VPN mit 2003 SBS

[firefox80 10]

Ich bekomme meine VPN Verbindung nicht hin! Bitte Hilfe!

 

Ich habe auf dem SBS den Assistenten für die VPN Verbindung durchlaufen und servername.domainname eingegeben.

 

Auf dem Router (Dlink-604) habe ich VPN Passthru für PPTP und IPSec aktiviert

Die Virtuellen Server für IPSec (UDP 500) und PPTP (Port 1723) habe ich auch auf den Server weitergeleitet.

 

Danach zu Hause die angefertigte Installdisk rein und "Verbindung zum SBS herstellen"

Der kann aber server.domainname nicht finden

 

Was mache ich falsch?

 

Muss ich mich irgendwie um Zertifikate kümmern?

 

Vielen Dank für die Hilfe!

[notesuser3 10]

Also ich habe eine lauffähige VPN-Verbindung eingerichet. Das einzige Problem was sich meiner Ansicht nach immer stellt ist das DNS. Bevor ich weiter schreibe möchte ich Dich aber bitte bezüglich deinem Router mal zu googlen. Es kann auch an dem DLINK liegen. Soweit ich weiß war mal als Tipp vermerkt, dass das Upnp deaktivert werden muss, damit VPN überhaupt funzt. Frag mich nicht warum, aber ich kann mich erinnern. Da ich selbst einen DLink 624 besitze habe ich dort diese Einstellungen vorgenommen und es funktioniert.

 

Zurück zu den Einstellungen für VPN. Wenn du die Standardeinstellungen genommen hast, brauchst du keine Zertifikate, vorausgesetzt du hast in den Richtlinien nichts geändert. Hast du Routing und RAS richtig konfiguriert? Bzw. wie sind die Einstellungen bezüglich Routing und RAS Zugriffe? Es gibt die Möglichkeit diese über die Benutzereinstellungen im Register Einwählen zu steuern. Oder über die Routing und RAS Einstellungen. Bei Routing und RAS ist standardmäßig eine Richtlinie definiert, die das Zugreifen nicht erlaubt. Wenn du also die Einstellungen so gewählt hast, dass Routing und RAS den Zugriff steuern, wirst du unter Umständen deshalb keine Verbindung erhalten. Anderfalls musst du dem User Einwahlrechte erteilen. Ein weiteres Problem könnte das DNS über den DSL Router sein. Bei mir war das Problem, dass die DNS-Auflösung für die Domäne nicht funzte. Das liegt daran, dass im Regelfall die Router (DLINK) das DHCP und DNS übernehmen. Bzw. Mit dem erteilen der IP-Adresse der DNS-Server mit übergeben wird. Damit erhält unter Umständen der VPN-Client nicht deinen Server als DNS-Server, so dass eine Namensauflösung nicht richtig oder gar nicht funktioniert. Das Problem habe ich derzeit. Das bedeutet, obwohl ich mich einwählen kann (über IP-Adresse und nur über IP-Adresse) findet er die Domäne nicht. Dieses Problem kann man meiner Ansicht folgendermaßen lösen:

 

1. Zweite Netzwerkkarte in den SBS

2. Auf der ersten NIC kommt der Router rein, aber auch dein VPN-Client.

3. Die erste NIC erhält eine IP-Adresse aus dem Bereich des Routers

4. Einrichten von DHCP auf dem SBS, sowie (falls noch nicht geschehen) DNS

5. Einen DHCP-Bereich einrichtet

6. Die Gateway- und DNS-Einstellungen für den DHCP-Bereich konfigurieren. (Das Ziel ist also, dass dein VPN-Client einen IP-Adresse vom SBS mit Standardgateway und DNS-Einträgen vom SBS erhält)

7. Routing und RAS richtig konfigurieren, so dass die zweite Netzwerkkarte als Standardgateway die erste Netzwerkkarte nimmt.

8. Eventuell Firewall auf dem SBS konfigurieren, so dass der eingehende Netzwerkverkehr über die von Dir genannten Ports auch durch kommen.

 

Ich denke das war es dann. Dann sollte auch das DNS zwischen deinem VPN-Client und VPN-Server funzen. Wichtig ist eben, dass dem VPN-Client neben einer IP-Adresse auch der DNS-Server (SBS) mitgegeben wird. Sonst versucht er die Namensanfragen über die Telekom-DNS-Server aufzulösen.

 

Gruß

 

Notesuser3

[GuentherH 61]

Hi.

 

durchlaufen und servername.domainname

 

Welchen Namen hast du da angegeben, den deines SBS ?

Dann wird es wahrscheinlich nicht funktionieren, es sei den, deine SBS Domain ist aus dem Internet erreichbar.

 

Erstelle doch einfach am Client über Netzwerkverbindung -> Eigenschaften -> Assistent für neue Verbindungen eine VPN Verbindung. Als Hostname gibst du die IP-Adresse ein, über die die Verbindung zum SBS hergestellt wird.

 

LG Günther

[firefox80 10]

Ich habe mir bei dyndns.org eine dynamische domain geholt.

Diese habe ich auch bei den einstellungen verwendet (servername ist der sbs)

 

Wenn ich aus dem Firmennetzwerk eine neue VPN Verbindung zum SBS erstelle erhalte ich die

Fehlermeldung: Der Remotecomputer antwortet nicht

[notesuser3 10]

Ich hatte dasselbe Problem mit Dyndns, probiere es mal mit der IP-Adresse, anstelle des Domainnamen. Und überprüfen die Einstellungen deines DLink.

 

Genaus die gleichen Probleme hatte ich ca. vor 2 Wochen. Seit ich aber die IP-Adressierung benutze klappt es. Wichtig sind auch die anderen Einstellungen bezüglich Routing und RAS.

 

Gruß

 

Notesuser3

[firefox80 10]

mir ist gerade noch was eingefallen:

in den lan konfigurationen des routers gibt es die möglichkeit die domäne einzutragen.

alles scheint auch ohne diesen eintrag zu funktionieren. ich habe momentan die interne domäne eingetragen.

kann es sein dass ich hier die öffentliche domäne eintragen muss?

oder ist dieses feld für etwas anderes gedacht?

[notesuser3 10]

Ich habe mir eben die Settings angesehen. Da dieses Feld optional ist, glaube ich nicht, dass es hieran liegt. Aber was spricht gegen try and error? Einfach mal probieren. Hat denn der Zugriff über die IP schon funktioniert? Bevor ein Zugriff über IP nicht funktioniert sind alle anderen Versuche mit DNS-Auflösung witzlos. Denn der DNS löst die Adresse letztendlich auch nur in eine IP-Adresse auf.

 

Gruß

 

Notesuser3

[GuentherH 61]

Hi.

 

Teste bitte einmal im LAN dir VPN Verbindung, verwende dein die LAN-IP Adresse deines Servers.

So kannst du den Fehler etwas leichter eingrenzen.

 

LG Günther

[firefox80 10]

ok, kann die verbindung jetzt im lan über die interne ip adresse herstellen

wie kann ich sehen ob die verbindung funktioniert? oder reicht das schon wenn das einwählen klappt?

 

vom lan aus kann ich keine verbingung über die öffentliche ip herstellen (Remote Computer antwortet nicht)

[notesuser3 10]

Testen könntest du es wenn du z.B. versuchst auf einen Freigegebenen Ordern zu zugreifen. Nach dem die Einwahl im LAN per IP funktioniert würde ich jetzt mal die Verbindung per IP-Adresse über das WAN probieren. Wenn das klappt liegt es in jedem Fall an der DNS-Auflösung!

 

Gruß

 

Notesuser

[firefox80 10]

woher weiss ich dann ob ich über das normale lan zugreife oder die lokale vpn verbindung?

öffentliche ip adresse im lan anwählen funktioniert nicht!

[notesuser3 10]

Ich habe eben normal nachgelesen, also wenn du die Verbindung über IP herstellen kannst sollte es funktionieren. Ein Test ist dann eher überflüssig, denn du wählst dich ja per VPN ein.

 

öffentliche ip adresse im lan anwählen funktioniert nicht!

 

Das verstehe ich jetzt nicht ganz? Hast du nicht die Möglichkeit zu Testzwecken z.B. mit einem Laptop und Modem über einen Provider Dich einzuwählen? Damit hast du deine WAN-Verbindung. Dann stellst du deine Verbindung über das Laptop und der öffentlichen Adresse deines D-Link Routers her. Wenn das klappt funzt auch das VPN. Im Anschluß daran gilt es festzustellen, warum das DNS nicht klappt.

 

Also erst rauswählen mit Notebook und Modem und dann wieder rein über VPN. Ist eigentlich ganz einfach zu testen. Finde ich!

 

Gruß

 

Notesuser

 

Falls das nicht geht und es sich ich gerade um einen Hochsicherheitstrackt handelt. Dann richte mal einen User ein und gibt mir die IP-Adresse, dann kann ich Dir sagen ob es funktioniert. Den User kannst du ja dann wieder löschen.

[firefox80 10]

soweit klar, aber müsste es nicht auch funktionieren, wenn ich von einem rechner im firmennetzwerk eine vpn verbindung zur öffentlichen ip des routers erstelle?

 

ich werde dann mal versuchen von meinem heimrechner aus die öffentliche ip zu wählen.

zusätzlich werde ich auf dem heimrechner eine einfache fernwartungssoftware installieren, damit ich mich von der firma aus auf meinen heimrechner setzen kann. dass das keine sichere verbindung ist macht mir nichts aus, weil auf meinem privat pc eh keine sensiblen daten sind.

[notesuser3 10]

Das mit dem Heimrechner ist ein guter Plan. Falls die Verbindung steht, kannst du z.B. mit der Remotesoftware deinen Tunnel testen. Denn du hast ja dann eine weitere IP und zwar aus deinem Firmennetz. So sollte es bei bestehen der Verbindung auch möglich sein mit der zugewiesenen Adresse die Remotesoftware anzusprechen. Gibt mal Bescheid wenn du das getestet hast.

 

Gruß

 

Notesuser

[firefox80 10]

so ich bin jetzt zu hause - Wochenende :-D

 

habe jetzt eine vpn verbindung herstellen können (funktioniert jetzt über ip adresse und dynamic domain)

 

aber trotzdem komm ich mir jetzt dämlich vor - wie greife ich auf daten im firmennetzwerk zu?

im explorer habe ich nur die beiden rechner meines heimnetzwerkes