VPN-Server Probleme mit Zugriff

[mbrauer 10]

Hallo,

 

ich habe einen Windows 2000 Server-Netzwerk mit Win2000

Server, einer Netzwerkkarte und einem DSL-Router.

Ich habe die RAS/ROUTING funktion eingerichtet.

Habe mich durch das Menü gehangelt und alles eingerichtet.

Wenn ich nun versuche intern im LAN eine VPN-Verbindung

zum Server herzustellen funktioniert alles Einwandfrei.

Zugriff möglich.

Wenn ich aber Versuche aus dem Internet zuzugreifen, dann

bleibt mein VPN-CLient beim Dialog "Benutzername und

Kennwort werden überprüft" stehen. Irgendwann kommt es

dann zum Timeout.

DSL-Router hat eine Firewall wo ich den Port VPN (TCP

1723/1723) freigeschaltet habe.

Kann es sein das im Routing noch was falsch ist.

 

Was kann ich noch machen ???

Wer hat eine Idee, bitte um Hilfe

.

[martin_F2000 10]

hmmm....

so genau habe ich auch keine ahnung von vpn aber ich hab mal gelesen, dass wenn man von außen her auf einen rechner im lan zugreifen will, man sich ja zweimal anmelden muss. Einmal brauchst du eine anmeldung am vpn server oder router oder wie auch immer und dann noch die anmeldung mit benutzernamen und kennwort am rechner, ich denke mal als admin.

VPN ist eh so ne komplexe sache, da gibts tausende von einstellungen und möglichkeiten die man beachten muss

 

Gruß Martin

[Nonaminus 10]

Hi,

 

der Port 1723 ist schon OK. Welche Protokolle lässt du denn durch? Du brauchst eine Weiterleitung für GRE. TCP oder UDP reichen da nicht.

 

Wenn dein Router das nicht kann, dann schau mal, ob er DMZ kennt. Da gibt er dann alles an den Server weiter. Und dann solltest du eine Firewall (NEIN! Keine Personal Firewall) in Betracht ziehen.

 

 

Log doch mal mit, was von aussen auf deinen Server kommt.

 

NN

[edv-olaf 10]

Hallo,

 

der Router muss Passthrough beherrschen, dann funzts.

 

Grüße

Olaf

[martin_F2000 10]

wichtig ist auch das dein router PPT Protokoll unterstützt, sonst wirds nix....

 

Gruß Martin

[mbrauer 10]

Ich kann ja auch andere Dienste realisieren, z.B. Webserver (Port 80), Terminalserver (Port 3389), und vieles mehr.....

Das Problem an dieser Stelle ist nur das ich den VPN-Dienst nicht nutzen kann. Ich habe auf dem Router den Port TCP 1723 freigeben und auf den Server gelenkt. Konnte mir den Empfang der IP-Pakete durch Ethereal (Tracer) bestätigen lassen. Habe gesehen das ein SYNC zum Server gesendet wird. Dann meldet der Server sich auchmit einem ACK zum Anfragenden Client zurück. Beim Client ist dies zu sehen anhand das von "Verbindung wird aufgebaut.." und dann der Wechsel zum "Benutzer und Passwort werden überprüft....".

Also muß eine Kommunikation stattgefunden haben.

Das heißt doch das der Router bzw. Firewall zunächst mal alles richtig macht. Bei PPTP ist es doch soviel ich weiß auch nicht notwendig noch mehr Ports freizugeben. Wofür brauche ich dann eine Weiterleitung für GRE (Beitrag von Nonaminus) ?????

 

Habe auch noch auf der Microsoft Page gelesen das es notwendig ist eine Statische Route einzurichten. Wer kann mir hierzu mehr sagen.

 

Hier nochmal die Fakten zusammengefasst:

 

1) Im Internen LAN (Gleiches Subnetz) funktionert das VPN

2) Vom Internet heraus gehts nicht (Anderes Subnetz)

3) Port TCP 1723 ist geöffnet

4) Wenn ich den Server direkt über RAS/ROUTING mit einer Schnittstelle über DFÜ (PPOE) und dann DSL Modem Verbinde klappt der VPN Zugang auch.

 

Das kann eigentlich nur was mit dem RAS/ROUTING Einstellungen zu tun haben. Wer kennt sich im RAS und ROUTING Bereich sehr gut aus und kann mit Tips geben.

 

Vielen Dank an alle die mir bisher geholfen haben.

[TiTux 10]

Servus,

 

also als erstes solltest Du in Erfahrung bringen, ob Dein Router Pass-Through beherrscht. Das benötigst Du, wenn NAT mit im Spiel ist, für PPTP sowie auch für IPsec. Nicht jeder Router kann das.

 

Dann mußt Du, wie bereits gesagt, den Port 1723 auf Deinen Ras-Server weiterleiten, sowie das in PPTP intergrierte GRE-Protokoll mit Port 47.

 

Hier noch was zu PPTP und GRE:

 

PPTP, dieses Protokoll kapselt die verschlüsselten Nachrichten in einem Standard-PPP-Rahmen und nutzt ein spezielles Protokoll namens GRE (Generic Routing Encapsulation). Das GRE-Paket wird über das Internet mit IP übertragen. PPTP benötigt zwei Datenströme: einen Kontrollkanal, der über den TCP-Port 1723 verhandelt wird und über den die VPN-Verbindung eingerichtet und beendet wird und ein Tunnelkanal für die Kommunikation über IP, wobei die verschlüsselten Daten mit dem Protokoll 47 (das Protokoll GRE) übertragen werden.

 

Gruß TiTux

[mbrauer 10]

Hallo,

 

mein Router/Firewall (Produkt D-Link DI-614+) unterstützt Pass-Through. Habe in der Produktbeschreibung nachgeschaut !

 

Wie ist dies jetzt genau zu konfigurieren ?

 

- Der Port 1723 wird in der Firewall geöffnet !

- Der Port 1723 wird als Virtual Server an VPN Server geleitet !

- Der Port 47 wird in der Firewall geöffnet ?!?!!?!?

- Der Port 47 wird als Virtual Server an VPN Server geleitet ?!?!?

 

 

Was ist sonst noch zu beachten ?

Wie ist der Dienst RAS/ROUTING einzurichten ???

[TiTux 10]

Hi,

 

hier ist ein LINK

 

von der http://www.msisafaq.de Seite. Dort wird der Aufbau eines VPN Servers Anhand eines ISA Servers beschrieben. Die RAS Einstellungen kannst Du auch von dort übernehmen.

 

Ciao TiTux

[grizzly999 11]

Wieder mal ein ein Falschinfo im Thread. Um die verschlüsselten GRE-Pakete weiterzuleiten muss auf dem Router NICHT der PORT 47 weitergeleitet werden, sondern die PROTOKOLLKENNUNG 47. Viele Router tun das ohne weitere Konfiguration, bei anderen muss man es vielleicht einrichten, aber bitte keinen Port 47 weiterleiten :(

 

grizzly999

[TiTux 10]

Servus,

 

auch wenn es sich bei GRE um keinen Port sondern um ein Protokoll handelt, so muss man ihn doch in seinem Paketfilter als Port weiterleiten. Ist immer wieder ein wenig verwirrend.

 

Ciao TiTux

[grizzly999 11]

Wie will ich ein Paket an eine TCP/UDP-Port weiterleiten, das gar keinen TCP- oder UDP-Header hat

 

grizzly999

[mbrauer 10]

Wir haben jetzt lange über Protokolle geredet und geschrieben.

Ich bin aber noch kein Stück weiter.

 

Ich möchte jetzt gerne wissen was ich einzustellen habe.

 

Ich habe: DSL-Modem von DTAG, D-Link Router DI-614+, Server Windows 2000.

 

Wie ist nun der DI-614+ einzustellen ?

Und wie vor allem ist der Server zu konfigurieren ?

Am meisten liegt mir die Konfiguration des Dienstes

RAS & ROUTING am Herzen.

[martin_F2000 10]

@ TiTux

 

Der Link ist echt gut, da kann man mal nachlesen

Guter Tipp Danke

[TiTux 10]

@mbrauer: Dafür ist doch der Link, damit Du Dir die RAS Einstellungen dort anschauen kannst. Lass Dich nicht von der ISA Installation ablenken, schau Dir nur den Part an, wo RAS eingerichtet wird. Schau in Deiner Rouerconfig nach, ob Du Pass-Through explizit freischalten musst.

 

@grizzly999: Okay, andere Formulierung: Das Protokoll GRE hat nichts mit einem Port zu tun und muss daher auch nicht weitergeleitet werden, evtl. muss es aber auf dem Router/FW „freigeschaltet“ werden. So müsste es jetzt passen ;)

 

Gruß TiTux

 

@martin_F2000: Bitteschön :cool: