wigibi
Goto Top

Windows XP - VPN-Client erhält immer Modem-Fehler 651

Hallo, liebe Netzwerk-Experten,

ich habe ein Problem beim Einrichten einer (eigentlich!) einfachen PPTP-VPN-Verbindung zwischen 2 Windows XP (Prof)-Hosts. Die beiden Rechner befinden sich in unterschiedlichen Subnetzen, beide Internetzugänge werden durch DSL-Router hergestellt.

Aufbau:

Subnetz1: 192.168.0.0
Windows XP-Host, IP 192.168.0.1, StGW/DNS 192.168.0.100
VPN-Client auf , feste IP 192.168.5.16
I
Netgear WGT624v3: IP 192.168.0.100 (VPN-Passthrough wird unterstützt)
I
Arris-Modem (Kabel-BW)
I
Internet
I
Speedport W701V: IP 192.168.2.1 (Portforwarding 1723/TCP und GRE auf 192.168.2.3)
I
Subnetz 2: 192.168.2.0
Windows XP-Host, IP 192.168.2.3, StGW/DNS 192.168.2.1 und ISDN-Karte Fritz!Card PCI
VPN-Server auf Windows XP, fester IP-Range 192.168.5.15-...20

Folgendes Problem tritt auf:
Der Versuch zur Herstellung der VPN-Verbindung wird mit Fehler 651 (Das Modem oder ein anderes Gerät hat einen Fehler gemeldet) quittiert.

Meine bisherigen Maßnahmen zur Fehler-Eingrenzung:
- Tausch des Speedport-Routers gegen eine Fritz!Box 7170 (Fehler 651)
- Einrichtung eines VPN-Clients auf einem 2. Host im Subnetz 2, also netzintern und
Verbindungsaufnahme zum VPN-Server (Fehler 651)
- Einrichtung des VPN-Servers auf diesem 2. Host im Subnetz 2 und Versuch einer Verbindungsaufnahme vom Subnetz 1 aus (Fehler 678)

Der Aufbau einer VPN-Verbindung aus Subnetz 1 zu Hosts an anderen Standorten funktioniert übrigens, deshalb würde ich eine fehlerhafte Konfiguration beim VPN-Client ausschliesen.

Sollen meine Angaben unvollständig sein, so werde ich diese gerne ergänzen.

Ach ja, auf dem Speedport ist natürlich DynDNS eingerichtet auf ping wird geantwortet!

Gruß
wigibi

Content-Key: 64979

Url: https://administrator.de/contentid/64979

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 30.07.2007 um 18:55:20 Uhr
Goto Top
Auf dem NetGear muss auch das Port Forwarding auf den Port TCP 1723 eingestellt sein ! Nur die VPN Passthrough Funktion besagt nichts, denn sie meint lediglich das das GRE Protokoll geforwardet wird and dieselbe IP die in der PFW Liste angegeben ist. Bei eingehenden TCP 1723 verbindungen ohne PFW Eintrag kann das problematisch werden....

Ein Modemfehler ist ungewöhnlich wenn die PPTP Verbindung lediglich über das LAN aufgebaut wird. Sehr wahrscheinlich versucht der PPTP Client die Verbindung über die ISDN PCI Karte aufzubauen was fehlschlägt, denn ein Modemfehler ist auf einer LAN Verbindung ungewöhnlich was auf der Hand liegt.
Du solltest also testweise besser die ISDN Karte für diese Tests komplett deaktivieren, damit ein möglicher Verbindungsaufbau hierüber sicher unterbunden wird.
Mitglied: wigibi
wigibi 31.07.2007 um 10:40:19 Uhr
Goto Top
Hallo Aqui,

erst mal vielen Dank für Deine Unterstützung.

Frage: Bist Du wirklich der Meinung, daß auf dem Netgear-Router (der sich ja auf der Clientseite befindet) der TCP 1723 - Port in die PFW-Liste rein muß? Ich meine, daß in so einem Fall automatische Portzuweisung für den anfordernden PC stattfindet.

Was Deine Gedanken zu der ISDN-Karte betrifft, da bin ich genau Deiner Meinung. Nur ist es so, daß die ISDN-Karte tatsächlich benötigt wird, denn darüber wird ein Remote-Drucker per DFÜ angesteuert. Ich suche also letztendlich nach einer Lösung, die sowohl eine VPN-Verbindung als auch die ISDN-Karte nebeneinander ermöglicht. Mir ist allerdings unklar, warum nicht die Verbindung genommen wird, über die die Anforderung der VPN-Verbindung hereingekommen ist, also die LAN-Karte.

Wäre hier eventuell eine Lösung über den Eintrag (statischer) Routen denkbar?

Das mit der ISDN-Karte, also daß ich diese mal testweise deaktiviere, werde ich mal versuchen.

Gruß
wigibi
Mitglied: aqui
aqui 31.07.2007 um 18:39:48 Uhr
Goto Top
Wenn die PPTP Verbindung nur einseitig ist muss das nicht der Fall sein, das ist richtig. Nur wenn eine Verbindung bidirektional erfolgen soll. Schaden kann der Eintrag aber nicht...

Du solltest den Test erstmal mit deaktivierter ISDN Karte machen, um überhaupt die richtige PPTP VPN Funktion zu verifizieren.
Das Windows die ISDN karte bevorzugt liegt an der Adapterreihenfolge, die kannst du aber problemlos beeinflussen und das solltest du auch tun.
Ein MS Knowledgebase Artikel beschreibt die Lösung sehr detailiert:
http://support.microsoft.com/kb/894564/de

Mit einer detailierten statischen Route zum Druckerzielnetz ist der Effekt auch erreichbar.
Die Funktion sollte natürlich auch mit beiden aktiven Karten gegeben sein...das ist klar !
Mitglied: wigibi
wigibi 10.08.2007 um 14:40:22 Uhr
Goto Top
Sorry, war einige Zeit mit anderen wichtigen Dingen beschäftigt.

ich habe allerdings nicht viel neues zu berichten. Ich war nochmal vor Ort und habe mir die Reihenfolge und Bindungen der Netzwerkverbindungen angesehen. Die FritzWeb-Verbindung stand an erster Stelle (also vor der LAN-Verbindung). Allerdings hatte ich diese in der Netzwerk-Umgebung sowieso deaktiviert.
Ich habe trotzdem die LAN-Verbindung an die erste Stelle verschoben und die Metriken wie folgt angepaßt (LAN belassen = 20, FritzWeb geändert = 30).

Die Versuche, eine VPN-Verbindung aufzubauen, habe ich nach diesen Änderungen dann intern durchgeführt, bin also nicht raus übers Internet, sondern nur von PC 1 (VPN-Client) zu PC 2 (VPN-Server).

Leider konnte ich den Fehler 651 immer noch nicht eliminieren.

An der Koexistenz der Fritz!Card PCI zur Einwahl per DFÜ und dem später aufgrund der Umstellung des Internetzugangs auf DSL hinzugekommenen Speedport-DSL-Routers wird es doch wohl nicht liegen.

Ich glaube, ich bewege mich irgenwie im Kreis und bräuchte dringend einen Tipp, in welche Richtung ich weitere Untersuchungen anstellen sollte.

Gruß
wigibi