Jump to content

Windows Server 2019 VPN hinter FritzBox 7590 an Deutsche Glasfaser Business Anschluss


Recommended Posts

Hallo zusammen,

 

vorab ich suche jetzt schon mindestens 2-3 Wochen effektiv nach einer Lösung und habe schon mehrere Ansätze verfolgt. Ich bin kein gelernter ITler aber interessiere mich seit meiner Kindheit (also mittlerweile rund 18 Jahre) für dieses Thema und mache sehr viel via learning by doing. Ich habe mich nie auf etwas festgelegt bevorzuge aber die Webentwicklung, stelle mich allerdings gerne jeder Herausforderung. Des Weiteren ist zu erwähnen, dass der Server, um den es hier gerade geht nicht im Produktivsystem ist, sondern eine Kopie des Produktivsystems darstellt welcher später jedoch zum Produktivsystem wird.

ISP: Deutsche Glasfaser Business (IPv4 ist statisch)
Statische IP: 82.12.12.12 (Dummy IPv4)
Router: FritzBox 7590
Server: Lenovo TS460 70TR


Was ich brauche:
Ich habe in unserer Firma eine AD aufgebaut welche lokal funktioniert. Nun möchten wir jedoch das Netzwerk für Home Office und auch unsere mobilen Endgeräte (z.B. Microsoft Surface) nutzbar machen.

Was habe ich bisher getan:

VPN
Ich habe ich einen VPN Server mit Windows Boardmitteln eingerichtet, nach diesem Tutorial ( https://www.youtube.com/watch?v=xOyS1gZ0Lrg ) und diversen anderen (um mögliche Fehlerquellen schonmal auszuschließen). Die Verbindung konnte man auch über eine VM via Hyper-V aufbauen. Anschließend habe ich die UDP Ports 500, 1701 und 4500 für die L2TP/IPSec Verbindung sowohl in der FritzBox 7590 als auch in der Windows Firewall freigegeben. Anschließend habe ich versucht eine Verbindung mit einem Tablet in einem anderen Netzwerk aufzubauen, aber leider vergeblich. Nach Feierabend habe ich dann von zu Hause versucht die VPN Verbindung aufzubauen, leider ebenfalls ohne erfolg. Via Portscan habe ich dann herausgefunden, dass die Ports scheinbar immer noch geschlossen sind. Daraufhin habe ich alle Port Einstellung erneut überprüft, gelöscht und wieder eingetragen. Weiterhin kein Erfolg.
Nach ein paar Tagen Recherche in diversen Foren kam ich immer wieder darauf, dass eine FritzBox im Unternehmen absolut ungeeinigt ist. (verständlich irgendwie, aber wir sind ein kleines Unternehmen und ich weiß nicht wie sinnvoll hier weitaus teurere Hardware wäre)

Server als NAT Router + DHCP
In irgendeinem Forum (nicht mehr bekannt welches) kam man dann auf die Idee, dass man die FritzBox als Switch hinter den Server packen kann und den Server selbst als Router verwendet.
Also habe ich noch folgendem Tutorial  ( NAT: https://www.youtube.com/watch?v=bgpEOc6WHFo und DHCP: https://www.youtube.com/watch?v=fUK6d3s1Im4 ) gearbeitet und NIC 1 mit dem NT vom ISP verbunden und erstmal die Internet Verbindung aufgebaut. Alles einwandfrei und hat super funktioniert.
Anschließend habe ich NIC 2 aktiviert und zusammengefasst ist folgende Konfiguration entstanden:

NIC 1

IP Adresse: 82.12.12.12 (via DHCP vom ISP)

Subnetz: 255.255.252.0 (wird genau so vom DHCP vergeben)

Gateway: 82.12.12.1 (fiktiv aber ebenfalls automatisch vom ISP vergeben da DHCP)
DNS 1: 185.22.44.50
DNS 2: 185.22.45.50

NIC 2

IP Adresse: 192.168.2.1
Subnetz: 255.255.255.0
DNS: 8.8.8.8 (erst einmal wie im Tutorial)

DHCP Settings

IP Range: 192.168.2.10 - 192.168.2.200
Subnetz: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1


Nachdem ich RAS and Routing installiert habe und das NAT für NIC 1 eingerichtet habe und der DHCP schön IPs verteilt hat, hat auch alles wunderbar funktioniert... allerdings nur für ca. 5 Minuten. Danach muss ich bei NIC 1 einmal die Windows Problembehandlung drüber laufen lassen damit ich wieder 5 Minuten Internet habe, welches auch an alle Geräte, die über den DHCP eine IP zugewiesen bekommen haben, funktioniert hat. Allerdings scheint es irgendwo noch einen Konflikt zu geben weshalb die Internetverbindung bzw. die Verbindung zum NT über NIC 1 immer wieder nach "gefühlt" 5 Minuten abbricht. Ich habe auch schon an der Metrik rumgebastelt und in den Einstellung von NIC 1 die Metrik auf 10 und bei NIC 2 auf Metrik 20 gestellt. Anschließend habe ich via CMD die routen resettet (route /F) und den Server neugestartet. Weiterhin habe ich allerdings das Problem, dass die Verbindung immer nur für 5 Minuten besteht und danach per Problembehandlung wieder aufgebaut werden muss.

Folgende Fragen stellen sich mir nun:

Ist zunächst der Lösungsansatz den Server als Router/DHCP zu nutzen und die FritzBox nur noch als Switch zu verwenden in Ordnung um dann via VPN auf die AD zuzugreifen?

Wodurch könnte das Problem entstehen, dass die Internetverbindung von NIC 1 nach ca. 5 Minuten abbricht und nur durch eine Problembehandlung wieder aufgebaut werden kann?
Welche kostengünstige aber zielführende Alternative gäbe es (neuer Router z.B.)?
Könnte es daran liegen, dass der ISP via DHCP die IP vergibt und sollte hier eventuell auf PPPoE (Einwahldaten sind nicht bekannt, Vertragsumstellung notwendig) umgestellt werden? (Ich weiß noch nicht ob das mit Mehrkosten verbunden ist)

So das ist erstmal alles was mir gerade einfällt. Sollten noch Fragen offen oder Informationen benötigt werden, teile ich diese selbstverständlich mit euch.

Ich bedanke mich jetzt schonmal für eure Hilfe oder zumindest für das durchlesen dieser Zeilen.

Mit freundlichen Grüße,
Kevin alias Shiyoda

Edited by Shiyoda
Link to post

Hi,

 

kurz und schmerzlos:

vor 9 Minuten schrieb Shiyoda:

Ist zunächst der Lösungsansatz den Server als Router/DHCP zu nutzen und die FritzBox nur noch als Switch zu verwenden in Ordnung um dann via VPN auf die AD zuzugreifen?

Nein. Dann ist dein Domain Controller "multihomed" und das sollte/will man definitiv vermeiden.

 

Die sinnvollste und vermutlich einfachste Lösung wäre wohl, einen passenden VPN Router / Firewall zu kaufen und zusätzlich über einen Terminalserver - der nicht mit auf dem Domain Controller läuft - nachzudenken. Im Detail dürfte das aber davon abhängen, was du genau hierunter

vor 12 Minuten schrieb Shiyoda:

Nun möchten wir jedoch das Netzwerk für Home Office und auch unsere mobilen Endgeräte (z.B. Microsoft Surface) nutzbar machen.

verstehst. Ggfs. könnte aber auch etwas wie Sharepoint / OneDrive passend sein.

 

Gruß

Jan

Link to post

Hi Jan,

 

erstmal vielen Dank für deine prompte Antwort.

 

vor 10 Minuten schrieb testperson:

Die sinnvollste und vermutlich einfachste Lösung wäre wohl, einen passenden VPN Router / Firewall zu kaufen und zusätzlich über einen Terminalserver - der nicht mit auf dem Domain Controller läuft - nachzudenken.

Welche Router im Low - Mid Budget würden hier denn in Frage kommen? Oder wo könnte ich mich bestenfalls darüber informieren. Ich möchte den Aufwand natürlich nicht auf dich/euch hier im Forum abwälzen.

 

vor 15 Minuten schrieb testperson:

Im Detail dürfte das aber davon abhängen, was du genau hierunter verstehst. Ggfs. könnte aber auch etwas wie Sharepoint / OneDrive passend sein.

Im Grunde wollen wir auf unserem Server einen Exchange Server einrichten und unsere Clients an der Domäne anmelden. Die Leute im Home Office und auf den Baustellen sollen unsere Software (Auftragsverwaltung etc.), die serverseitig installiert ist, nutzen können. Ich selbst weiß nur wie es in meiner alten Firma lief. Da haben wir uns über Cisco AnyConnect verbunden (Ich war für die IT weder zuständig noch hatte ich Einblicke). Daraufhin konnten wir uns an der Domäne anmelden und Outlook wurde automatisch mit dem E-Mail Konto gestartet/verbunden. Alle serverseitig installierten Programme konnten genutzt werden über ein freigegebenes Laufwerk welches ebenfalls automatisch (vermutlich via Script) eingebunden wurde.

Gruß,
Kevin

Link to post
vor 19 Minuten schrieb Shiyoda:

Im Grunde wollen wir auf unserem Server einen Exchange Server einrichten und unsere Clients an der Domäne anmelden. Die Leute im Home Office und auf den Baustellen sollen unsere Software (Auftragsverwaltung etc.), die serverseitig installiert ist, nutzen können. Ich selbst weiß nur wie es in meiner alten Firma lief. Da haben wir uns über Cisco AnyConnect verbunden (Ich war für die IT weder zuständig noch hatte ich Einblicke). Daraufhin konnten wir uns an der Domäne anmelden und Outlook wurde automatisch mit dem E-Mail Konto gestartet/verbunden. Alle serverseitig installierten Programme konnten genutzt werden über ein freigegebenes Laufwerk welches ebenfalls automatisch (vermutlich via Script) eingebunden wurde.

Ganz ehrlich? Lass das mit dem VPN sein. VPN war gestern schon Mist.

  • Terminalserver
  • Remote Desktop Gateway
  • Clients, die nicht 100% der Zeit im Office auf dem Tisch sind, kommen gar nicht erst ins LAN und müssen auch nicht in die Domäne.

Warum wollt ihr Exchange on-prem bauen? Habt ihr jemanden mit genug Know-How, um das jahrelang zu betreiben? Habt ihr ihn/sie gefragt, ob er/sie das auch möchte?

Holt euch Microsoft 365, dann habt ihr, je nach Tarif, Exchange, Teams, SharePoint *und* Management für die Clients, ohne dass sie dafür in die Domäne müssen. Habt ihr mehr davon.

  • Like 1
Link to post
vor 22 Stunden schrieb cj_berlin:

Ganz ehrlich? Lass das mit dem VPN sein. VPN war gestern schon Mist.

 

 

Was hast Du denn gegen VPN ?

Vernünftig administriert bietet es eine Sichere und zuverlässige Verbidnugsmöglichkeit.

Sollte aber eben von einem Profi aufgesetzt und gewartet werden.

 

Beim Rest stimme ich Dir zu :-)

 

Link to post
vor 34 Minuten schrieb teletubbieland:

Was hast Du denn gegen VPN ?

Vernünftig administriert bietet es eine Sichere und zuverlässige Verbidnugsmöglichkeit.

Zwei Punkte, und das sind nur die wichtigsten:

  1. Maschinen, die zuvor in einem fremden Netz waren, kommen in das eigene.
  2. VPN ist meistens TCP, moderne Application Delivery ist meistens UDP. UDP in TCP zu verpacken, bedeutet alle Vorteile von UDP zu verlieren.
Link to post

Und naja, das ist eben oft der Grund, wie ransomware (kann den Titel mal jemand korrigieren?) ins interne Netz kommt. VPN wird irgendwie immer als „die Lösung“ hingestellt. Ist sie aber nicht und hat eben andere Nachteile. ;)

Link to post
vor 1 Minute schrieb teletubbieland:

Naja, das ist ja auch der Sinn...

Nein. Der Sinn ist, dass der User von außerhalb die Anwendung X mit ihren spezifischen Ein- und Ausgaben erreichen kann, nicht, dass seine Maschine SMB und RPC zu Domain Controllern machen kann, nachdem sie im MSHEIMNETZ herumgelegen ist.

Link to post
vor 5 Minuten schrieb teletubbieland:

Ist aber in meinen Augen immer noch ein sinnvoller Weg Aussenstellen usw. anzubinden

Site2site ist ja auch was anderes als Client VPN. ;) da ist das Netzwerk auf der anderen Seite ja auch deins. ;)

Link to post
Am 22.10.2021 um 17:06 schrieb cj_berlin:

Warum wollt ihr Exchange on-prem bauen? Habt ihr jemanden mit genug Know-How, um das jahrelang zu betreiben? Habt ihr ihn/sie gefragt, ob er/sie das auch möchte?

Holt euch Microsoft 365, dann habt ihr, je nach Tarif, Exchange, Teams, SharePoint *und* Management für die Clients, ohne dass sie dafür in die Domäne müssen. Habt ihr mehr davon.

Letztlich muss eigentlich nur der Zugriff auf unsere Verwaltungssoftware, welche mit USB Dongles (Lizenzsticks) funktioniert, möglich sein und da wir eben die Überlegung hatten serverseitige Profile zu nutzen und Exchange zu installieren kam ich an die oben genannten Probleme.

Ich denke der Hauptgrund vieler Nutzer die on-prem bauen möchten ist, dass alles wie die Definition schon sagt in eigener Hand liegt und nichts ausgelagert ist. Natürlich ist der Verwaltungsaufwand wesentlich höher. Ich werde das jedoch nochmal bei uns ansprechen und schauen wie wir letztlich zum Ziel kommen.

Ich denke ich werde mir die Terminalserver Geschichte mal genauer anschauen und testen. Danke hierfür.

@everyone

Vielen Dank für eure Hilfe bislang. Ich werde weiterhin jede Möglichkeit offen halten und testen um zum gewünschten Ergebnis zu kommen.

Gruß

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...