Stefan

Hi,

gibts eine Möglichkeit den eingewählten VPN-Clienten im lokalen Netz ein Broadcast zu ermöglichen?

Hintergrund: Im lokalen Netz läuft ein Spiel-Server, auf den auch die eingewählten Leute über deren "Netzwerklobby" zugreifen können. Ich vermute diese Dinger funktionieren über Broadcast um alle offenen Server im LAN zu finden.

Wenn dem nicht so sein sollte, dann berichtigt mich bitte.

Umgebung: Server mit W2k-Server fungiert als DNS, WINS, DHCP ud VPN-Verteiler und Verwalter und Einwahl der Clients darauf klappt auch prima. Zugriffe der Clients über die IP der Rechner im lokalen Netz sind kein Problem, Zugriffe auf die Clients über deren Computernamen sind auch möglich.

Könnt ihr mir helfen? Das Netz ist momentan noch im Test-Stadium und kann daher noch teilweise geändert werden.

Stefan

Ich glaube schon, damit sollte es dann klappen *freu*

Ich berichte wenn ichs danngeschafft hab :-)

Das mit dem untätigen Rechner wär ne Idee, hoffentlich zählt dann das Aufnahmeprogramm zu den "Tätigkeiten" und der Rest nicht, so dass er dann nach 5 Minuten Untätigkeit einfach wieder in den Standby geht.

Das Aufnahmeprogramm beendet sich ja von selbst wenns fertig ist...

Ich werds mal probiern

Stefan

Also ich habe Win2k.

Und ich willd en rEchner nicht richtig runterfahren, sondern wieder zurück in den Standby befördern. Gibt es da vielleicht ein Programm was die Taskliste überwacht und wenn ein bestimmter Tast verschwindet die Kiste in den Standby schaltet?

Stefan

Hi,

ich hab jetzt im Forum alle Beitrage die ich zum Taskplaner finden konnte durchgelesen und keine Antwort auf meine Frage gefunden.

Ich habe hier einen Rechner stehen, der ab und an mal aus dem Standby kommen soll und eine Fernsehsendung aufnehmen soll. Das aufwecken per Taskplaner klappt prima, nur finde ich keine Möglichkeit nach Beenden des Tasks die Kiste wieder runterzufahrn...

Habt ihr da Ideen?

Stefan

Ich denke, wenn du auf jeden Rechner unterschiedliche Ports verwendest sollte das klappen.

Dazu musst du diese nur an den entprechenden Rechner weiterleiten. Bei ICS machst du das indem du auf die Freigegebene Verbindug gehst, dort Eigenschaften, dann gemeinsame Nutzung --> Erweitert --> Dienste und da erstellste Dir einen neuen Eintrag für jeden Port den du an einen Clienten weiterleiten willst. Ich hatte bei eDonkey drei (4662,4663,4665) weitergeleitet und der Esel lief damit prima.

Das schöne daran ist, du bist hier nicht auf die IP-Adresse des Clients angewiesen sondern kannst den Computernamen eingeben.

Wenn Du das für jeden "Dienst" und Rechner machst, wird die Liste zwar recht lang aber es sollte funktioniern.

MfG

_STF_

Hi grizzly,

war dir das zuviel oder hast du auch keine Idee?

Ich weiß langsam nicht mehr weiter. Vielleicht noch folgende Informationen:

Im WINS-Server sind alle Clienten mit Rechnernamen, Arbeitsgruppe und IP korrekt eingetragen. Im DNS nur die lokalen Rechner. Kann man das irgendwie noch beheben?

Stefan

Vielleicht wäre ne zweite Netzwerkkarte in diesem Klienten die einfachste Lösung, und dein anderes Netzwerk dann in einem anderen IP-Bereich.

Allerdings weiß ich nicht, ob welches System auch immer auf diesem Clienten ist, es auch mit den zwei verschiedenen Subnetzen klarkommt. DAzu erfährst du hier aber bestimmt noch von den anderen mehr.

STF