Win2003-Server als VPN-Server?

[whiggy 10]

Hi Leute!

 

Ich habe folgende Frage:

ICh möchte einen Win2003 Server als VPN Server einsetzen. Allerdings wenn ich unter Routing und RAS den VPN Gateway aktivieren will, wird nach 2 Netzwerkkarten verlangt.

 

Aber ich brauche ja keine 2 Netzwerkkarten um einfache VPN Verbindungen eingehend zuzulassen. (Das geht sogar mit ganz normalen WinXP.)

 

Also, ich will den Server nicht als Router einsetzen sondern nur eingehnde VPN Verbindungen zulassen. Das Routing übernimmt eine Firewall.

 

Was mache ich falsch?

[heinie01 10]

hi whiggy,

 

> Was mache ich falsch?

nichts!

 

dein server verlangt nach einer externen karte (öffentliche zugängliche ip) und einer internen karte für den internen adresskreis. das war's schon...

[Kegol 10]

Genau!

 

@whiggy

 

Was soll den der VPN-SERVER mit der eingehenden Verbindung machen? Wenn du ihm keine zweite Netzwerkkarte gibst, dann kommt zwar eine Verbindung zustande, aber du kannst dich nicht mit mit deinem Domänenkonto anmelden, weil keine Verbindung zur Domäne besteht.

 

Ansonsten kannst du mit nur einer Netzwerkkarte nur einen VPN-Client darstellen.

 

Grüße

 

Kegol

[grizzly999 11]

Man kann den VPN Server auch mit nur einer NIC einrichten. Dazu im ersten Auswahlfenster des Wizards auf "Benutzerdefiniert" gehen, und dann im nächsten Auswahlfenster DFÜ, danach VPN auswählen ;)

 

grizzly999

[Squire 211]

Grizzly hat recht - geht ohn Probleme ...

 

inwieweit es sinnvoll ist den W2k3 als Tunnelendpunkt mit einer Nic laufen zulassen steht auf einem anderen Blatt

[R. Murphy 10]

Hi,

 

ich denke ich habe hier etwas nicht verstanden. Ich versuche das Gleiche, mein W2K3 hängt mit nur einer LAN-Card im LAN. Das LAN ist mit einem Netgear Firewall Router an das Internet gekoppelt. Nun habe ich auf der Firewall den Port 1723 für die lokale IP meines Servers freigegeben. Mein Server ist nun auf diesem Port im Internet erreichbar. Nun möchte ich einen VPN-Tunnel vom Internet durch die Firewall zu meinem Server aufbauen, um von dort alle anderen IPs im Netzwerk zu erreichen. Dies muss doch mit nur einer physikalischen Netzwerkkarte möglich sein.

 

Danke

 

Ron

[IThome 10]

Du musst im RRAS die benutzerdefinierte Konfiguration wählen, dann klappt das auch. Es werden dann die benötigten Ports erzeugt. Die Konfiguration bezüglich RAS-Richtlinien, Adressbereich usw. müssen dann händisch vorgenommen werden ...

Welches Problem hast Du eigentlich ? Weisst Du nicht, wie der RRAS konfiguriert wird oder funktioniert der Zugang trotz konfiguriertem RRAS nicht ?

[R. Murphy 10]

Hi IThome,

 

ja, bitte helf mir. Ich habe VPN benutzerdefiniert hinzugefügt und die Anzahl der Ports für L2TP auf 0 gesetzt, da ich PPTP nutzen möchte. In der IP-Adresszuweisung habe ich 21 Adressen aus dem LAN für die Zuweisung an VPN-Clients reserviert. Trotzdem bekomme ich bei dem Versuch mich einzuwählen, am Client, die Meldung "Connecting to [serverDNSName]... Error 678: There was no answere:". Der request wird aber von der Firewall an den Server weitergegeben und ein Scann aus dem Internet zeigt mir auch den freigegebenen Port. In den Events kann ich aber keine Probleme finden.

 

Ron

[IThome 10]

Kannst Du Dich von innen mit dem Server verbinden (einfach eine VPN-Verbindung auf einem Client erzeugen und die LAN-Adresse des Servers als Ziel angeben) ?

[R. Murphy 10]

Zu meiner Überaschung: JA! Eine verbindung mit Telnet ServerIP 1723 funktioniert aber auch:confused:

[R. Murphy 10]

Korrektur:

Zu meiner Überaschung: JA! Eine verbindung mit Telnet aus dem INTERNET auf ServerIP 1723 funktioniert aber auch

[IThome 10]

TCP 1723 ist nicht alles, was man für PPTP benötigt. Wichtig ist IP-Protokoll 47 (GRE), was der Netgear passieren lassen muss. Suche in seiner Konfiguration mal nach einem Punkt der VPN-Passthrough oder ähnlich heisst. Alternativ kannst Du auch mal die IP-Adresse des Servers als DMZ-Host (oder wie auch immer das bei dem Netgear heisst) konfigurieren und testen (NUR TESTEN!). Ein weiterer Knackpunkt ist eine eventuelle Dyndns-Konfiguration. Ist die angesprochene Adresse, die von Dyndns zurückgeliefert wird, überhaupt die derzeit gültige ? Bei fester, öffentlicher IP-Adresse spielt das natürlich keine Rolle ...

[R. Murphy 10]

Der DMZ-Versuch ist auch fehl geschlagen. Die IP vom DyDNS stimmt. Ich werde weiter nach GRE suchen.

[IThome 10]

Oder VPN-Passthrough, PPTP-Passthrough oder ähnlich. Eventuell auch ein Firmwareupdate des Routers. Vielleicht liegt es auch an der Clientseite, weil der kein Outbound-PPTP machen darf. Wie ist die interne Adresse des Routers und wie lautet die Umleitung auf dem Router ? Nach GRE würde ich jetzt noch nicht suchen, da die Fehlermeldung darauf schliessen lässt, dass der Server gar nicht erreichbar ist. GRE kommt erst nach dem Initialaufbau zum Tragen ...

[R. Murphy 10]

Ich habe auf den Netgear Seiten etwas geforscht und festgestellt, dass ich auch port 500 an der Firewall freigeben muss. Leider hat dies auch nicht zum gewünschtem Ergebnis geführt. Ich nutze im LAN feste, private IPs eines Class-C. Der Router hat die .1 und der Server die .4.