VPN (PPTP) mit einer NIC ohne AD funktioniert nicht
07.04.2011
07:51:38 Uhr1368 Aufrufe
7 Antworten
07:51:38 Uhr
7 Antworten
Wenig anspruchsvoll -1
Hallo,
ich habe ein Problem mit dem Einrichten von VPN (PPTP) auf einem Windows SBS 2003 (nicht R2).
Der Server ist hinter einem Router (Bintec X1200) und hat auch nur eine NIC mit dem der Server über einen Switch am Router hängt.
Auf dem Server habe ich über den Wizard den RAS Server eingerichtet und dieser lässt sich auch starten.
Lokal auf dem Server ist eine VPN-Verbindung möglich.
Auf dem Router ist NAT eingeschaltet und ich habe Portforwarding TCP 1723 und GRE 47 auf die Server Adresse eingerichtet.
Um sicher zu gehen das die Weiterleitung funktioniert habe ich die Tools PPTPclnt.exe (auf einem Client außerhalb des Netzwerkes) und PPTPsrv.exe (auf dem Server)
gestartet und dabei festgestellt, dass die Pakete auch über WAN richtig ausgetauscht werden.
Auch im Log des Routers sind zumindest eingehende Verbindungen sichtbar.
Leider funktioniert jedoch die Verbindung über den VPN Client (Window7 oder Android) nicht.
Im RAS Log ist auch kein Verbindungseintrag vorhanden.
Allerdings erscheint in der Ereignisanzeige eine Warning mit der EventID 20209 (ROUTERLOG_VPN_GRE_BLOCKED) was ja darauf hindeutet das die GRE Packete nicht ankommen.
Seltsamerweise sehe ich im Routerlog auch keine eingehenden GRE Pakete (obwohl das ja bei den Testtools der Fall war).
Momentan hab ich überhaupt keine Idee an was es liegen könnte.
Vielleicht kann mir hier jemand helfen?
Viele Dank schon mal im Voraus.
ich habe ein Problem mit dem Einrichten von VPN (PPTP) auf einem Windows SBS 2003 (nicht R2).
Der Server ist hinter einem Router (Bintec X1200) und hat auch nur eine NIC mit dem der Server über einen Switch am Router hängt.
Auf dem Server habe ich über den Wizard den RAS Server eingerichtet und dieser lässt sich auch starten.
Lokal auf dem Server ist eine VPN-Verbindung möglich.
Auf dem Router ist NAT eingeschaltet und ich habe Portforwarding TCP 1723 und GRE 47 auf die Server Adresse eingerichtet.
Um sicher zu gehen das die Weiterleitung funktioniert habe ich die Tools PPTPclnt.exe (auf einem Client außerhalb des Netzwerkes) und PPTPsrv.exe (auf dem Server)
gestartet und dabei festgestellt, dass die Pakete auch über WAN richtig ausgetauscht werden.
Auch im Log des Routers sind zumindest eingehende Verbindungen sichtbar.
Leider funktioniert jedoch die Verbindung über den VPN Client (Window7 oder Android) nicht.
Im RAS Log ist auch kein Verbindungseintrag vorhanden.
Allerdings erscheint in der Ereignisanzeige eine Warning mit der EventID 20209 (ROUTERLOG_VPN_GRE_BLOCKED) was ja darauf hindeutet das die GRE Packete nicht ankommen.
Seltsamerweise sehe ich im Routerlog auch keine eingehenden GRE Pakete (obwohl das ja bei den Testtools der Fall war).
Momentan hab ich überhaupt keine Idee an was es liegen könnte.
Vielleicht kann mir hier jemand helfen?
Viele Dank schon mal im Voraus.
aqui schreibt am 07.04.2011 um 11:09:26 Uhr
Wäre in der tat die technisch sinnvollere Lösung als die Frickelei hinter dem NAT Router. Nundenn....
Vermutlich schlägt die Server interne Firewall zu wie immer in solchen Fällen wenn IP Pakete von fremden Netzen (Internet, remote) reinkommen.
Du solltest also für den PPTP Dienst diese IP Netze freischalten.
Ansonsten steht alles relevante was du dazu wissen musst in diesem Tutorial:
http://www.administrator.de/index.php?con ...
...auch ein HowTo für Windows PPTP Knechte....
Vermutlich schlägt die Server interne Firewall zu wie immer in solchen Fällen wenn IP Pakete von fremden Netzen (Internet, remote) reinkommen.
Du solltest also für den PPTP Dienst diese IP Netze freischalten.
Ansonsten steht alles relevante was du dazu wissen musst in diesem Tutorial:
http://www.administrator.de/index.php?con ...
...auch ein HowTo für Windows PPTP Knechte....
aqui schreibt am 09.04.2011 um 13:36:08 Uhr
Das behaupten immer alle das sie aus ist. Die "GRE Blocked" Message oben beweist dir ja das genaue Gegenteil und nährt eher den Verdacht das die PPTP Session gar nicht zustandekommt, was die fehlenden Log Einträge auch eher noch verhärten...
Nimm dir also am besten einen Wireshark Sniffer oder den MS NetMonitor und prüfe ob wirklich alle Sessions der PPTP Verbindung (GRE mit IP Prot.Nummer 47 und TCP 1723) wirklich auf den VPN Server durchkommen.
Sehr wahrscheinlich liegt hier den Problem.
Noch besser ist du investierst ein paar Euro für die VPN Lizenz auf dem Router !!
Nimm dir also am besten einen Wireshark Sniffer oder den MS NetMonitor und prüfe ob wirklich alle Sessions der PPTP Verbindung (GRE mit IP Prot.Nummer 47 und TCP 1723) wirklich auf den VPN Server durchkommen.
Sehr wahrscheinlich liegt hier den Problem.
Noch besser ist du investierst ein paar Euro für die VPN Lizenz auf dem Router !!
hr1179 schreibt am 11.04.2011 um 12:26:28 Uhr
Also jetzt hab ich mal auf dem Server und auf dem Client den Wireshark Sniffer laufen lassen.
Mit dem Testtool kommen GRE Pakete beim Server an.
Mit dem Windows 7 PPTP Client kommen jedoch keine GRE Pakete an.
Am Client sieht man, das GRE 47 Pakete rausgehen und ICMP Pakete vom Server mit zurückkommen.
ICMP ist aber am Client (oder eher am Router) nicht offen (Destination unreachable). Könnte das der Grund sein?
Etwas seltsam ist, dass die Checksumme der ausgehenden GRE 47 Pakete immer 0x0000 ist und damit nicht korrekt.
Wegen der VPN Lizenz frag ich nochmal bei Bintect bzw. Funkwerk nach. Soweit ich weiß ist die aber nicht mehr verfügbar.
Mit dem Testtool kommen GRE Pakete beim Server an.
Mit dem Windows 7 PPTP Client kommen jedoch keine GRE Pakete an.
Am Client sieht man, das GRE 47 Pakete rausgehen und ICMP Pakete vom Server mit zurückkommen.
ICMP ist aber am Client (oder eher am Router) nicht offen (Destination unreachable). Könnte das der Grund sein?
Etwas seltsam ist, dass die Checksumme der ausgehenden GRE 47 Pakete immer 0x0000 ist und damit nicht korrekt.
Wegen der VPN Lizenz frag ich nochmal bei Bintect bzw. Funkwerk nach. Soweit ich weiß ist die aber nicht mehr verfügbar.
aqui schreibt am 11.04.2011 um 12:34:26 Uhr
OK, dann ist die Sache eindeutig, denn dann ist irgendwo im Pfad des Clients zum Server eine Firewall oder ein NAT Router oder was auch immer was GRE Pakete filtert.
Logisch das die GRE Pakete des Clients auch ankommen müssen, denn sonst kann das VPN natürlich nicht funktionieren !!
ICMP ist dazu (PPTP VPN) nicht zwingend erforderlich wäre aber zum Management der Sessiosn hilfreich. Redirect, Unreachable usw. also generell Typ 0 bis 9 ICMPs sollte man immer besser passieren lassen...
Logisch das die GRE Pakete des Clients auch ankommen müssen, denn sonst kann das VPN natürlich nicht funktionieren !!
ICMP ist dazu (PPTP VPN) nicht zwingend erforderlich wäre aber zum Management der Sessiosn hilfreich. Redirect, Unreachable usw. also generell Typ 0 bis 9 ICMPs sollte man immer besser passieren lassen...
