Bandit18 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Hallo, ich hoffe Ihr könnt mir helfen! Ich möchte in unserer Firma einen VPN-Server bereitstellen, über den man in Bereitschaftszeiten Wartungsarbeiten im Frirmennetzwerk von zu Hause erledigen kann. Ich wollte hierfür einen Server Windows 2000 Server mit 2 Netzwerkarten verwenden. Die eine Netzwerkkarte hat eine IP aus unserem Firmennetz 10.76.2..... Die andere Netzerkkarte bekommt Ihre IP usw. von einem DSL-Router (192.168.0.3). Der Router unterstüzt VPN-Passthrogh. So nun mein Problem: Ich richte unter Routing und RAS den Server als VPN-Server ein, als Netzwerkkarte mit der Verbindung zum Internet gebe ich die zweite Netzwerkarte (192.168.0.3) an. Ich gebe einen Bereich von Netzwerkadressen vor usw. Wenn ich nun mit der Einstellerei fertig bin startet der Routing und RAS Dienst und alles sieht prima aus. Will ich nun aber eine VPN verbindung mit dem Server herstellen, so bekomme ich den Fehler 800 angezeigt (VPN Server nicht erreichbar usw.). Wenn ich nun versuche von einen anderen Rechner der ebenfalls am Router hängt die IP 192.168.0.3 anzupingen bekomme ich keine Rückmeldung mehr. Auf dem Server kann ich auch keine Internetseiten mehr aufrufen, die Verbindung ist tot. Beende ich den Routing und RAS Dienst funktioniert alles wieder. Also nicht falsch verstehen es kann nicht mit dem Router zu tun haben, denn es ist ja im moment noch so das ich zwei lokale Teilnetze habe. Also vielleicht kann mir ja jemand helfen von Euch. Bye Bandit18 Zitieren Link zu diesem Kommentar
Comedian 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Das sieht so aus, als ob zwischen dem 10er Firmennetz und dem 192er Netz nach der Aktivierung von RRAS mit der zweiten Netzwerkkarte keine Route existiert. Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Hi Bandi18 ! Schön, daß Du Dich zu einem eigenen Beitrag entscheiden hast ! ;) Da scheint was schiefgelaufeb zu sein, bei Deiner RRAS-Konfig. Wie sehen denn die Routen aus, wenn der RRAS aktiviert ist (route print) ? Zitieren Link zu diesem Kommentar
Bandit18 10 Geschrieben 21. April 2004 Autor Melden Teilen Geschrieben 21. April 2004 Muß ich per Hand noch statische Routen hinzufügen? Wie müssen die aussehen? Ich mache morgen dann einen route print und poste es hier, wenn es weiterhilft. Kann es wirklich an den Routen liegen das auch von außen den Server keiner auf der Netzwerkkarte anpingen kann? Wenn ich mit einem anderen Rechner auf den Router gehe (mit dem Server funktioniert es ja nicht nach Aktivierung von R... und RAS) so sehe ich unter dem Punkt verbundene Geräte (dort werden die Geräte mit IP und MAC aufgelistet) den Server auch nicht mehr -> Roouting und RAS aus und schon ist er dort auch wieder zu sehen. Kann das wirklich an den Routen auf dem Server liegen? Ich bin da ein wenig skeptisch aber man lernt ja nie aus. Gruß Bandit18 Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 21. April 2004 Melden Teilen Geschrieben 21. April 2004 Ob es an den Routen liegt, erkennt man ja am besten an einem route print. Warten wir also mal ab, was Du morgen postest ! ;) Ansonsten: Nein, weitere statische Routen sind aus Deinen bisherigen Schilderungen Deines Netzwerkes eigentlich nicht erforderlich. Da der Server aber für die Clients nicht mehr erreichbar ist, liegt die Vermutung nah, daß was mit dem Routing nicht stimmt. Zitieren Link zu diesem Kommentar
Bandit18 10 Geschrieben 22. April 2004 Autor Melden Teilen Geschrieben 22. April 2004 Hallo, hier nun mein route print: =========================================================================== Schnittstellenliste 0x1 ........................... MS TCP Loopback interface 0x1000002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface 0x1000003 ...00 30 05 5c 45 26 ...... Intel 8255x-based Integrated Fast Ethernet 0x1000004 ...00 02 b3 88 c4 f1 ...... Intel® PRO Adapter =========================================================================== =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.2 1 10.76.24.0 255.255.254.0 10.76.24.38 10.76.24.38 1 10.76.24.38 255.255.255.255 127.0.0.1 127.0.0.1 1 10.76.25.156 255.255.255.255 127.0.0.1 127.0.0.1 1 10.255.255.255 255.255.255.255 10.76.24.38 10.76.24.38 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.2 192.168.0.2 1 192.168.0.2 255.255.255.255 127.0.0.1 127.0.0.1 1 192.168.0.255 255.255.255.255 192.168.0.2 192.168.0.2 1 224.0.0.0 224.0.0.0 10.76.24.38 10.76.24.38 1 224.0.0.0 224.0.0.0 192.168.0.2 192.168.0.2 1 255.255.255.255 255.255.255.255 10.76.24.38 10.76.24.38 1 Standardgateway: 192.168.0.1 =========================================================================== Ich hoffe das funktioniert mit der Darstellung. Ich habe den VPN Server neu konfiguriert, bei dem Schritt wo ich die Netzwerkkarte mit der Internetanbindeung auswählen soll, habe ich jetzt den Punkt keine Internetverbindung ausgewählt. Nun habe ich das Problem mit der blokierten Netzwerkkarte nicht mehr. Eine Testeinwahl aus dem Bereich 192.168. ... funktioniert nun auch. Leider bekomme ich aber keine richtige Subnetzmaske nach der Einwahl zugeteilt. Ich erhalte immer : PPP-Adapter Test: Verbindungsspezifisches DNS-Suffix: hi.hamburg.de IP-Adresse. . . . . . . . . . . . : 10.76.25.157 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 10.76.25.157 Normalerweise müßte ich aber eine 255.255.254.0 bekommen, oder? Ich kann aber auf die Resourcen im Firmennetz zugreifen. Komisch!? So das war ja nur der erste Teil wie kriege ich es denn nun bewerkstelligt das ich nur Verbindungen mit IPSEC zulasse. Kann mir jemand von Euch eine kleine Anleitung geben wie ich das bewerkstellige. Ich glaube ich brauche ja dann einen Zertifikatsserver und ein Zertifikat und die Clients müssen ja sicher auch eine Art Schlüssel bekomen, oder? Schon mal vielen Dank! Gruß Bandit18 Zitieren Link zu diesem Kommentar
IvkovicD 10 Geschrieben 22. April 2004 Melden Teilen Geschrieben 22. April 2004 Original geschrieben von Bandit18 Leider bekomme ich aber keine richtige Subnetzmaske nach der Einwahl zugeteilt. Ich erhalte immer : PPP-Adapter Test: Verbindungsspezifisches DNS-Suffix: hi.hamburg.de IP-Adresse. . . . . . . . . . . . : 10.76.25.157 Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 10.76.25.157 Normalerweise müßte ich aber eine 255.255.254.0 bekommen, oder? Hi Bandit18, das ist korrekt so, wobei das keine klassisch p2p verbindung ist, mit zwei IPs und einem Transfernetz, sondern eine virtuelle Weiterleitung an den Server. Rein technisch kann hier jede Netzmaske stehen. Unser POP-RAS verteilt eine 255.0.0.0 und es klappt ohne Probleme. Das echte routing macht der RRAS, bei ihm entscheidet die Netzmaske, wo es lang geht, oder nicht... zu IpSec stöberst du am besten hier im Board oder Google. Kleiner Tip, versuch IPSec zu verstehen, nicht nur irgendwo abzuschreiben... Gruß Dejan Zitieren Link zu diesem Kommentar
Bandit18 10 Geschrieben 26. April 2004 Autor Melden Teilen Geschrieben 26. April 2004 Hallo, ich fühle mich ja schon ein wenig verlassen :p Ich habe auf meinem Win2000 Server nun eine Zertifizierungstelle installiert und eingerichtet. Ich habe mir ein Benutzerzertifikat ausstellen lassen. Wenn ich nun die Verbindung per VPN aufbauen will, bekomme ich die Fehlermeldung das auf dem Client kein entsprechendes Zertifikat gefunden wurde. Wie muß ich das Zertifikat anfordern (über den Webbrowser das ist schon klar) und muß ich es auf dem Client noch irgendwo hinkopieren oder so. Ich benutze als Client Windows XP Pro und dort kann ich in dem Verbindungseinstellungen nur einen vorinstallierten IPSec-Schlüssel eintragen. Aber wie funktioniert das? Hilfe! Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 26. April 2004 Melden Teilen Geschrieben 26. April 2004 hi, hier sind noch infos bezüglich l2tp/ipsec für dich: http://support.microsoft.com/default.aspx?scid=kb;de;314831 falls du mit vordefiniertem schlüssel arbeiten möchtest: http://support.microsoft.com/default.aspx?scid=kb;de;281555 gruss, gr@mlin Zitieren Link zu diesem Kommentar
Bandit18 10 Geschrieben 29. April 2004 Autor Melden Teilen Geschrieben 29. April 2004 Ich hoffe ich muß Euch nun zum letzten mal mit diesem Problem nerven. Ich habe mein VPN-Server jetzt mit Windows 2003 Server mit vordefiniertem IPSEC-Schlüssel am laufen. Tests im LAN und direkt am DSL-Modem liefen zufriedenstellend, nur hinter unserem Router (Netgear WGT 624) läuft die ganze Geschichte trotz Portforwarding nicht. Ich habe die Hotline von Netgear kontaktiert und bin mit dem Menschen alle Einstellungen des Routers durchgegangen. Der Typ meinte, das kann nur daran liegen weil ich nicht Encapsulating Security Payload (ESP) bei IPSEC verwende. Nur leider konnte er mir nicht sagen wo ich bei Windows 2003 Server und bei Windows XP (Clients) dieses ESP einstellen kann. Wer von Euch kann mir da weiter helfen? Ist wirklich dringend, denn der VPN-Server muß am Wochenende laufen :mad: Schon mal vielen Dank! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.