hoschi2 10 Posted August 30, 2005 Report Share Posted August 30, 2005 hi gemäß diesem diesem How-To hab ich auf einem Windows Server 2003 eine VPN Verbindung erstellt und gleich mal im internen LAN getestet und siehe da , es läuft. Das ist zwar schön und gut und sagt mir dass ich einiges richtig eingestellt haben muss, doch leider kann ich übers Internet ,wozu VPN ja gedacht ist , diese Verbindung nicht nutzen. Trotz richtiger IP des Servers und korrektem Benutzernamen und Passwortes auf dem Client PC kommt die Meldung ' Verbindung kann nicht hergestellt werden. Das Serversystem sieht folgendermanßen aus : Der Server hat 2 Netzwerkkarten ,an einer hängt der Switch mitsammt den ganzen Rechnern und an der andern der ROuter ,der sich um die Verbindung ins Internet kümmert. Dort habe ich den Port 1372 mittels Virtual Server Option auf den Server durchgestellt. Jetzt sollte doch eigentlich alles funzen . Tuts aber nicht . Entweder liegt das Problem am Router oder ich muss in den RAS Einstellungen irgendwo noch reinfriemeln dass die VPN Verbindung auch von außen kommen darf, weil im LAN läufts ja. Wer kann mir helfen ? DANKE schon mal im vorraus. Quote Link to comment
grizzly999 11 Posted August 30, 2005 Report Share Posted August 30, 2005 Dort habe ich den Port 1372 mittels Virtual Server Option auf den Server durchgestellt. Schreibfehler? Ist der Port 1723. Ausserdem muss die FW VPN-Passthrough unterstützen. grizzly999 Quote Link to comment
hoschi2 10 Posted August 30, 2005 Author Report Share Posted August 30, 2005 ja ist port 1723 FW = ? Firewall , hab ich nicht Firmware ? kannst du mir nicht noch mehr helfen ? Danke Quote Link to comment
grizzly999 11 Posted August 30, 2005 Report Share Posted August 30, 2005 FW=Firewall (dein Router, den du konfiguriert hast). Der muss wie geasgt PassTruogh unterstützen und man muss die Weiterleitung dieser verschlüsselten Pakete (GRE-Pakete) auch erst einrichten. Wie, das ist von Firewall zu Firewall unterschiedlich, read the manual ;) Es gibt auch wenige ältere Modelle, die das nicht können ,aber alle gängigen, auch im Consumer-Bereich, können das grizzly999 Quote Link to comment
hoschi2 10 Posted August 31, 2005 Author Report Share Posted August 31, 2005 hmm, dass VPN nur funktoniert wenn der Router PassTruogh unterstützt ist mir neu. Klar , es gibt Router mit denen man VPN schon direkt einrichten kann , dass aber VPN mit einem Router der nichts mit VPN zu tun hat nicht funktionieren soll kann ich nicht glauben. Dann übernimtm halt er Server diese Funktion. Wemm ich den Port 1723 durchschalte müsste doch ganz einfach gesagt alles was mit VPN zu tun hat auch an den Server weitergeleitet werden , oder nicht ? Ich hab schon einigen How To's und Anleitungen zum Thema VPN gelesen.Darin stand aber nie dass der Router VPN auch zwingend unterstützen muss. Es muss ja wohl auch so gehen . Quote Link to comment
hoschi2 10 Posted August 31, 2005 Author Report Share Posted August 31, 2005 das hab ich zum Thema Router/Firewall vor VPN Server gefunden : Für PPTP reicht auf der Serverseite der Port 1723 TCP, d.h. dass dieser Port an den VPN-Server durchgereicht werden muss. Dennoch klappt nicht mit allen Routern die Verbindungsaufnahme. Damit der VPN-Server hinter dem Router erreichbar ist, muss der Router für eintreffende PPTP-Verbindungen diese ins lokale Netz weiterleiten (Port Forwarding) bzw. die Firewall diese durchlassen. PPTP verwendet jedoch nicht TCP/UDP sondern GRE (Generic Routing Encapsulation) als Transportprotokoll (Protokollnummer 47). Dies können nicht alle Router an einen VPN-Server weiterleiten. Viele Hersteller meinen mit VPN-Fähigkeit lediglich, dass der Router mit einem VPN-Server verbinden kann, nicht aber vor einem VPN-Server funktioniert. Das Problem ist daher der Router/die Firewall vor dem VPN-Server. Entweder muss hier auch das GRE-Protokoll für den Server-Rechner weitergeleitet werden oder der Rechner komplett von der Firewall (bzw. der des Routers) freigestellt werden (nennt sich meist DMZ, wenn es auch eher ein Exposed Host darstellt). Die 2. Lösung macht den Rechner aber für alle Angriffe von außen angreifbar und sollte daher nur eine Notlösung darstellen. Was zum Geier ist DMZ ? Quote Link to comment
weg5st0 10 Posted August 31, 2005 Report Share Posted August 31, 2005 das hab ich zum Thema Router/Firewall vor VPN Server gefunden :Das Problem ist daher der Router/die Firewall vor dem VPN-Server. Entweder muss hier auch das GRE-Protokoll für den Server-Rechner weitergeleitet werden oder der Rechner komplett von der Firewall (bzw. der des Routers) freigestellt werden (nennt sich meist DMZ, wenn es auch eher ein Exposed Host darstellt). Die 2. Lösung macht den Rechner aber für alle Angriffe von außen angreifbar und sollte daher nur eine Notlösung darstellen. Was zum Geier ist DMZ ? Hi, DMZ = Demilitarized Zone = Spezieller Netzwerkbereich der "öffentliche" Dienste im Internet anbietet und auch "private" Zugriffe tätigen kann. MS nennt das auch Perimeternetzwerk. Die obige Beschreibung ist aber falsch! DMZ würde heissen: Internet ----- Externe FIREWALL --------- DMZ ---------- Interne Firewall ---------- privtaes LAN Manchmal ist die Externe und die Interne Firewall ein und dasselbe Gerät mit dann mindestens 3 Schnittstellen (Int, Ext, DmZ). Quote Link to comment
hoschi2 10 Posted August 31, 2005 Author Report Share Posted August 31, 2005 und was muss ich jetzt in meinem VPN unfreundlichen Router einstellen ,damit es trotzdem funzt . Quote Link to comment
weg5st0 10 Posted August 31, 2005 Report Share Posted August 31, 2005 Einen anderen kaufen der das kann - sorry aber ist leider so! Quote Link to comment
hoschi2 10 Posted August 31, 2005 Author Report Share Posted August 31, 2005 Erstmal vielen Dank für die Hilfe .Dieses Forum ist wircklich super. VPN wird bei mir wohl nicht ohne neuen Router laufen. Deshalb hab ich jetzt versucht einen FTP Server aufzubauen mit Quick 'n Easy FTP Server . Da hab ich aber das fast gleiche Problem . Innerhalb des LANs kann ich darauf zugreifen, von außerhalb aber nicht . Port 21 TCP und UDP hab ich im Router auf den Server durchgestellt. Das müsste doch eigentlich funktionieren . Wo liegt das Problem ? ? ? ? Am Router kanns jetzt ja nicht liegen. Quote Link to comment
hoschi2 10 Posted September 1, 2005 Author Report Share Posted September 1, 2005 windows 2003 server hat doch keine firewall ? Quote Link to comment
lasseboo 10 Posted September 1, 2005 Report Share Posted September 1, 2005 moin, kollegen, hmm, dass VPN nur funktoniert wenn der Router PassTruogh unterstützt ist mir neu. ich vermute auch mal stark, dass dein vpn-passthrough nur für ipsec-verbindungen benötigt werden wird. Wemm ich den Port 1723 durchschalte müsste doch ganz einfach gesagt alles was mit VPN zu tun hat auch an den Server weitergeleitet werden , oder nicht ? du musst auf deinem router das gre-protokoll _und_ 1723 durchschleusen. gruss lasseboo Quote Link to comment
hoschi2 10 Posted September 1, 2005 Author Report Share Posted September 1, 2005 ich kann das gre protokoll bei meinem Router nicht durchschleußen. Deshalb probier ich jetzt einen FTP Server zu machen , aber das geht auch nicht (siehe 2 posts vorher) Quote Link to comment
lasseboo 10 Posted September 1, 2005 Report Share Posted September 1, 2005 windows 2003 server hat doch keine firewall ? ich hab sie vor etwa einer halben stunde noch konfiguriert ... ;-) gruss Quote Link to comment
lasseboo 10 Posted September 1, 2005 Report Share Posted September 1, 2005 Erstmal vielen Dank für die Hilfe .Dieses Forum ist wircklich super. VPN wird bei mir wohl nicht ohne neuen Router laufen. Deshalb hab ich jetzt versucht einen FTP Server aufzubauen mit Quick 'n Easy FTP Server . Da hab ich aber das fast gleiche Problem . Innerhalb des LANs kann ich darauf zugreifen, von außerhalb aber nicht . Port 21 TCP und UDP hab ich im Router auf den Server durchgestellt. Das müsste doch eigentlich funktionieren . Wo liegt das Problem ? ? ? ? Am Router kanns jetzt ja nicht liegen. vielleicht doch...?! ftp-data 20/tcp ftp 21/tcp verbindungsaufbau von ausserhalb auf ftp: geht auf port 21 tcp IIRC dein server wird dann über das gateway hinweg versuchen, auf port 20 eine neue verbindung zum im internet stehenden client aufzubauen. wenn du willst, gib mir deine ip, und ich versuch mal, von aussen auf deinen server zu kommen. gruss warzenpower Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.