VPN über NAT Router

[Freeman 10]

Hi folks

 

ich bin gerade dabei mit W2k3 Server und einem Win2k/Win98 Client eine VPN aufzubauen. Einen ähnlichen Thread gab es schon mal unter folgendem Link: http://www.mcseboard.de/showthread.php?s=&threadid=24340&highlight=Multifunctional+Router

 

Dieser hat mir leider auch nicht wirklich weitergeholfen. Im übrigen besitze ich den gleichen Router wie im angegebenen Thread, Multifunctional Broadband Router. Die Ip 1723 habe ich auch schon weitergeleitet auf die interne IpP des Servers. Allerdings bin ich nicht ob ich die richtige genommen habe. Habe zwei NIC in dem Server, die eine habe ich bei der Installation und Konfiguration von RAS angegeben also muss ich diese doch auch mit der IP Forwarden oder??

Wenn ich das alles soweit gemacht habe und mich mit dem Win98 Client eine VPN Verbindung aufmachen will kommt folgende Fehlermeldung:

 

Der Remotecomputer hat nicht rechtzeitig reagiert. Überprüfen Sie gegebenfalls die angegebene IP-Adresse oder die Modemverbindung. Mit dem Win2k Client kommt aber ebenfalls keine Verbindung zu Stande. Habt ihr nen Plan was ich falsch mache??

[Houbi 10]

Hallo Freeman

 

Also wenn Du den Port 1723 umgeleitet hast, bist Du auf dem richtigen Weg. Du müsstest aber auch noch den Port 47 weiterleiten. Der ganze Traffic vom VPN Protokoll geht ueber GRE (Port 47). 1723 wird fuers PPTP gebraucht.

Bei der konfiguration des VPN Servers gibts du die NIC an, über welche du ins Internet gehst. Die andere wird die interne LAN Karte sein, also musst Du die Ports vom Router auf die interne NIC

des VPN Servers forwarden. Dann gehts! Viel Glück!

 

Gruss Houbi

[Freeman 10]

Hi danke für den Tip Port 47 habtte ich nicht aber leider funzt es immer noch nicht der Client zeigt immer noch die Meldung:

Der Remotecomputer hat nicht rechtzeitig reagiert.

Das ist doch alles Käse, werde es morgen nochmal von meiner Windows 2000 Maschine im Büro versuchen und dann mal Bericht erstatten. Trotzdem danke

[Houbi 10]

Ich kenn den Mist, hab da auch lange davor gesessen. Aber ich kann dir ziemlich sicher helfen. Halt mich auf dem lauffenden.

 

Gruss Houbi

[Pretender 10]

Hi also GRE ist ein Protokoll und kein Port. Das wird schwer den weiterzuleiten. Schau einmal bei dem Hersteller deines Routers, ob er etwas zu VPN Pass Through in der Produktbeschreibung sagt.

 

ber wie ich sehe, wurde alles wesentlich in dem Thread dessen Link du gepostest hast erklärt.

[Houbi 10]

Hallo Pretender

 

GRE ist ein Protokoll, das ist richtig. Aber um dieses Protokoll zu routen, musst den Port 47 weiterleiten. Noetig ist das, weill sonst im normallfall zwar die VPN Verbindung zustande kommt, aber darüber nichts läuft, eben weil GRE nicht durch geht.

 

Gruss Houbi

[garyp 10]

hi,

wird das GRE nicht nur bei IPSec verwendet??

ist es dann nicht einfacher erseinmal ne normale PPtP Verbindung herzustellen, um grundsätzlich die VPN Verbindung zu testen?

[grizzly999 11]

Zitat Houbi

GRE ist ein Protokoll, das ist richtig. Aber um dieses Protokoll zu routen, musst den Port 47 weiterleiten

Nein, wie Pretender ganz richtig geschrieben hatte, es handelt sich um die Protokollkennung 47, nicht den Port 47. Ist ein kleiner aber feiner Unterschied....

 

wird das GRE nicht nur bei IPSec verwendet??

Nein, GRE wird nur von PPTP verwendet. IPSec-Pakete sind ESP-Encapsulated (Protokollkennung 50).

 

grizzly999

[Freeman 10]

Also eure Portdiskussion in allen Ehren aber wie dem auch sei das klappt immer noch nicht, ob mit oder ohne! Also was kann es denn noch sein? Vor allem diese Fehlermeldung möchte gerne interpretiert wissen.

[Pretender 10]

Ganz ruhig, man versucht nur zu helfen. Versuche gerade Infos über deinen Router zu bekommen, jedoch finde ich zu der Bezeichnung des Router, die du in dem anderen Thread gepostet hast, rein gar nichts. Wenn ich mich nur auf Router und R1.96h3 beziehe, dann finde ich heraus, das R1.96h3 eine Firmware-Version ist. Zu der Firmware habe ich zwar Infos, aber leider gibts dort keine Informationen ob er VPN-Pass-Through unterstüzt.

[obg 10]

Also wichtig VPN Passthrough muss unterstützt werden und IP Protokoll 47 darf nicht geblockt werden .

Weiterleiten kann man soweit ich weiss eh nicht forwarden.

 

@Houbi

 

Sorry aber das mit dem Port 47 is völliger unfug,

port 47 tcp und udp is für ni-ftp!!

[Freeman 10]

Laut dem gelinkten Post

http://www.mcseboard.de/showthread.php?s=&threadid=24340&highlight=Multifunctional+Router

scheint der Router das aber zu machen, sonst hätte Willyw die Verbindung doch nicht erfolgreich hinkriegen können oder??

[zuschauer 10]

Hi Freeman !

Ich geh jetzt mal davon aus, daß der Router VPN-Passthrough-fähig ist, ich kenn den nicht.

 

(Die Firmware ist dann wohl so eingestellt, daß, wenn Port 1723 forwarded wird, auch GRE an diese IP weitergereicht wird.)

 

Du schreibst, Dein Forwarding geht an die interne IP des Servers - das ist die falsche ! Deshalb sehr wahrscheinlich auch der Verbindungsabbruch. Der Verbindungsaufbau erfolgt über TCP Port 1723, der Rest dann über GRE, wenn die Authentifizierung erfolgreich war.

Forwarde mal an dem Router auf die externe IP des Server.

[Freeman 10]

Ich habe in dem Router aber nur die möglichkeit auf IP´s im Adressraum zu forwarden oder bin ich auf dem Holzweg? Du meinst doch das ich auf die WAN IP forwarden soll oder??

 

Zur Information ich habe zwei NIC's im Server GBit (192.168.123.8) und FE (192.168.123.5). Beim Einrichten habe ich die zweite Karte ausgewählt mit der 192.168.123.5.

[GuentherH 61]

Hallo Freemann.

 

So nebenbei, (nachdem ich den Thread interessiert mitverfolge) hast du eigentlich schon mal getestet ob überhaupt der Server richtig konfiguriert ist ?

Du kannst das testen, indem du im lokalen Netz eine VPN Verbindung zum Server aufbaust. Dann hast du zumindest die Sicherheit, dass auf dem Server alles ok ist.

 

Liebe Grüße Günther