Jump to content

w2k3 Server VPN mit 2 Netzwerkkarten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Habe hier einen DC mit AD aufgesetzt, der zusätzlich noch VPN zugänge über unseren Internetzugang zulassen soll (DSL mit einem Bintec-Router).

Bei der Einrichtung von RRAS ist mir der Hinweis entgegen gekommen, das ich (sinngemäß) für VPN nicht die selbe netzwerkkarte verwenden könne wie für das LAN.

Also habe ich eine zweite Netzwerkkarte hineingesteck, und sie auch an den Switch gehängt.

 

die Netzwerkkarten haben folgende IP´s:

192.168.60.11 -> für LAN

192.168.60.13 -> für VPN (habe ich mir so gedacht...???)

die sich über den Router (interne IP 192.168.60.199) einwählenden VPN Clients werden vom Router per Portforwarding (TCP 1723, UDP 1723 und GRE 1723 auf die selben Ports und Protokolle des VPN Servers auf die IP 192.168.60.13 weitergeleitet. Vom Server bekommen sie eine IP im Bereich 192.168.62.1-254

 

Soweit zur Hardware. Nachdem ich die zweite Netzerkkarte eingebaut habe, konnte ich die 192.168.60.11 nicht mehr anpingen. Nach dem Ausstellen der Automatischen Metrik (IP-Konfig. der Netzwerkkarte) ging das wieder. Was muss ich bei der "VPN"-Netzwerkkarte bei "Default Gateway" und DNS Eintragen? Kann es daran liegen, das ich keine VPN Verbindung herstellen kann?

 

Danke für eure Hilfe Kommentare!

 

Gruß, Georg Neumaier

Link zu diesem Kommentar

Habe die IP von der zweiten netzwerkkarte auf 192.168.62.1 geändert und den an die Clients zu vergebenden IP Bereich natürlcih auch verändert (10-254)

 

Die Einstellungen im Router habe ich auch alle geändert.

 

funktioniert aber immer noch nicht...

 

Mit dem Windows 2000 rechner habe ich bei früheren versuchen eine andere Fehlermeldung (721) bekommen als jetzt mit dem 2003er Server (678)

 

genaugenommen steht folgendes im Router:

PPTP Passtrough -> Yes

configuration for sessions : requested from OUTSIDE:

1723/gre ia 192.168.62.1/32, ep 1723, ip 1723

1723/tcp ia 192.168.62.1/32, ep 1723, ip 1723

1723/udp ia 192.168.62.1/32, ep 1723, ip 1723

domain/tcp ia 192.168.62.1/32, ep 53, ip 1723

 

das sollte doch beim Router alles sein...

 

als benutzer habe ich den Admin für VPN berechtigt, weil ich ja noch keine User anlegen kann... (andere Baustelle... :-( )

 

Georg Neumaier

Link zu diesem Kommentar

Habe den Netzwerkmonitor gerade nachinstalliert.

Kann damit aber irgendwie nicht richtig umgehen...

Habe die Netzwerkkarte gewählt, der ich die IP für VPN gegeben habe und das capturing gestartet. Kann den netzwerkverkehr nicht richtig deuten. Was muss ich bei den Filtern einstellen, um mir nur die für mich interessanten Pakete anzeigen zu lassen?

Bei station 1 und station 2?

mal schauen ob ich es morgen früh hinbekomme...

 

chachap

Link zu diesem Kommentar

Moin!

 

Der Netzwerkmonitor von w2k3 ist mir zu hoch...

Habe mir den ethereal Netzwerkmonitor runtergeladen und installiert. Ziemlich viel traffic bei uns im netz...

Leider bin ich nicht fähig mir einen filter zu schreiben, der nur alle pakete zwischen dem router (192.168.60.199) und meinem VPN Server auf der 2.ten Netzwerkkarte (192.168.60.13) anzeigt. In der Hilfe steht, das die notation die selbe ist wie bei TCPDUMP...

Leider habe ich keine Ahnung wie das gehen soll... :confused:

Kann mir da jemand unter die Arme greifen?

 

Danke!

 

Gruß, Chachap

Link zu diesem Kommentar

Habe mal probiert folgendes bei dem capture filter einzugeben:

tcp.port == 1723

 

Habe mir das bei den Display Filtern, Add Expression zusammengestellt. Sollte doch bedeuten, das ich alle Pakete von und zum Port 1723 mitschneiden will.

 

Leider bekomme ich dann die Fehlermeldung:

Unable to parse filter string (parse error)

 

Was mache ich falsch?

Link zu diesem Kommentar
  • 4 Wochen später...

Hallo, habe gerade Deine Beiträge gelesen, ich ein ähnliches Problem.

Zuerst aber noch ein Hinweis für Dich:

1. Wenn Dein Switch kein vpn unterstützt mußt Du die VPN-Netzwerkkarte direkt an den DSL-Router patchen, sonst passiert erst mal garnichts!

2. Arbeite bei Testverbindungen nie als Admin, erstelle Dir erst mal einen normalen User, der einwählen darf mittels AD oder so.

 

Falls Du deine VPN Verbindung mittlerweile aufbauen kannst, und alles stabil läuft, könntest Du vielleicht noch mal eine Beispielkonfiguration posten? Meine VPN Verbindung kann zwar aufgebaut werden, aber der ExchangeServer verabschiedet sich in unregemäßigen Abständen und funktioniert nach einem Neustart wieder einwandfrei. Leider konnte ich dieses Problem noch nicht loggen.

Link zu diesem Kommentar

Hallo!

Mein Problem hat sich sozusagen in Luft aufgelöst. Nach einem längeren Gespräch mit dem Microsoft Support hat sich folgendes herauskristalisiert:

 

Ein DC, der 2 Netzwerkkarten hat, würde per DNS Server immer beide Netzwerkkarten im lokalen Netz registrieren. Bedeutet, wenn ein Client vom DNS Server die IP Adresse vom DC haben will um sich anzumelden, bekommt er wahlweise eine von den beiden IP Adressen der eingebauten Netzwerkkarten. Da diese in unterschiedlichen Subnetzen sind, würde ein Client seinen DC nicht finden. Man kann die Einträge entweder für ALLE Netzwerkkarten oder für KEINE Netzwerkkarte deaktivieren! Leider nicht seperat.

 

Der Microsoft Support sagt, das wäre bei Windows 2000 schon so gewesen und der Code hätte sich beim 2003 Server nicht geändert (hat bei jemandem mit code-zugriff gefragt). Es wären aber Anfragen für eine Änderung da, um das EVENTUELL :rolleyes: zu ändern.

 

Mir wurde geraten einen seperaten VPN Server aufzusetzen. Da solle ich dann einen IAS-Server installieren. So die Empfehlung vom Support.

 

Hoffe einigen damit geholfen zu haben.

 

@linuxchristoph:

Hmmm, warum sollte ein 3COM 24 Port 19" Switch (ich glaube "SuperStack II" oder so ähnlich) kein VPN unterstützen? :confused:

 

Gruß, Chachap

 

PS: Hier die Zusammenfassung vom Microsoft Support:

 

Eine einzelne Konfiguration der dynamischen DNS Registrierung auf Netzwerk Adapterbasis ist genau wie bei Windows 2000 auch bei Windows 2003 bei Domänen Controllern nicht möglich. Man kann nur alle Registrierungen oder die Netlogon A Eintragsregistrierung deaktivieren, was aber mit einem enormen manuellen Aufwand verbunden ist. Daher empfehle ich Ihnen den DC nicht multihomed zu gestallten, sondern einen weiteren RRAS (VPN) Server mit zwei Netzwerkkarten auszustatten, der dann nur Member Server der Domäne ist. Dies ist auch aus Sicherheitsaspekten zu empfehlen.

Link zu diesem Kommentar

Netlogon Service (Domain Controller Only)

-----------------------------------------

 

By default, Netlogon registers certain SRV, CNAME, and A records every hour even if some or all of these records are correctly registered in DNS. The list of records Netlogon attempts to register is stored in the %SystemRoot%\System32\Config\Netlogon.dns file. This log file lists records that are required to be registered for this domain controller.

 

Netlogon does not provide a mechanism to control registrations it performs on a per-adapter basis. This section describes how to enable/disable the following items:

 

- All registrations

 

- Netlogon A registrations

 

 

All Registrations

-----------------

 

To disable all registrations performed by Netlogon, use the following registry key (a restart of the Netlogon service is required, although a reboot is preferred):

 

UseDynamicDns

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

 

 

Data type: REG_DWORD

 

 

Range: 0 - 1

 

 

Default value: 1

 

 

This determines whether the Netlogon service on this domain controller

 

uses DNS dynamic updates. Netlogon can use DNS dynamic updates to

 

register DNS names identifying the domain controller. DNS dynamic updates provide automatic updates of zone data, such as DNS names, on the zone's primary server whenever an authorized zone server requests an update. It supplements the static, manual method of adding and changing zone records. The DNS dynamic update protocol is defined in RFC 2136.

 

Value Meaning

---------------

 

0 Netlogon does not use DNS dynamic updates. Records

 

specified in the Netlogon.dns file must be registered

 

manually in DNS.

 

1 Netlogon uses DNS dynamic updates to register

 

the names identifying this domain controller.

 

 

You might consider disabling Netlogon's use of DNS dynamic updates if your DNS servers do not support DNS dynamic updates or to eliminate the network traffic associated with periodic registration of Net Logon's DNS records.

 

This entry is supported on domain controllers only.

 

Windows 2000 does not add this entry to the registry. You can add it by editing the registry or by using a program that edits the registry.

 

To make the changes to this value effective, delete "%SYSTEMROOT%\system32\config\netlogon.dnb", and then restart the Netlogon service. A restart of Windows 2000 is preferred.

 

 

Netlogon A Registrations

------------------------

 

By default, Netlogon on a domain controller registers SRV, domain A, and GC (Global Catalog) A records every hour. SRV records are mapped to a FQDN and A records are mapped to an IP address.

 

Registration of domain A records for all adapters by Netlogon and subsequent re-registration every hour (by default) can be problematic if clients resolve the domain name to an unreachable IP address.

 

The following registry key enables/disables the registration of A records by Netlogon for a domain controller. The domain A records are not required by Windows 2000, but are registered for the benefit of Lightweight Directory Access Protocol (LDAP) implementations that do not support SRV records.

 

Note that this registry key disables all A record registrations performed by Netlogon, which includes the gc._msdcs.<DnsForestName> records. Registration of gc._msdcs.<DnsForestName> records is required and must be performed manually if the RegisterDnsARecords registry key is set to disabled.

 

For additional information, click the article number below

 

to view the article in the Microsoft Knowledge Base:

 

KBLink:258213.KB.EN-US: Registration of gc._msdcs.DnsForestName Records

 

Is Required

RegisterDnsARecords

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

 

 

Data type: REG_DWORD

 

Range: 0 - 1

 

Default value: 1

 

This determines whether this domain controller registers DNS A (IP address)records for the domain. If this domain controller is a global catalog resource, this entry also determines whether the domain controller registers DNS A records for the global catalog.

 

 

Value Meaning

---------------

 

0 Does not register DNS A records. LDAP implementations

 

that do not support SRV records will not be able to

 

locate the LDAP server on this domain controller.

 

1 Registers DNS A records.

 

 

NOTE: This entry is used only when it appears in the registry of a domain controller. You might consider setting this value to 0 if DNS does not complete its dynamic updates because it cannot update A records. DNS stops updating when an update attempt does not succeed.

Link zu diesem Kommentar

Moin, moin nochmal.

Hatte ja schon berichtet, dass ich ein ähnliches Problem habe.

Ich habe mal etwas neues getestet.

Mein Server sieht so aus:

Mein Netzwerk läuft in einer 255.255.255.0/27 Subnetzmaske

Ich habe allen Rechnern eine eigene IP zugeordnet also kein DHCP intern aufgesetzt.

 

interne Netzwerkkarte:

IP 192.168.0.29

SUB 255.255.255.224

GW 192.168.0.30

DNS 127.0.0.1

 

externe Netzwerkkarte (direkt am DSL-Router gepatched):

IP 192.168.0.27

SUB 255.255.255.224

GW 192.168.0.30

DNS 192.168.0.27 -> wie Du schon beschrieben hattest (oder Microsoft) werden beide zum DC registriert

 

Routing und RAS:

Adressbereich 192.168.0.22 - 192.168.0.26

 

VPN - Clients:

steht alles auf automatisch

 

Diese Konfiguration läuft bisher sehr stabil, bin aber noch nicht überzeugt davon, ob dies der Königsweg ist.

 

Vielleicht gibt es ja noch bessere Lösungen außer natürlich der Microsoft Lösung.

Link zu diesem Kommentar
  • 1 Monat später...

Hallo!

Ich bin jetzt der Empfehlung des Microsoft Supports gefolgt, und habe einen dedizierten VPN Server aufgesetzt.

 

So sieht jetzt die Konfiguration aus:

drei w2k3 Server im AD:

1. DC, DNS, FILE 192.168.60.11

2. 2nd DC, FILE 192.168.60.12

3. VPN 192.168.60.13 und eine zweite Netzwerkkarte mit 192.168.61.1

 

Der Router hat die IP 192.168.60.199

Diese ist bei allen Clients und Servern (auser VPN Server) als Standard Gateway eingetragen.

 

Router Config:

PPTP Passtrough -> Yes

configuration for sessions : requested from OUTSIDE:

1723/gre ia 192.168.61.1/32, ep 1723, ip 1723

1723/tcp ia 192.168.61.1/32, ep 1723, ip 1723

1723/udp ia 192.168.61.1/32, ep 1723, ip 1723

domain/tcp ia 192.168.61.1/32, ep 53, ip 53

 

Alle Server, Clients und der Router (Bintec X3200) hängen an einem 3com 24 Port Switch.

 

Der Router ist von aussen per DynDNS erreichbar. (ping)

VPN Verbindungen sollten nun an den VPN Server weitergeleitet werden.

Der VPN Server soll den VPN-Benutzer im AD authentifizieren und dann registrieren. so das alle Freigaben und AD Resourcen dem VPN-User zur verfügung stehen.

 

Leider scheitert es bereits an der Verbindung. (Fehler 678)

 

Hat jemand eine Idee, was ich mal testen sollte?

Oder eine Änderung der Gesamtkonfiguration?

Den VPN-Server kann ich (meines wissens) leider nicht zwischen den Router und das Lan hängen, da die Klients auch den virtuellen CAPI-Port des Routers nutzen müssen.

 

Gruß, Chachap

Link zu diesem Kommentar
Original geschrieben von grizzly999

VPN-Netz (zum Router hin) und LAN sollten in zwei verschiedenen Netzwerken sein. Mit den Adressen, die du für die zwei Karten vergeben hast, ist das nicht der Fall.

 

grizzly999

 

Wären dies zwei verschiedene?

 

1. 10.0.0.140

2.10.10.10.1

 

Ich habe ein ähnliches Problem, ich will mich ins Internet einwählen, was leider nicht ganz funktioiert!

Einstellungen:

1. netzwerkkarte zum DSL Modem:

IP:10.0.0.140

Sub:255.255.255.0

 

2. Netzwerkkarte internes netzwerk:

IP:10.10.10.1

Sub:255.255.255.0

 

 

Nun habe ich eine DFü Verbindung über VPN erstellt

 

Ziel: 10.0.0.138 (ist ds DSL-Modem)

IP: Automatisch

DNS:195.3.96.67

 

Nachdem ich nun sage er soll mich verbinden arbeitet er zwar, kann jedoch die Verbindung nicht herstellen, obwohl ich sie anpingen kann (Fehler 800 angezeigt).

 

Darauf hin wurde mir gesagt, ich sollte erneut den Server installieren und die Standard einstellungen installieren lassen.

Nun geht es aber immer noch nicht. Hat einer eine Idee?

 

Danke im voraus

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...