Jump to content

VPN und Remotedesktopverbindung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hy together

 

Ich habe eine VPN-Verbindung zwischen zwei PC's via Internet hergestellt. Der Router habe ich so definiert, dass das Forwarding funktioniert. Nun ist es so, dass ich mit dem Client den Server nicht anpingen kann und somit auch nicht mit der Remotedesktopverbinung auf dem Server vom Client aus arbeiten kann.

 

Hier ein paar Infos dazu:

 

Auf beiden PC's Windows XP Professional mit SP2 installiert. Eingehende Verbindung auf dem einten PC konfiguriert - auf dem anderen die Verbindung zu einem VPN konfiguriert.

 

Die Verbindung wird nach dem Einwählen einwandfrei hergestellt und der Client-PC erhält eine interne IP-Adresse.

 

Kann das Problem vielleicht in der Routingtabelle liegen?

 

Für eine rasche Antwort bin ich sehr dankbar!

 

Gruss aus der Schweiz

S. Weber

Link to comment

Hallo und willkommen im MCSEBoard!

 

Welche IP bekommt denn der VPN-Client bei der VPN-Einwahl und welche IPs hat der VPN-Server? Auf welche IP verusuchst du denn per Remotedesktop zu verbinden? Bzw. welche IP versuchst du anzupingen?

 

Normalerweise baust du ja erst die VPN-Verbindung zwischen Client und Server auf und kann den Server dann auf der "VPN-IP" (ich nenn die jetzt mal so) erreichen.

 

Grüße,

JohnDie

Link to comment

Hy JohnDie

 

Danke für deine rasche Antwort.

 

Ok, hier meine aufgebaute Infrastruktur:

 

Client-Notebook, mit dem ich mich via ISDN ins Internet einwähle.

D. h. dass ich von aussen eine 62.xxx.xxx.xxx IP-Adresse über die ISDN-Verbindung erhalte. Der PC (Server) zu Hause hat die fixe IP-Adresse 192.168.0.11. Der Router hat auch eine externe IP z.B. 78.xxx.xxx.xxx. Sobald ich die VPN-Verbindung zur IP-Adresse des Routers herstelle, leitet er es an den PC (Server) weiter an die IP 192.168.0.11. Das Notebook erhält eine dynamische IP-Adresse, via Router (den in der Registry des PC's habe ich in der Registry beim Eintrag IPEnableRouter auf den Wert 1 gesetzt). Diese IP-Adresse für das Client-Notebook lautet 192.168.0.100.

 

Wenn ich somit über das VPN verbunden bin, möchte ich mich auf die IP-Adresse 192.168.0.11 verbinden resp. 192.168.0.11 anzupingen.

 

Ich hoffe, dass du mir mit diesen Daten weiterhelfen kannst.

Link to comment

Jepp, das hilft weiter.

 

Also du sagst, dass dein Router die VPN-Verbindung an den Server weiterleitet, dh. auf dem Server hast du eine "Eingehende Verbindung" erstellt? Dh. dein "Server" fungiert auch tatsächlich als VPN-Endpunkt. (Es gibt nämlich auch Router, die als VPN-Server fungieren können, deiner scheint aber ja nur pass-through zu machen).

 

Nun, da dein lokales LAN in dem der Server steht das Subnetz 192.168.0.0/24 (also Subnet-Maske 255.255.255.0) benutzt (falls nicht, bitte korrigieren) und dein VPN-Client ebenfalls diesen IP-Bereich an die VPN-Clients vergibt, kommt es hier zu Problemen.

Falls der Ping bei deinem Server über die VPN-Verbindung ankommt, kann dieser die Echo-Antwort nicht zurückschicken, da er alles, was an eine Adresse der Form 192.168.0.x geht über die LAN-Karte rausschickt (also ins lokale Netzwerk), nicht aber über die VPN-Verbindung.

 

Zur Sicherheit könntest du hier mal die Ausgaben der Befehle "ipconfig /all" und "route print" posten (beides mal in der Eingabeaufforderung eingeben und Enter drücken), daraus lässt sich genaueres ablesen. Sollte genügen, wenn du das auf dem Server machst, kannst du aber auch gerne auch auf dem Client machen und die Ergebnisse ebenfalls hier posten. Server ist aber erstmal wichtiger.

 

Falls es daran liegt, solltest du den IP-Bereich, den die VPN-Verbindung verwendet auf ein anderes, ungenutztes Subnetz ändern, also etwa 192.168.1.x. Dann sollte es auch mit dem Routing funktionieren.

 

Grüße,

JohnDie

Link to comment

Guten Morgen JohnDie

 

Danke für deine Antwort! Ja dann werde ich diese Änderung mal vornehmen. Aber eine kurze Frage: Wo soll ich den diesen IP-Bereich vergeben? Muss ich den bei den eingehenden Verbindungen, bei der benötigten VPN-Verbindung unter den Einstellungen einen selbstdefinierten IP-Bereich vergeben? Habe dort noch den Radiobutton bei automatisch. Und kann ich den Wert 1 bei IPEnableRouter weiterhin stehen lassen, oder muss ich ihn auf den Wert 0 zurückändern?

 

Thanks a lot,

S.Weber

Link to comment

Das kannst du in den Eigenschaften der "Eingehenden Verbindung" auf deinem VPN-Server einstellen. Dort unter Netzwerk - Internetprotokoll (TCP/IP) - Eigenschaften findet sich ein Dialog, in dem du den IP-Bereich einstellen kannst, den der VPN-Server an die VPN-Clients vergibt.

 

Das IPEnableRouter sollte auf 1 bleiben, damit der VPN-Server auch zwischen seinen verschiedenen Netzwerken routen kann. Falls dies nicht gewünscht ist, kannst du das aber auch abschalten.

 

So, und nun viel Erfolg beim Ausprobieren, ich hoffe, dass es daran lag. Ansonsten schauen wir mal weiter ;)

 

Grüße,

JohnDie

Link to comment

Yeah, endlich geschafft!

 

Ich habe bei den VPN-Eigenschaften bei der Adresszuweisung fixe IP-Adressen vergeben, die nicht im dynamischen Range des Routers sind! Nun klappt alles einwandfrei - DANKE! Ich hatte nochmals die Einstellung der Adresszuweisung auf automatisch gesetzt und es funktionierte wieder nicht mehr! Sah auch der Grund: Der Client-PC sowie der Server-PC hatte diesselbe IP-Adresse (VPN-Status -> Details).

 

Mit der Adresszuweisung von fixen IP-Adressen hebt sich dieses Problem auf! Ich kann auch wieder das Notebook intern am Netzwerk anhängen und es bestehen keine Probleme mehr!

 

Vielleicht noch eine Schlussfrage: Wie sieht's mit der Security aus? Ist es gefährlich, diesen Port 1723 offen zu lassen? Oder gäbe es einen schönen Umweg?

 

Ich habe es jetzt so gemacht, dass der VPN-User nicht derselbe ist wie der Remotedesktop-User.

Link to comment

Freut mich, dass es jetzt funktioniert. War ja doch die richtige Richtung ;)

 

Original geschrieben von s.weber

 

Vielleicht noch eine Schlussfrage: Wie sieht's mit der Security aus? Ist es gefährlich, diesen Port 1723 offen zu lassen? Oder gäbe es einen schönen Umweg?

 

Ich habe es jetzt so gemacht, dass der VPN-User nicht derselbe ist wie der Remotedesktop-User.

 

Neben ausreichen komplexen Kennwörtern sollte halt alles andere soweit möglich dicht sein. Mir persönlich ist jetzt kein Risiko im Zusammenhang mit Port 1723 bewusst, ausser, dass jemand per Brute-Force versuchen könnte, das Passwort rauszukriegen (aber das kannst du halt mit langen und komplexen Kennwörtern erheblich erschweren). Eventuell kann ja jemand anderes, der sich mit der Thematik VPN und Security genauer auskennt, etwas dazu sagen.

Es ist jedenfalls schonmal eine gute Idee, den Remote-Desktop zusätzlich über eine VPN-Verbindung abzusichern. Im Idealfall ist halt nur der VPN-Zugang "nach außen" sichtbar.

Aber wie gesagt, bin da in Sicherheitsfragen nicht ganz so auf dem Laufenden.

 

Grüße,

JohnDie

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...