38396
Feb 12, 2010, updated at Oct 18, 2012 (UTC)
5903
14
1
VPN ZUgriff auf VM XP unter Windows 2003 Server.
VPN Zugriff klappt nimmer
Hallo zusammen,
ich habe folgende Situation:
Win 2003 R2 Std.
RAS und Routing installiert, VPN aktiviert
auf dem Server lauft eine VM mit Windows XP Sp3 (Name: ts-xp, IP: 192.168.0.210) alle Firewalls sind testweise aus.
Auf der VM soll sich ein einzelner Anwender via RDP einwählen.
Der RAS vergibt den IP kreis 10.78.12.2/5.
Ween ich mich per VPN einwähle kann ich zwar den Server mit via RDP Name und IP-adresse aufrufen und arbeiten.
Ich will aber auf die ts-xp Maschine. Die kennt er aber nicht.
Auf der ts-xp habe ich folgendes Routinh eingerichtet:
route add 10.78.12.0 mask 255.255.255.0 192.168.0.210
aber ich kann nicht auf die Maschine mit dem NAmen ts-vm.
Wo ist denn der Fehler ? Das sollte doch so gehen? oder?
Der Port 3389 ist via Regel auf dem Router auf den Server gerichtet.
ich habe folgende Situation:
Win 2003 R2 Std.
RAS und Routing installiert, VPN aktiviert
auf dem Server lauft eine VM mit Windows XP Sp3 (Name: ts-xp, IP: 192.168.0.210) alle Firewalls sind testweise aus.
Auf der VM soll sich ein einzelner Anwender via RDP einwählen.
Der RAS vergibt den IP kreis 10.78.12.2/5.
Ween ich mich per VPN einwähle kann ich zwar den Server mit via RDP Name und IP-adresse aufrufen und arbeiten.
Ich will aber auf die ts-xp Maschine. Die kennt er aber nicht.
Auf der ts-xp habe ich folgendes Routinh eingerichtet:
route add 10.78.12.0 mask 255.255.255.0 192.168.0.210
aber ich kann nicht auf die Maschine mit dem NAmen ts-vm.
Wo ist denn der Fehler ? Das sollte doch so gehen? oder?
Der Port 3389 ist via Regel auf dem Router auf den Server gerichtet.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135804
Url: https://administrator.de/contentid/135804
Printed on: April 23, 2024 at 16:04 o'clock
14 Comments
Latest comment
moin
bin zwar nicht der grosse routing-experte, aber mit den angaben kann das auch nicht klappen. läßt du dir die adresse zuweisen oder trägst du die per hand ein??
bei meinen vpn-verbindungen sieht das ungefähr so aus (teamviewer)
ipadresse 5.57.231.3
subnet 255.0.0.0
gateway
dns 7.0.01
auch ne vm nur auf nem xp-rechnern, und das klappt
und port 3389 wird soviel ich weiß, von ms remotedesktop benutzt, also wozu umbiegen?
poste mal nen ipconfig /all von der vm
gruß dirk
bin zwar nicht der grosse routing-experte, aber mit den angaben kann das auch nicht klappen. läßt du dir die adresse zuweisen oder trägst du die per hand ein??
bei meinen vpn-verbindungen sieht das ungefähr so aus (teamviewer)
ipadresse 5.57.231.3
subnet 255.0.0.0
gateway
dns 7.0.01
auch ne vm nur auf nem xp-rechnern, und das klappt
und port 3389 wird soviel ich weiß, von ms remotedesktop benutzt, also wozu umbiegen?
poste mal nen ipconfig /all von der vm
gruß dirk
Hallo Dirk,
ipconfig -all:
IP 192.168.0.210
Subnet 255.255.255.0
Gateway 192.168.0.254
DNS 192.168.0.111
route print 10.78.12.0 mask 255.255.255.0 192.168.0.111
die Adressen von RAS werden mit DHCP Verteilt. Also 10.78.12.0/5
Ipconfig -all bei auggebauter Verbindung:
192.168.0.12
255.255.255.0
192.168.0.1
192.168.0.30
PPP-LAN
10.78.12.2
255.0.0.0
Aufbau auf 10.78.12.1 auf den Server klappt problemlos, aber halt net auf die VM-XP.
Aber wo ist der Fehler beim Routing, ich seh es einfach net
das mit dem 3389 Port ist natürlich richtig.
ipconfig -all:
IP 192.168.0.210
Subnet 255.255.255.0
Gateway 192.168.0.254
DNS 192.168.0.111
route print 10.78.12.0 mask 255.255.255.0 192.168.0.111
die Adressen von RAS werden mit DHCP Verteilt. Also 10.78.12.0/5
Ipconfig -all bei auggebauter Verbindung:
192.168.0.12
255.255.255.0
192.168.0.1
192.168.0.30
PPP-LAN
10.78.12.2
255.0.0.0
Aufbau auf 10.78.12.1 auf den Server klappt problemlos, aber halt net auf die VM-XP.
Aber wo ist der Fehler beim Routing, ich seh es einfach net
das mit dem 3389 Port ist natürlich richtig.
Zuallererst mal: "...vergibt den IP kreis 10.78.12.2/5 " ??
Was soll das bitte sein ?? Erstens vergibt man keine "Kreise" im IP Networking und nach gängiger Nomenklatur ist diese Angabe auch kein IP Netz was üblich ist sondern eine Hostadresse !!!
Netzwerker lesen sowas als HostIP 10.78.12.2 mit einer 5 Bit Subnetzmaske ( /5 ) was dann einen IP Adressbereich von 8.0.0.1 bis 15.255.255.254 bedeutet !!!
Ist dem so, oder hattest du nur einen nervösen Tippfinger und meinst damit das IP Netz
10.78.12.0 mit einer 24 Bit Maske also den IP Adressbereich 10.78.12.1 bis 10.78.12.254 ??
Oder ist es vielleicht 10.78.12.0 mit einer 25 Bit Maske /25 und dem IP Adressbereich 10.78.12.1 bis 10.78.12.126 ??
Das solltest du erstmal klären !!
2te Kardinalsfrage die du nicht beantwortet hast: WIE ist deine XP VM in den VM Netzwerk Settings angebunden an den Host ??
Bei der 2ten Möglichkeit ist so gar kein RDP Zugriff möglich, denn das blockt die NAT Firewall in einem NAT Setup. Hier müsstest du ein Port Forwarding im VM NAT eintragen von TCP 3389 auf die lokale IP der VM
Die 3te Möglichkeit ist die einfachste, denn da muss man gar nix machen außer vielleicht die Windows Firewall anpassen das sie im Remote Desktop Dienst alle Computer inklusive Internet in den Bereicheinstellungen aktiviert hat. (Gilt auch für Möglichkeit 1)
Möglichkeit 3 ist also die am wenigsten komplizierte... Leider versäumst du uns ja genau mitzuteilen was du machst so das eine qualifizierte Hilfe dann eben ins Raten abgleitet hier...aber wenn dir das reicht ists ja OK.
Was soll das bitte sein ?? Erstens vergibt man keine "Kreise" im IP Networking und nach gängiger Nomenklatur ist diese Angabe auch kein IP Netz was üblich ist sondern eine Hostadresse !!!
Netzwerker lesen sowas als HostIP 10.78.12.2 mit einer 5 Bit Subnetzmaske ( /5 ) was dann einen IP Adressbereich von 8.0.0.1 bis 15.255.255.254 bedeutet !!!
Ist dem so, oder hattest du nur einen nervösen Tippfinger und meinst damit das IP Netz
10.78.12.0 mit einer 24 Bit Maske also den IP Adressbereich 10.78.12.1 bis 10.78.12.254 ??
Oder ist es vielleicht 10.78.12.0 mit einer 25 Bit Maske /25 und dem IP Adressbereich 10.78.12.1 bis 10.78.12.126 ??
Das solltest du erstmal klären !!
2te Kardinalsfrage die du nicht beantwortet hast: WIE ist deine XP VM in den VM Netzwerk Settings angebunden an den Host ??
- Per Host Konfig also mit einem isolierten IP Netzwerk ?
- Per NAT (Adress Translation) ?
- Per Bridging also gleiches IP Netz wie der Host ?
Bei der 2ten Möglichkeit ist so gar kein RDP Zugriff möglich, denn das blockt die NAT Firewall in einem NAT Setup. Hier müsstest du ein Port Forwarding im VM NAT eintragen von TCP 3389 auf die lokale IP der VM
Die 3te Möglichkeit ist die einfachste, denn da muss man gar nix machen außer vielleicht die Windows Firewall anpassen das sie im Remote Desktop Dienst alle Computer inklusive Internet in den Bereicheinstellungen aktiviert hat. (Gilt auch für Möglichkeit 1)
Möglichkeit 3 ist also die am wenigsten komplizierte... Leider versäumst du uns ja genau mitzuteilen was du machst so das eine qualifizierte Hilfe dann eben ins Raten abgleitet hier...aber wenn dir das reicht ists ja OK.
Hallo
ich vergebe nur noch eine IP, die 10.78.12.6, die bekomme ich auch per VPN mit RAS zugewiesen.
Ich kann der Server per ping 10.78.12.5 erreichen
DIe VM hat eine fixe IP 192.168.0.210 und ist per Bridging eingebunden. Ich kann auch lokal per mstsc die vm ansprechen, über VPN halt nicht.
Firewalls sind alle aus.
Das das problem am routing liegt ist mir klar aber WO?
ich vergebe nur noch eine IP, die 10.78.12.6, die bekomme ich auch per VPN mit RAS zugewiesen.
Ich kann der Server per ping 10.78.12.5 erreichen
DIe VM hat eine fixe IP 192.168.0.210 und ist per Bridging eingebunden. Ich kann auch lokal per mstsc die vm ansprechen, über VPN halt nicht.
Firewalls sind alle aus.
Das das problem am routing liegt ist mir klar aber WO?
moin
können die beiden pc´s mit einander komunizieren ohne vpn, kommt die virtuelle maschine ins inet, die beiden pc´s haben berschiedene gateways, wenn ich das richtig sehe.
mal was anderes, womit arbeitest du vmware-player, ~server oder was, welsche netzwerkkarte benutzt die virtuelle maschineam beispiel vmware-server : serveröberflächen - host - virtual network editor - host virtual network mapping - vmnet0 oder was???
als beispiel. bei vmnet0 müssten alle deine netzwerkkarten des hostes stehen, da deine standartnetzwerkkarten nehmen und nochmal prob. und die anderen vmnet1 usw. deaktivieren.
gruß dirk
können die beiden pc´s mit einander komunizieren ohne vpn, kommt die virtuelle maschine ins inet, die beiden pc´s haben berschiedene gateways, wenn ich das richtig sehe.
mal was anderes, womit arbeitest du vmware-player, ~server oder was, welsche netzwerkkarte benutzt die virtuelle maschineam beispiel vmware-server : serveröberflächen - host - virtual network editor - host virtual network mapping - vmnet0 oder was???
als beispiel. bei vmnet0 müssten alle deine netzwerkkarten des hostes stehen, da deine standartnetzwerkkarten nehmen und nochmal prob. und die anderen vmnet1 usw. deaktivieren.
gruß dirk
Nun wirds unklar....
Ist dein VPN Server auch der VM Host ??
Wenn ja, wie kann es dann sein das du von Bridging sprichst aber dennoch in unterschiedlichen IP Netzen arbeitest ??
Zwischen 10.78.12.0 /24 und 192.168.0.0 /24 ist ja technsich nun mal kein Bridging möglich, da es ja eindeutig 2 unterschiedliche IP Netze sind !
Oder....
benutzt du für dein VPN ein dediziertes IP Netz und 192.168.0.0 /24 ist nur auf dem LAN des VM Hosts konfiguriert, was dann logischerweise gleichzeitig auch für die XP VM gilt die dann auch zwindend eine IP im 192.168.0.0er Netz haben muss bei VM Bridging ?!
Da solltest du erstmal etwas Licht ins Dunkel bringen...
Wie man Routing aktiviert kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Etwas anderes Szenario aber die Routing Mechanismen sind identisch !
Ist dein VPN Server auch der VM Host ??
Wenn ja, wie kann es dann sein das du von Bridging sprichst aber dennoch in unterschiedlichen IP Netzen arbeitest ??
Zwischen 10.78.12.0 /24 und 192.168.0.0 /24 ist ja technsich nun mal kein Bridging möglich, da es ja eindeutig 2 unterschiedliche IP Netze sind !
Oder....
benutzt du für dein VPN ein dediziertes IP Netz und 192.168.0.0 /24 ist nur auf dem LAN des VM Hosts konfiguriert, was dann logischerweise gleichzeitig auch für die XP VM gilt die dann auch zwindend eine IP im 192.168.0.0er Netz haben muss bei VM Bridging ?!
Da solltest du erstmal etwas Licht ins Dunkel bringen...
Wie man Routing aktiviert kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Etwas anderes Szenario aber die Routing Mechanismen sind identisch !
Ich versuche nochmals die Situation zu erläutern:
Einen w2k3 std Sever (HOST) mit dhcp mit ip kreis 192.168.0.50- 192.168.0.100.
Darauf installiert ein GAST VM (XPsp3) mit Fix IP 192.168.0.210 /Bridging
RAS und Routingauf dem Server ist aktiviert , der RAS Server vergibt die IP 10.78.12.6. Der IP Kreis ist deswegen gewählt um keine Konflikte mit meinen eigenen IP Bereich zu bekommen. der ist halt auch 192.168.0.0/24
Wenn ich mit dem VPN Client einwähle bekomme ich die 10.78.12.6 zugewiesen.
Wie komme ich jetzt von meiner 10.78.12.6 auf meine 192.168.0.210 ?
mit route add 10.78.12.0 mask 255.25.255.0 192.168.0.210
geht es halt nicht
Einen w2k3 std Sever (HOST) mit dhcp mit ip kreis 192.168.0.50- 192.168.0.100.
Darauf installiert ein GAST VM (XPsp3) mit Fix IP 192.168.0.210 /Bridging
RAS und Routingauf dem Server ist aktiviert , der RAS Server vergibt die IP 10.78.12.6. Der IP Kreis ist deswegen gewählt um keine Konflikte mit meinen eigenen IP Bereich zu bekommen. der ist halt auch 192.168.0.0/24
Wenn ich mit dem VPN Client einwähle bekomme ich die 10.78.12.6 zugewiesen.
Wie komme ich jetzt von meiner 10.78.12.6 auf meine 192.168.0.210 ?
mit route add 10.78.12.0 mask 255.25.255.0 192.168.0.210
geht es halt nicht
moin
weise deinem server auch eine vpn-adresse zu und schon sind die beiden wieder im geichen netz und können kommunizieren.
gruß dirk
weise deinem server auch eine vpn-adresse zu und schon sind die beiden wieder im geichen netz und können kommunizieren.
gruß dirk
OK das klärt die Sache erstmal auf IP technisch !!
Vermutlich machst du dann ein PPTP VPN auf den Server. Da gibt es nun 2 Möglichkeiten beim VPN Client:
VPNs einrichten mit PPTP
1.) Du setzt den Haken bei Standardgateway für das Remotenetzwerk verwenden !
2.) du setzt diesen Haken nicht !
Bei 1. geht generell ALLES durch den Tunnel auch Pakete auf dein 192.168.0.0er Zielnetz aber du kannst mit dem Client lokal nicht mehr arbeiten.
Bei 2. ist es etwas subtiler. Generell gehen erstmal nur Pakete des VPN Netzes in den Tunnel aber wenn der Server dem VPN Client das 192.168.0.0er netz bekannt macht dann auch diese Pakete.
Ob das bei dir so ist kannst du klären wenn du bei aktivem VPN einmal das Kommando route print eingibst. Steht dort dein 192.168.0.0er Netz mit Gateway des VPN Adapters drin ist das der Fall.
Wenn nicht routet routet es der Client lokal über einen Internetrouter oder was auch immer ins Nirwana.
Das solltest du also als allererstes klären ob dein VPN Routing korrekt ist.
Traceroute (tracert) und Pathping sind da wichtige Hilfsmittel zeigen sie dir doch alle Hops auf dem Weg zum Ziel an !!
Wichtig ist auch das der VPN Client sich NIE selber in einem 192.168.0.0er Netz befinden darf, denn sonst hättest du 2 Adapter (VPN und LAN) mit dem gleichen IP Netz und dann ist eh alles aus. Siehe goldene Regel zum IP VPN Adressdesign:
VPNs einrichten mit PPTP
Dein VPN Client darf also NIEMALS selber in deinem 192.168.0.0er LAN sein !!
Steck also zum VPN Test eine 2te Netzwerkakrte in deinen Server oder nutz einen billigen Router !
Ist das Routing OK und alle 192.168.0.0 Pakete gehen in den Tunnel und es geht dennoch nicht, dann kann das an der XP VM liegen. Hat diese als Default Gateway z.B. einen Router ins Internet mit der 192.168.0.1 oder gar kein Standard Gateway konfiguriert kann es logischerweise die IP Pakete aus dem 10.78.12.0er VPN Netz die vom Client kommen entweder gar nicht zurücksenden (kein Gateway) oder sendet sie an den Internet Router der sie dann ins Internet und somit ins Nirwana sendet.
Hier musst du dem XP VM System also sagen das es doch 10.78.12.0er IP Pakete bitte an den VPN Server schicken soll damit sie auch wieder beim Client ankommen !
Das geht dann mit einer statischen Route ala:
route add 10.78.12.0 mask 255.255.255.0 192.168.0.222 -p (Wenn der VPN Server die 192.168.0.222 hat und dein VPN eine 24 Bit Subnetzmaske hat 255.255.255.0 !!)
Oder indem du das Standatgateway auf die VPN Server IP setzt aber dann klappt ggf. das Internet nicht mehr.
Erst damit ist dein Routing dann endlich sauber ! Vermutlich hast du nichts von dem o.a. umgesetzt
Wenn es dennoch nicht klappen sollte kann es nur noch ein Firewall Problem sein !!
Vermutlich machst du dann ein PPTP VPN auf den Server. Da gibt es nun 2 Möglichkeiten beim VPN Client:
VPNs einrichten mit PPTP
1.) Du setzt den Haken bei Standardgateway für das Remotenetzwerk verwenden !
2.) du setzt diesen Haken nicht !
Bei 1. geht generell ALLES durch den Tunnel auch Pakete auf dein 192.168.0.0er Zielnetz aber du kannst mit dem Client lokal nicht mehr arbeiten.
Bei 2. ist es etwas subtiler. Generell gehen erstmal nur Pakete des VPN Netzes in den Tunnel aber wenn der Server dem VPN Client das 192.168.0.0er netz bekannt macht dann auch diese Pakete.
Ob das bei dir so ist kannst du klären wenn du bei aktivem VPN einmal das Kommando route print eingibst. Steht dort dein 192.168.0.0er Netz mit Gateway des VPN Adapters drin ist das der Fall.
Wenn nicht routet routet es der Client lokal über einen Internetrouter oder was auch immer ins Nirwana.
Das solltest du also als allererstes klären ob dein VPN Routing korrekt ist.
Traceroute (tracert) und Pathping sind da wichtige Hilfsmittel zeigen sie dir doch alle Hops auf dem Weg zum Ziel an !!
Wichtig ist auch das der VPN Client sich NIE selber in einem 192.168.0.0er Netz befinden darf, denn sonst hättest du 2 Adapter (VPN und LAN) mit dem gleichen IP Netz und dann ist eh alles aus. Siehe goldene Regel zum IP VPN Adressdesign:
VPNs einrichten mit PPTP
Dein VPN Client darf also NIEMALS selber in deinem 192.168.0.0er LAN sein !!
Steck also zum VPN Test eine 2te Netzwerkakrte in deinen Server oder nutz einen billigen Router !
Ist das Routing OK und alle 192.168.0.0 Pakete gehen in den Tunnel und es geht dennoch nicht, dann kann das an der XP VM liegen. Hat diese als Default Gateway z.B. einen Router ins Internet mit der 192.168.0.1 oder gar kein Standard Gateway konfiguriert kann es logischerweise die IP Pakete aus dem 10.78.12.0er VPN Netz die vom Client kommen entweder gar nicht zurücksenden (kein Gateway) oder sendet sie an den Internet Router der sie dann ins Internet und somit ins Nirwana sendet.
Hier musst du dem XP VM System also sagen das es doch 10.78.12.0er IP Pakete bitte an den VPN Server schicken soll damit sie auch wieder beim Client ankommen !
Das geht dann mit einer statischen Route ala:
route add 10.78.12.0 mask 255.255.255.0 192.168.0.222 -p (Wenn der VPN Server die 192.168.0.222 hat und dein VPN eine 24 Bit Subnetzmaske hat 255.255.255.0 !!)
Oder indem du das Standatgateway auf die VPN Server IP setzt aber dann klappt ggf. das Internet nicht mehr.
Erst damit ist dein Routing dann endlich sauber ! Vermutlich hast du nichts von dem o.a. umgesetzt
Wenn es dennoch nicht klappen sollte kann es nur noch ein Firewall Problem sein !!
moin
mal was ganz anderes, ist es überhaupt möglich sich ne vpn-adresse zuweisen zu lassen wenn der server im gleichen ip-netzwerk ist wie der client.
vielleicht ist das dein prob.
gruß dirk
mal was ganz anderes, ist es überhaupt möglich sich ne vpn-adresse zuweisen zu lassen wenn der server im gleichen ip-netzwerk ist wie der client.
vielleicht ist das dein prob.
gruß dirk
Nein, das klappt logischerweise wie oben schon bemerkt natürlich nicht !! Siehe hier:
VPNs einrichten mit PPTP
VPNs einrichten mit PPTP
Hallo,
auch wenn ich dem Server eine zweite IP aus dem VPN Bereich verpasse kann ich mich via VPN nicht mit der VM verbinden.
Zu Testzecken wähle ich mich nur noch via UMTS ein.
Ich glaube fast, das es nicht möglich ist von dem 10er netz in das 192er via VPN einzuwählen.
Ich wollte ja nur eine VM als externen Arbeitsplatz einrichten, fragt sich nur wie man sonst vernüftigt löst.
Ich will halt nicht das der User direkt auf dem Server arbeitet.
Danke an alle.
Andreas
auch wenn ich dem Server eine zweite IP aus dem VPN Bereich verpasse kann ich mich via VPN nicht mit der VM verbinden.
Zu Testzecken wähle ich mich nur noch via UMTS ein.
Ich glaube fast, das es nicht möglich ist von dem 10er netz in das 192er via VPN einzuwählen.
Ich wollte ja nur eine VM als externen Arbeitsplatz einrichten, fragt sich nur wie man sonst vernüftigt löst.
Ich will halt nicht das der User direkt auf dem Server arbeitet.
Danke an alle.
Andreas
moin
warum willst du auf das 192er netz zu greifen, wenn der server und die vm im 10er netz sind, dann kannst du doch auf den server zugreifen und das war doch das was du wolltest ??? oder lieg ich da falsch ???
und das zugreifen vom10er auf das 192er ist über nen router möglich, theoretisch
gruß dirk
warum willst du auf das 192er netz zu greifen, wenn der server und die vm im 10er netz sind, dann kannst du doch auf den server zugreifen und das war doch das was du wolltest ??? oder lieg ich da falsch ???
und das zugreifen vom10er auf das 192er ist über nen router möglich, theoretisch
gruß dirk
Hallo Dirk,
also server und die VM liegen im 192er Netz.
Der Ras-Server verteilt aber das 10er Netz, ich habe das 10er Netz gewählt um keine Konflikte mit dem eigenen "HomeNetzwerk" zu bekommen"
Jetzt müsste ich nur noch das 10er Netz (VPN) auf das 192er Netz (lokale Servernetz) routen
auch Gruß
also server und die VM liegen im 192er Netz.
Der Ras-Server verteilt aber das 10er Netz, ich habe das 10er Netz gewählt um keine Konflikte mit dem eigenen "HomeNetzwerk" zu bekommen"
Jetzt müsste ich nur noch das 10er Netz (VPN) auf das 192er Netz (lokale Servernetz) routen
auch Gruß
