Win2003-Server als VPN-Server?

[IThome 10]

UDP 500 ist IKE und wird für IPSec bzw. L2TP/IPSec benötigt, das hat mit PPTP überhaupt nichts zu tun. Also leitest Du im Router TCP 1723 zur 192.168.1.4 und gibst im VPN-Client die Dyndns-Adresse des Routers an ?

[Squire 212]

Hi

 

schau mal in der Routerkonfiguration bei den Portweiterleitungen ob Du GRE oder GRE (47) findest. Alternativ nach Punkten wie PPTP Passthrouh oder VPN Passthrough

 

das wäre zu aktivieren - wie schon oben vorgeschlagen - wenn keiner der genannten Punkte oder Einstellungen zu finden sind ggf. Firmware Update durchführen und hoffen, dass die benötigten Funktionen implementiert wurden.

 

Alternativ einen anderen Router besorgen - in Deiner Konstellation am besten einen der das VPN terminiert sprich selber VPN Serverfunktionalität hat (Draytek oder Linksys mit DD-WRT z.B.)

 

BTW - kannst Du Dich vom internen Netz per VPN mit Deinem Server verbinden? So kannst Du erstmal eine Fehlkonfiguration des RRAS ausschließen

[IThome 10]

Das kann er, hat er aber auch schon geschrieben ... ;)

[R. Murphy 10]

Hi,

 

Zitat:

"Also leitest Du im Router TCP 1723 zur 192.168.1.4 und gibst im VPN-Client die Dyndns-Adresse des Routers an ?"

Genau so mache ich es. Ich habe auch bereits die aktuelle IP dem Client gegeben, leider auch ohne Erfolg.

 

Ich habe auf meinem Client Etherreal und mich bei einem anderem VPN angemeldet, anschließend das Ergebnis verglichen. Seltsamer weise sehe ich bei dem Versuch mich an dem Problem-VPN anzumelden noch nicht einmal den Request zu Port 1723. Auf der Firewall wird dieser Request aber geloggt. Bei dem funktionierendem VPN (kein W2K3) funktioniert das Handschake ohne Probleme und ist gut zu erkennen.

 

Laut Netgear ist der Router VPN fähig. Auf der Webseite steht, dass lediglich der Port TCP 1723 und 500 für die Weiterleitung aktiviert werden muss. Zwecks zentraler Benutzerverwaltung sollte der Endpunkt des Tunnels auf dem W2K3 liegen und nicht auf dem Router.

 

Bin heute und morgen den ganzen Tag unterwegs. Eventuell lässt sich das Problem ja am Montag lösen.

Bis dahin danke für eure Hilfe.

 

Ron

[goscho 11]

Laut Netgear ist der Router VPN fähig. Auf der Webseite steht, dass lediglich der Port TCP 1723 und 500 für die Weiterleitung aktiviert werden muss. Zwecks zentraler Benutzerverwaltung sollte der Endpunkt des Tunnels auf dem W2K3 liegen und nicht auf dem Router.

Welchen Netgear-Router setzt du denn genau ein?

 

Wenn dieser VPN kann, so ist er auch als VPN-Endpunkt einrichtbar, was du aber nicht möchtest.

 

Darüberhinaus sollte er auf alle Fälle VPN-Passthrough beherrschen. Das wurde dir schon vorgeschlagen. Hast du dies eingeschaltet?

 

Sollte unter "Rules" einstellbar sein.

 

Laut Netgear ist der Router VPN fähig. Auf der Webseite steht, dass lediglich der Port TCP 1723 und 500 für die Weiterleitung aktiviert werden muss. Zwecks zentraler Benutzerverwaltung sollte der Endpunkt des Tunnels auf dem W2K3 liegen und nicht auf dem Router.

 

Hast du dies (TCP 1723 und UDP 500) unter: Rules -> Inbound Services hinzugefügt?

[IThome 10]

Wozu UDP 500, er hat die L2TP-Ports alle abgeschaltet ...

[goscho 11]

Wozu UDP 500, er hat die L2TP-Ports alle abgeschaltet ...

Hi IThome,

 

ja, bitte helf mir. Ich habe VPN benutzerdefiniert hinzugefügt und die Anzahl der Ports für L2TP auf 0 gesetzt, da ich PPTP nutzen möchte.

 

Sorry, habe ich überlesen. Stimmt, UDP 500 braucht er somit nicht.

[IThome 10]

Ich glaub, das ist der Router ...

[R. Murphy 10]

Hi ich habe soeben eine AVM-Fritz Box als Router/ Modem verwendet. Leider auch ohne Erfolg. Natürlich habe ich vorher den Port 1723 für den w2k3 freigegeben.

 

:confused:

[IThome 10]

Intern funktioniert es jetzt oder nicht ? Was gibst Du beim VPN-Client als Ziel ein ?

[Steven2007 10]

Hallo,

 

hast du denn auf deinen Routern auch eine Weiterleitung mit NAT eingerichtet? Also dass du sagst: "Alle Anfragen an Zielport 1723 weiterleiten an Server 192.168.1.4" ? Sonst lässt der Router die Anfragen zwar durch, aber sie landen im Nirgendwo, da ja dein Server nicht direkt adressiert wird.

Allerdings spricht das wieder gegen diese Fehlerquelle:

Zu meiner Überaschung: JA! Eine verbindung mit Telnet aus dem INTERNET auf ServerIP 1723 funktioniert aber auch

Eventuell antwortet hier aber auch der Router und nicht der Server... knifflig :) Um das herauszufinden, müsstest du mal kurz die Windows Firewall anschalten und port 1723 sperren, um zu sehen, ob du dann aus dem Internet immer noch ne Antwort bekommst. Achja: Hast du diesen telnet aus dem LAN hinter dem Router abgesetzt? Wenn ja kann das auch eine Fehlerquelle sein. Das Gleiche gilt, wenn du aus dem LAN raus über den Router und dann wieder rein die VPN Verbindung aufbauen willst! Das solltest du auf jeden Fall mit einem anderen Internetzugang testen, der Router kriegt das nämlich nicht gebacken (gleichzeitig raus und rein)!

 

Ansonsten könnte es halt schon am Passthrough liegen...

Falls deine Router auch als VPN Endpunkte dienen können deaktiviere mal alles, was mit VPN zu tun hat (das ist bei meinem Draytek auch so, der hat halt kein Häckchen fürs Passtrough, sondern da muss mans so machen).

 

Beste Grüße

[Leuchtkondom 17]

wenn dein router das gre protokoll nicht unterstützt kannst du versuchen einfach port 47 noch an den server weiterzureichen! bei meiner nachbarin hat das auch geklappt obwohl ich kein gre protokoll ode rähnliches wählen konnte

[R. Murphy 10]

Hi all,

 

ja, intern funktioniert es immer noch. Hier nutze ich die private IP des Servers im VPN-Client und mit Telnet.

 

Zum Testen vom Internet aus wähle ich mich via ISDN bei einem anderen Provider ein und ziehe das LAN-Kabel bei dem Client Rechner.

Port 47 habe ich ebenfalls bei meinem heutigem Test freigegeben.

Die Resultate sind unverändert: Telnet funktioniert, VPN-Client nicht. Bei Telnet kann ich die offene Verbindung auf dem Port 1723 sehen und finde auch die IP des Clients wieder. Dazu nutze ich das Tool CurrPorts das ist komfortabler als Netstat. Bei dem Versuch mit dem VPN-Client aber nicht. Im LAN kann ich nach erfolgreicher Verbindung die VPN-Verbindung sehen.

Übrigens die Server Firewall läst sich nicht starten, da NAT aktiviert ist.

Meiner Meinung nach liegt das Problem am Server.

 

Hier noch einmal eine Zusammenfassung:

Der Server hat nur eine Netzwerkkarte und soll als Endpunkt eingehender VPN-Tunnel dienen. Der Router ist laut Hersteller (Netgear FR114P) VPN-Passthrough fähig.

Der Port ist aus dem Internet sichtbar. Wenn der Server in der DMZ steht, funktioniert ein Verbindungsaufbau ebenfalls nicht.

Eventuell muss ich ja an der NAT-Konfiguration des Servers noch etwas ändern?

 

Bis dahin danke für Eure Hilfe.

 

Ron

[IThome 10]

Der Server hat nur eine Karte und NAT ist aktiviert (ich denke eher, dass die Basisfirewall an ist) ? Überprüfe das mal in der RRAS-Konsole, ob das tatsächlich so ist. Wenn ja, dann entferne NAT ...

[dischel 10]

gucke mal hier:

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials