5
Port f. VPN-Client am Router?
Möchte VPN zwischen W2K und XP (Client einrichten) bekomm jedoch immer den Fehler 733
habe eigentlich alles genau nach Anleitung wie bei MS beschrieben gemacht.
Allerdings heist es dort beim Client PC soll Port 1024-65535/TCP geöffnet werden, das kann ich an meinen speedport 700 jedoch gar nicht machen.
Liegts vielleicht daran?
Hab hier auch in verschiedenen Beiträgen gelesen, aber der Client Port wird eigentlich sonst nirgends angegeben.
habe eigentlich alles genau nach Anleitung wie bei MS beschrieben gemacht.
Allerdings heist es dort beim Client PC soll Port 1024-65535/TCP geöffnet werden, das kann ich an meinen speedport 700 jedoch gar nicht machen.
Liegts vielleicht daran?
Hab hier auch in verschiedenen Beiträgen gelesen, aber der Client Port wird eigentlich sonst nirgends angegeben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 61581
Url: https://administrator.de/contentid/61581
Printed on: April 16, 2024 at 06:04 o'clock
5 Comments
Latest comment
Waere schoen wenn du uns noch mitgeteilt haettest WELCHES VPN Protokoll (PPTP, IPsec(AH), IPsec(ESP), L2TP, SSL etc.) du denn benutzt, dann haette man dir schneller helfen koennen. Nun zwingst du uns zum Raten 
Raten wir mal du benutzt PPTP.....(das folgende gilt NUR fuer dies Protokoll !!) Fuer den Rest mueeste man dann 4 weitere Seiten tippen...
Erstmal solltest du sicherstellen das das VPN lokal sicher funktioniert. Vermutlich ist dein XP Client im oeffentlichen Internet und dein W2K Server hinter dem Router, richtig ???
Dann muss das PPTP VPN Protokoll was aus 2 Protokollen besteht ueber die NAT Firewall deines Routers ! Nicht alle Router supporten das !
PPTP benutzt das GRE Protokoll (IP Protokoll 47) und fuer die Authentifizierung TCP 1723.
Auf dem Router gibst du also nur diese Ports frei: TCP 1723 und GRE. Meist wird GRE automatisch geforwardet wenn man TCP 1723 einstellt, das ist dann haeufig die VPN Passthrough Funktion. Die muss der Router minimal supporten sonst geht gar nichts !!!
Also, diese beiden Ports forwardest du dann auf die IP Adresse des W2K Servers intern.
Es sollte dir klar sein das wegen dieser statischen PFW IP Adressbeziehung der Server keine dynamische IP Adresse per DHCP bekommen kann sondern eine statische ausserhalb der DHCP Adress Range des Routers !!! (Server haben in der Regel sowieso immer statische Adressen )
Sollte sich dein XP Client (mit PPTP) einmal ebenfalls hinter einem NAT Router befinden so gilt fuer diesen Router dasselbe was die Port Forwarding Ports von oben anbetrifft !!!
Raten wir mal du benutzt PPTP.....(das folgende gilt NUR fuer dies Protokoll !!) Fuer den Rest mueeste man dann 4 weitere Seiten tippen...
Erstmal solltest du sicherstellen das das VPN lokal sicher funktioniert. Vermutlich ist dein XP Client im oeffentlichen Internet und dein W2K Server hinter dem Router, richtig ???
Dann muss das PPTP VPN Protokoll was aus 2 Protokollen besteht ueber die NAT Firewall deines Routers ! Nicht alle Router supporten das !
PPTP benutzt das GRE Protokoll (IP Protokoll 47) und fuer die Authentifizierung TCP 1723.
Auf dem Router gibst du also nur diese Ports frei: TCP 1723 und GRE. Meist wird GRE automatisch geforwardet wenn man TCP 1723 einstellt, das ist dann haeufig die VPN Passthrough Funktion. Die muss der Router minimal supporten sonst geht gar nichts !!!
Also, diese beiden Ports forwardest du dann auf die IP Adresse des W2K Servers intern.
Es sollte dir klar sein das wegen dieser statischen PFW IP Adressbeziehung der Server keine dynamische IP Adresse per DHCP bekommen kann sondern eine statische ausserhalb der DHCP Adress Range des Routers !!! (Server haben in der Regel sowieso immer statische Adressen )
Sollte sich dein XP Client (mit PPTP) einmal ebenfalls hinter einem NAT Router befinden so gilt fuer diesen Router dasselbe was die Port Forwarding Ports von oben anbetrifft !!!
Sorry für die mangelnden Angaben.
Protokoll PPTP, beide Rechner hinter Router -beim Router für den Server 1723 geöffnet, bei diesem Router stand auch was von VPN was ich angeklickt habe, der Client hinter dem Speedport dort ist jedoch das Protokoll bzw. VPN nirgends zu finden, habe lediglich auch 1723 für diesen Rechner geöffnet.
Es findet auch eine Einwahl statt, Benutzername und PW wird überprüft , dann wird die Verbindung mit Fehler 733 getrennt.
Der Server hat eine feste interne IP und ist von aussen per DYNDNS erreichbar, eine fernsteuerung per Radmin funktionniert tadellos.
Protokoll PPTP, beide Rechner hinter Router -beim Router für den Server 1723 geöffnet, bei diesem Router stand auch was von VPN was ich angeklickt habe, der Client hinter dem Speedport dort ist jedoch das Protokoll bzw. VPN nirgends zu finden, habe lediglich auch 1723 für diesen Rechner geöffnet.
Es findet auch eine Einwahl statt, Benutzername und PW wird überprüft , dann wird die Verbindung mit Fehler 733 getrennt.
Der Server hat eine feste interne IP und ist von aussen per DYNDNS erreichbar, eine fernsteuerung per Radmin funktionniert tadellos.
Der DynDNS Client gehoert nicht auf den Server selber ! Das sollte dir klar sein ! Er gehoert auf den Router und muss auch hier im DynDNS Setup eingestellt sein. Der Router haelt die IP des Providers die im DNS bekannt gemacht werden muss niemals aber der Server der eine feste lokale IP hat.
Wie gesagt TCP 1723 ist bei PPTP nur eine Haelfte. Die reinen Wirkdaten werden in einem GRE Tunnel (Protokoll 47, Achtung> NICHT ! TCP 47) uebertragen !
Wenn der Router kein VPN Passthrough kann oder das GRE Protokoll forwarden kann funktioniert es ggf. nicht, da der Router diese VPN Passthrough funktion dann nicht supportet. Bei vielen Billigmodellen ist das der Fall !
Ggf solltest du mit dem Microsoft Net Monitor oder mit dem Wireshark auf dem Server mal nachsehen ob der Router diese Protokolle ueberhaupt an den Server forwardet:
NetMonitor:
http://www.microsoft.com/downloads/details.aspx?FamilyID=aa8be06d-4a6a- ...
Wireshark:
www.wireshark.org
Die PFW Einstellungen muessen auf beiden Routern gemacht werden (Client und Serverseite !)
Wie gesagt TCP 1723 ist bei PPTP nur eine Haelfte. Die reinen Wirkdaten werden in einem GRE Tunnel (Protokoll 47, Achtung> NICHT ! TCP 47) uebertragen !
Wenn der Router kein VPN Passthrough kann oder das GRE Protokoll forwarden kann funktioniert es ggf. nicht, da der Router diese VPN Passthrough funktion dann nicht supportet. Bei vielen Billigmodellen ist das der Fall !
Ggf solltest du mit dem Microsoft Net Monitor oder mit dem Wireshark auf dem Server mal nachsehen ob der Router diese Protokolle ueberhaupt an den Server forwardet:
NetMonitor:
http://www.microsoft.com/downloads/details.aspx?FamilyID=aa8be06d-4a6a- ...
Wireshark:
www.wireshark.org
Die PFW Einstellungen muessen auf beiden Routern gemacht werden (Client und Serverseite !)
"...sondern eine statische ausserhalb der DHCP Adress Range des Routers "
was meinst Du damit?
Der Server hat eine interne IP 192.168.X.X - die anderen Rechner sind ja intern im gleichen Adress-Bereich.
was meinst Du damit?
Der Server hat eine interne IP 192.168.X.X - die anderen Rechner sind ja intern im gleichen Adress-Bereich.
Ja, aber dein Router wird ja vermutlich wie alle Router es tun dynamisch per DHCP Protokoll IP Adressen an angeschlossene Endgeräte vergeben oder hast du sie alle statisch auf den Endgeräten konfiguriert ??? (Wenigstens ein Server sollte immer statisch konfigurierte IP Adressen bekommen !!!)
Wenn nein, und deine LAN Adapter an den PCs in den TCP/IP Eigenschaften auf automatisch beziehen stehen dann bekommen sie IPs eben dynamisch per DHCP vom Router.
Der hat nun aber eine bestimmte Range (Bereich also z.B. von 192.168.77.100 bis 192.168.77.150, sieht man im LAN Setup des Routers !!!) aus der er innerhalb des Netzes dynamisch und wechselnd verteilt.
Wenn du nun auch statische IP Adressen innerhalb dieser Range verteilst gibt es irgendwann ein Chaos im Netz denn es besteht die Gefahr der IP Doppelvergabe, denn der DHCP Server //weiss/ ja nicht was du verteilt statisch hast....das ist das Problem !!!
Nochwas:
192.168.x.y ist eine Class C IP Adresse mit einer 24 Bit Subnetzmaske (255.255.255.0) die für Class C Adressen festgelegt ist. Dier ersten 3 Bytes bezeichnen also das Netz. Deine Angabe mit 192.168.x.x ist also nicht ganz korrekt. Wenigstens das 3te x gehört noch mit zum Netz ! Erst das letzte Byte bezeichnet den Hostteil und damit die Endgeräte !
Wenn nein, und deine LAN Adapter an den PCs in den TCP/IP Eigenschaften auf automatisch beziehen stehen dann bekommen sie IPs eben dynamisch per DHCP vom Router.
Der hat nun aber eine bestimmte Range (Bereich also z.B. von 192.168.77.100 bis 192.168.77.150, sieht man im LAN Setup des Routers !!!) aus der er innerhalb des Netzes dynamisch und wechselnd verteilt.
Wenn du nun auch statische IP Adressen innerhalb dieser Range verteilst gibt es irgendwann ein Chaos im Netz denn es besteht die Gefahr der IP Doppelvergabe, denn der DHCP Server //weiss/ ja nicht was du verteilt statisch hast....das ist das Problem !!!
Nochwas:
192.168.x.y ist eine Class C IP Adresse mit einer 24 Bit Subnetzmaske (255.255.255.0) die für Class C Adressen festgelegt ist. Dier ersten 3 Bytes bezeichnen also das Netz. Deine Angabe mit 192.168.x.x ist also nicht ganz korrekt. Wenigstens das 3te x gehört noch mit zum Netz ! Erst das letzte Byte bezeichnet den Hostteil und damit die Endgeräte !