Jump to content

Kein VPN durch den Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hoffe mir kann da jemand helfen. Und zwar habe ich einen Windows 2000 Server, der sich hinter einem Router befindet. Das heißt, der Server hat keine eigene WAN-schnittselle, sondern gehtüber seine Netzwerkkarte auf den Router, und der verbindet ihn dann weiter. Mein Server ist ein DHCP-Server und verwaltet auch eine Domäne, undgenau da fängt mein Probem an.

 

Ich will nämlich einen VPN-Server aufbauen. Wenn ich also auf die Eigenschaften des Netzwerkes gehe und eine neue Verbindung einrichten will, dann sage ich "VPN-Server". Dies wird aber nicht zu gelassen. Ich kriege immer die Meldung, daß mein Server ein DomäneController ist (das stimmt ja auch). Mir wird vorgeschlagen, daß ich den VPN-Server für eingehende Verbindungen über "Routing und RAS" konfiguriere. Ich werde also direkt weiter geleitet und komme in das entsprechende Menü, wo mir wieder ein Wizard zur Seite steht. Hier werde ich aber aufgefordert meine Internetverbindung anzugeben. Da mein Server aber keine direkte Verbindung zum Internet hat (wegen dem Router) bleibt mir nur die Möglichkeit meine Netwerkkarte als Schnitstelle anzugeben, oder daß ich gar keine Internetverbindung habe. Die Netzwerkkarte kann ich zudem gar nicht auswählen, weil die für das LAN ist 8ich kriege deshalb extra eine Fehlermeldung), und nicht für die Internetverbindung. Das heißt, ich wähle "keine Internetverbindung vorhanden". Der Wizard sagt mir nun, daß alles in Ordnung sei, ich müsse nur noch meinen DHCP-Server eintragen, gesagt, getan.

 

Jetzt kommen aber die Probleme:

 

Um alles einfacher zu machen habe ich während mein Server lief einen zweiten Rechner im Newerk gesartet, der sich allerdings nicht bei dem Server anmeldet. Dieser zweite Rechner (WIN98) sollte über einen VPN-Adapter eine verbindung zum Server aufbauen, in diesem Fall aber nicht durch das Internet, sondern durch das Netzwerk, das müsste ja rein technisch egal sein. Der zweite rechner findet den Server auch (also die eingerichtete VPN-Verbindung merkt, daß da der Server ist), gibt aber die Fehlermeldung, daß er keine Berechtigung habe sich anzumelden. Daraus folgere ich, daß mein Server die Verbindung nicht akzeptiert und ich weiß nicht warum, weil "Routing und RAS" ja offiziell von mir schon konfiguriert wurde.

 

Lange Rede, kurzer Sinn:

KANN MIR JEMAND HELFEN?????

 

Danke an alle die sich ein paar Gedanken dazu machen

 

alEx

Link zu diesem Kommentar

Hi Maniac !

Ich fürchte, mit Deiner derzeitigen Konfiguration bekommst Du das nicht hin. MS hat ja diesen RRAS implementiert, damit Dein Router nicht notwendig ist. Oder andersrum gesagt, Deine Konfig, so sinnvoll wie sie ist, hat MS nicht berücksichtigt.

 

Meiner Meinung nach bekommst Du die VPN-Sache nur mit einer weiteren Netzwerkkarte im Server zum Laufen. In Deiner Teststellung mit dem Win98 müßte dann dieser sich über die 2. NW-Karte mit dem VPN-Server verbinden. Das funktioniert auf jeden Fall. Wenn Du dort Probleme bekommst, sind die Einwahlberechtigungen falsch definiert.

Das Problem an der ganzen Sache wird der Router sein. Der müßte bei der Server-Konfig mit 2 NW-Karten in der Lage sein, mehrere Subnetze zu unterstützen. Das können die meisten scheinbar nicht (ich bin da nicht so´n Freak, was HardwareRouter betrifft).

Mit einer 2. NW-Karte könntest Du aber im RRAS die Internetverbindung auf diese 2. Karte binden und über den Router eine I-Net-Verbindung ermöglichen, falls der Router das hergibt.

 

zuschauer

Link zu diesem Kommentar

Hallo,

 

erstmal danke ich dir für die schnelle antwort. ;-)

 

Die Lösung die du Vorschlägst halt ich für ausgesprochen einleuchtend, obwohl es eigentlich eine Schande ist, daß man das nicht über eine Netzwerkkarte laufen lassen kann, als ob Das TCP/IP Protokoll nicht genügend Ports für sowas hätte.

 

Ich werde dass dann mal gleich testen, ich schreibe dann ob ich erfolgreich war

 

nochmals vielen Dank

 

aLEx

Link zu diesem Kommentar

SO, da bin ich wieder,

 

Ich habe jetzt eine zweite netzwerkkarte eingebaut, aber ein paar Fragen bleiben mir leider noch. Vorerst beschreib ich aber erstmal wie weit ich bin:

 

Also, meine erste Netzwerkkarte hat die IP-Adresse 192.168.0.1. Dieser Anschluss steuert das Netzwerk mit den lokalen Clienten. Der Server übernimmt zur Zeit DHCP von den Adressen 192.168.0.3 bis 192.168.0.22. Zusätzlich ist DNS für den Bereich 192.168.0.x konfiguriert.

Der Server heißt "Konstrukt" und die Domäne lautet "cascade.net / cascade". Die Clienten haben soweit keine Probleme sich einzuloggen. Der Router wird über diese Karte nicht angesteuert.

 

Die zweite Netzwerkkarte hat die IP-Adresse 192.168.1.1 (die beiden Karten dürfen ja nicht im selben Adress-Bereich sein). Sie übernimmt bisher keine Dienste. Der Router hat die IP-Adresse 192.168.1.23. Diese Karte soll jedoch zukünftig über den Router für eine Internetverbindung sorgen und gleichzeitig über den Router VPN-Verbindungen aufnehmen.

 

Jetzt kommen meine Fragen:

 

1. Bei der zweiten Karte gebe ich als Gateway und DNS die IP des Routers an (192.168.1.23), jetzt sollte der Server ja ins Internet können.

 

2. Welches Gateway und DNS gebe ich jetzt aber bei der ersten Karte ein (diese Karte trägt die Adresse 192.168.0.1), denn ins Internet gehe ich ja über die zweite Karte?

 

3. Die Dienste DHCP und DNS sind auf meinem Rechner ja konfiguriert, ne Domäne hab ich auch. Diese Dienste sind aber alle auf den IP-Bereich 192.168.0.x konfiguriert, mit der zweiten Karte habe ich aber den Bereich 192.168.1.x. Die Frage die ich mir stelle ist, muss ich für die zweite Netzwerkkarte (192.168.1.x) DHCP und DNS zusätzlich einrichten, oder reicht es wenn ich unter DNS sage, daß der Server mit beiden IP-Adressen (192.168.0.1 und 192.168.1.1) arbeiten soll?

 

4. Wenn ich Routing uns Ras konfiguriere und im Wizard anklicke, daß ich einen VPN-Server einrichten will, dann wähle ich jetzt als Internetverbindung meine zweite Netzwerkkarte aus (192.168.1.1), da diese ja zum Router läuft. Wenn das Routing und Ras *offiziell* konfiguriert ist, dann werde ich aufgefordert unter DHCP-Relay... meinen DHCP-Server anzugeben. soweit so gut, aber muss ich jetzt den DHCP-Bereich für 192.168.0.x (erste Netwerkkarte für das eigentliche Heimnetz) oder 192.168.1.x (zweite Netzwerkkarte) angeben? Denn eigentlich kommen die Clienten über den Router ja über die zweite Karte (also 192.168.1.1)????????

 

Ich hoffe das war nicht zu verwirrend, ich werde jetzt erstmal weiter probieren......bisher ging immer alles wenn ich nur lange, lange, lange genug probiert habe ;-)

 

 

Danke

 

aLEx

Link zu diesem Kommentar

Hi Alex !

 

Original geschrieben von Maniac

Ich hoffe das war nicht zu verwirrend, ich werde jetzt erstmal weiter probieren......bisher ging immer alles wenn ich nur lange, lange, lange genug probiert habe ;-)

Geht mir auch immer so ! :)

Zu Deinen Fragen:

zu 2.)

DNS-Server: eigene IP

Gateway: leer

 

zu 3.)

Ich würd´s mit dem DNS-Server mit beiden IP´s versuchen.

 

zu. 4)

Die VPN-Cients müssen eine IP aus dem Bereich 192.168.1.x bekommen. Deren default Gateway ist der VPN-Server 192.168.1.1

 

In der Konfig des RRAS mußt Du auch ein LAN-Routing zwischen 192.168.0.x und 192.168.1.x konfigurieren.

 

Gruß Nino

 

PS: Meld Dich mal zwischendurch, wie weit Du kommst. Diese Variante VPN-Server hinterm Router hab ich nicht getestet. Interessiert mich, ob das so machbar ist.

Link zu diesem Kommentar

Habe ich eigentlich alles so gemacht, geht aber nicht.

 

nochmal kurz zu der sache mit dem lan-routing:

 

ich gebe doch unter "statischen routen" folgendes ein:

 

ziel 192.168.1.0

netzmaske 255.255.255.0

gateway 192.168.0.1

schnittstelle erste Netzwerkkarte (also Lan-Verbindung mit 192.168.0.1)

 

 

nächster eintrag:

 

 

ziel 192.168.0.0

netzmaske 255.255.255.0

gateway 192.168.1.1

schnittstelle zweite Netzwerkkarte (also Lan-Verbindung mit 192.168.1.1 zum router)

 

 

 

ich probiere jetzt erstmal weiter.

 

 

achja:

 

 

der Win98 client, der sich einloggen soll kriegt immer die Meldung er habe nicht die Berechtigung sich bei diesem Rechner einzuwählen, was kann das bedeuten????

 

 

 

gruß

 

 

aLEx

Link zu diesem Kommentar

Hi Maniac !

 

Die statische Route mußt Du an die VPN-Schnittstelle binden mit 192.168.1.0, mask 255.255.255.0, Gateway leer.

 

Dem User (auf der Win98-Kiste), der sich einwählen soll, mußt Du in der Userverwaltung Einwählrechte erteilen.

 

Was Olli L hier mit dem Stammserver/Rootzone will, weiß ich auch nicht. Ist entweder im falschen Thread gelandet oder hat sich das nicht durchgelesen.

 

Nino

Link zu diesem Kommentar

Danke für deine ständige Hilfe.

 

Ich hatte auch drüber nachgedacht, ob ich das Einwählen über VPN irgendwo authorisieren muss, hab die Idee aber aus irgend nem grund nicht weiter verfolgt.

 

naja, wenn ich probleme lösen muss, dann schießen mir tausende blöder Ideen in den Kopf, die hälfte davon vergess' ich dann wieder.

 

Ich werdes gleich mal probieren, ich schreib danach natürlich zurück

 

 

schöne Grüße und vielen Dank

 

von

 

aLEx

 

;-)

Link zu diesem Kommentar

Hi Maniac !

Mir wär allerdings lieber, hier würden noch andere ihre Meinung zu sagen. Ich hab diese Sache mal vor über 2 Jahren als Teststellung gebastelt und derzeit auch keinen Zugang zu einem RRAS-Server.

Also verlaß Dich nicht all zu sehr auf meine gutgemeinten Ratschläge. :)

Bin mal gespannt, ob dieser VPN hinter Router funktioniert. Ich hab das damals abgeblockt, mit "Das geht aus technischen Gründen nicht, ich brauch eine echte IP auf der Netzwerkkarte des Servers". Hab ich dann auch gekriegt. :D

 

Nino

Link zu diesem Kommentar

Halo erstmal,

 

also ich habe vor nicht all zu langer zeit selber einen VPN Server eingerichtet.

 

Eigentlich ist die sache sehr simple. Als erstes richtet man die Verbindung über die Netzwerkkarte eine (eine Netzwerkkarte langt) dann geht man hin und gibt einem User die berechtigung sich anzumelden über VPN. Wenn man sich jetzt noch aus dem WAN anmelden können soll bzw sich ins Netz verbinden soll muss ein router vorhanden sein, welcher auch vpn unterstützt es reicht nicht die ports von vpn zu forwarden man muss einen VPN ROuter haben. Für fragen stehe ich zur verfügung.

 

 

Sven

Link zu diesem Kommentar

Halli Hallo.

 

Der neuste Stand ist, daß mein VPN-Server verbindungen akzeptiert. Ich habe dies jedoch nicht mit einem CLienten aus dem Internet gemacht, sondern habe ich einen Clienten aus dem Lokalen Netzwerk umkonfiguriert und an die Stelle des Routers gesetzt. Dieser Rechner befindet sich zwar schon im Netzwerk und bräuchte keine VPN-Verbindung aber es lässt sich trotzdem durchführen.

 

Schließlich ist das Internet ja auch nur ein Großes Netzwerk ;-)

 

 

Ich habe den Router jetzt wieder dazwischen Gesetzt und bin im Internet. Wenn sich jetzt aber ein ´Client aus dem Internet mit mir Verbinden will, dann kriegt er die Meldung dass auf eine Anforderung nicht reagiert wird.

 

Ich glaube, dass das an den Ports liegt die ich durchleite.

 

Im Router ist derzeit eingetragen, daß er den Port 1723 durchgeleitet wird an meinen Server (über TCP).

 

Kann es sein, daß ich noch mehr Ports forwarden muss, vielleicht auch einen UDP-Port?????

 

 

gruß und danke an die die mir helfen wollen

 

Besonderer DANK gillt aber ZUSCHAUER, der mich hier durche 'geguided' hat ;-)

 

 

aLEx

Link zu diesem Kommentar

Hi Alex !

Ist ja schön, daß Du es intern am Laufen hast ! :)

Und jetzt kommt der Punkt, wo ich damals gesagt hab "Dat jeht nich!".

Aus dem Forum weiß ich aber inzwischen, daß es geht, DJ-Silver und AlexStarke fallen mir da als Namen ein.

DJ-Silver hast ja schon geschrieben, daß Dein Router VPN-fähig sein muß.

Was Du jetzt machen möchtest, ist eine VPN-Verbindung mit PPTP.

PPTP benutzt den Port 1723 und das Protokoll 47 (GRE). Und dieses Protokoll kann nur ein VPN-fähiger Router durchleiten.

Du müßtest also mal in Deinen Routerunterlagen nachsehen, ob der dazu fähig ist und wie Du das aktivierst.

Die 2. VPN-Variante ist L2TP. Dazu brauchst Du den Port 500 und das Protokoll 50. Aber mach mal erst PPTP.

 

Gruß Nino

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...