gechger
Goto Top

VPN steht, aber keine RDP Verbindung möglich

zwar gibt es zu diesem Thema schon viele Beiträge, aber nichts passt wirklich

Hallo Forum,

wir haben einen SBS2003 Server, AD, DHCP, DNS, usw. Auch die wichtigsten Anwendungen laufen darauf. Der Server hat drei Netzwerkkarten: 192.168.2.2, 192.168.2.3 und 192.168.2.4.
Die x.4 Karte ist direkt mit einem Speedport 710V verbunden.

Wenn ich nun eine VPN Verbindung direkt auf diesen Server mache, bekomme ich auch eine RDP Verbindung hin. Leider werden einige Funktionen gestört, wenn der VPN Tunnel offen ist, z.Bsp. Verlust der Exchange Verbindung.

Ich habe jetzt einen weiteren W2003 Server aufgestellt, der nur VPN machen soll. Die RDP Verbindung soll weitergeleitet werden auf den SBS Server. Dieser Server hat die IP 192.168.2.8 zum Gateway, 192.168.2.7 ins Netz. VPN klappt auch, der Client bekommt über DHCP Relay die 192.168.2.99 zugewiesen, DNS-Server ist 192.168.2.2. Im Ras ist der Tunnel mit 192.168.2.98 angemeldet.

Wenn ich nun vom Client aus versuche, eine RDP Verbindung auf den 192.168.2.2 herzustellen, klappt das aber nicht. Vom Client aus bleibt ein Tracert bei der 192.168.2.98 hängen, wird also nicht weitergeleitet. Auf den internen NEtzwerkkarten ist keine Firewall aktiv, die Karten mit Internetkontakt wurden für RDP geöffnet.

Ich vermute, daß ich irgendwelche statischen Routen konfigurieren muß. Eventuell muß ich auch die Gateways in den TCP/IP Eigenschaften der Netzwerkkarten anpassen. Da weiss ich aber nicht mehr weiter.

Weiss jemand, wie ich das alles einstellen muß, damit das klappt?

Vielen Dank für jede Information

Christof

Content-Key: 92824

Url: https://administrator.de/contentid/92824

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 24.07.2008 um 12:51:45 Uhr
Goto Top
Moin,

wozu hast Du soviele Netzwerkkarten und warum sind alle im selben Netz?

Gruß,
Arch Stanton
Mitglied: aqui
aqui 24.07.2008 um 13:14:08 Uhr
Goto Top
Richtig.... wie kann es sein das alle Netzwerkkarten im 192.168.2.0er Netz sind. Das sieht schon daher nach einen ziemlich schweren Konfig Fehler aus, da das niemals sein kann. Es zeugt eher von einem ziemlichen Unwissen im Umgang mit Netzwerktechnik....
Normalerweise ist zwingend ein anderes IP Netzwerk pro Adapter Voraussetzung für ein sauberes Design. Siehe:

oder


Es kann sein das du denkst damit ein sog. Teaming (Link Aggregation) zur Performance Verbesserung zu machen.
Das geht auch aber da hat der Server nur eine IP Adresse ind alle 4 Links werden dann mit einer Teaming Funktion des Treibers zu einem virtuellen Link aggregiert.
Voraussetzung ist dann auch der Switch supportet so ein Link Aggregation.

Was du da machst ist falsch und auch kontraproduktiv, denn nun ist dein Server mit 4 unterschiedlichen MAC Adressen in einem Layer 2 Netz erreichbar. Flutet also das Netz mit Broadcasts von 4 unterschiedlichen IP Adressen im gleichen IP Netz.

Ein Design was so vollkommen falsch und nicht supportet ist. Ein Wunder das da noch alles geordnet (mehr oder weniger..) bei dir funktioniert.

Bevor du das nicht sauber rekonfigurierst ist eine Hilfestellung sinnloss, denn in einem falschen Design kann man sowas nicht fixen....
Mitglied: Arch-Stanton
Arch-Stanton 24.07.2008 um 13:22:12 Uhr
Goto Top
Aqui, Du bist immer so streng in Deinen Äußerungen, man könnte denken, Du seist ein Studienrat...

Gruß,
Arch Stanton
Mitglied: gechger
gechger 24.07.2008 um 14:20:11 Uhr
Goto Top
Hallo Aqui,

Ziel dieser Knfiguration war eigentlich, daß der gesamte Internetverkehr der Clients nicht über den Server geschleust werden sollte. Alle Clients haben über Switch-Verbindung einen direkten Internetzugang. Wir nutzen sehr häufig Teamviewer, um bei Kunden zu supporten.
Der Server ist mit einer Karte direkt am Speedport angeschlossen, um E-Mails über einen SMTP Connector zu holen, die zweite Karte hängt am Switch.

Das Problem, was aufgetaucht ist, war die neu eingerichtete VPN Verbindung. VPN direkt auf dem SBS2003 stört einige Funktionen. Also habe ich einen zweiten Server aufgesetzt, der nur VPN machen soll. Aber Remote Zugriff muß auf den SBS weitergeleitet werden.

Die dritte Karte im SBS kann deaktiviert werden, sie läuft nur als Sicherheit nebenher.

Wenn ich nun Deiner Anleitung folge, muß ich im RAS Dienst doch eine statische Route einrichten. Meine Idee ist folgende:
Speedport bekommt 192.168.10.1, Netzwerkkarte SBS Inernet bekommt 192.168.10.2,
Netzwerkkarte SBS LAN behält 192.168.2.2. Im Speedport ein Forwarding auf 192.168.10.2.
Im RAS eine statische Route von 192.168.10.2 auf 192.168.2.2

Reicht das aus?

Grüße
Christof
Mitglied: gechger
gechger 24.07.2008 um 14:49:22 Uhr
Goto Top
Hallo Aqui,

habe das jetzt mal gemacht wie beschrieben und ich habe Internet. Scheint also zu funktionieren.

Konfiguration aktuell:
SBS Server (Exchange) IP 192.168.10.2 ins Internet, 192.168.2.2 im LAN.
Statische Route auf Internet zum 192.168.2.2 mit NAT/Firewall
Statische Rouet LAN auf 192.168.10.2

VPN Server IP 192.168.10.3 ins Internet, 192.168.2.7 im LAN
Statische Route auf Internet zu 192.168.2.7 mit NAT/Firewall
Statische Route auf LAN zu 192.168.10.3

Client Gateway auf 192.168.2.2 oder 192.168.2.7 liefert Internetkontakt.

Jetzt muß ich noch einrichten, daß eine VPN Verbindung beim VPN Server landet, also auf der 192.168.10.3, weitergeleitet wird auf 192.168.2.7 und dann über den VPN Tunnel eine Remotedesktopverbindung zu 192.168.2.2 hergestellt werden kann.

Wie müssen dafür die Routen konfiguriert werden?

Damit der VPN auch auf der richtigen Verbindung landet, muß ich im Speedport eine Weiterleitung auf 192.168.10.3 einrichten. Was passiert aber dann mit der Internetverbindung meines SBS-Servers? Holt der Exchange dann noch E-Mails ab?

Grüße
Christof
Mitglied: aqui
aqui 24.07.2008 um 16:05:31 Uhr
Goto Top
Bin ich aber nicht face-wink
Nur man muss ja auch mal klipp und klar sagen was für einen Mist viele verzapfen sonst denken sie das wäre noch das Wunderdesign auf das die Welt gewartet hat... face-wink
Mitglied: aqui
aqui 24.07.2008 um 16:08:18 Uhr
Goto Top
Du musst das auch nicht so machen das alles über den Server geht, das war nur ein Beispiel wie man es machen kann. Du kannst ja weiterhin gerne dein Banalszenario nutzen mit dem Switch, das ist ja auch OK und nicht falsch !
Das wird dann vermutlich SO aussehen, oder ??

fb9a21f02c5174acc8c192cad52c1965-banal

Falsch ist nur die Tatsache das du im Server 3 Karten benutzt die alle im gleichen IP Netz liegen....nur das ist falsch, nicht aber dein Design. Damit solltest du, wenn dann, ein vernüftiges Teaming machen oder wenn du das nicht brauchst die 2 Karten besser schnell wieder ausbauen !!!

Du kannst es aber auch so belassen. Die VPN Verbindung muss dann nur auf den Server oder die lokale Server IP geforwardet werden. Wenn der VPN Tunnel steht, hast du ja so oder so beide Netze im Zugriff, da muss dann nix mehr eingestellt werden mit Routen. Es sei denn du benutzt für den VPN Netz wiederum ein anderes IP Netz, dann musst du diese statische Route dahin noch nachtragen im Router und nur da !
Wenn die VPN Verbindung aktiv ist kannst du alle Anwendungen transparent nutzen....das ist ja der Sinn einer VPN Verbidnung face-wink

Leider hältst du es ja auch nicht für nötig uns mal mitzuteilen WAS für ein VPN Protokoll du verwenden willst so das wir dir die Weiterzuleitenden Ports nicht sagen können face-sad
Vermutlich benutzt du aber das PPTP Protokoll mit dem Windows internen Client.
Der Router muss dann in der Port Weiterleitungsliste die folgenden Ports bzw. Protokolle auf die lokale IP des Servers weiterleiten. Der Server sollte dadurch tunlichst keine DHCP Adresse haben sondern eine statische wie es ja auch für Server üblich ist !
  • TCP 1723
  • GRE Protokoll (Protokoll Nummer 47, (kein TCP/UDP 47 !!)

Wenn du IPsec oder L2TP verwendest als VPN Protokoll musst du andere Ports forwarden !!
Mitglied: gechger
gechger 25.07.2008 um 08:12:31 Uhr
Goto Top
Guten Morgen Aqui,

zunächst einmal vielen Dank für Deine ausführliche Hilfe. Da ich hier das erste Mal mit VPN konfrontiert wurde, sind mir einige Zusammenhänge erst jetzt klar geworden. Ist auch schwer sich darin einzuarbeiten, wenn man die Administration unseres kleinen Netzwerkes nebenbei zu den normalen Aufgaben durchführen muß´.

Ja, Du hast Recht, ich verwende das PPTP Protokoll. Deine Darstellung passt zu meiner Konfiguration. Ich habe aber jetzt Deinen Rat befolgt und die dritte Netzwerkkarte im SBS deaktiviert. Ich habe nun eine eigene IP für die Verbindung zum Internet, über die der Exchange die E-Mails abholt. Die zweite Karte liegt in LAN. Der VPN Server hat ebenfalss zwei Karten, die ich genauso konfiguriert habe. Dieser Server sorgt jetzt dafür, das die Clients ins Internet kommen. Auf beiden Internetkarten läuft NAT und die Basisfirewall, die Standardeinstellungen reichen wohl aus. Ach ja, DHCP nutze ich nur für die VPN Verbindung mittels dem DHCP Relay Agent, alle anderen Geräte haben statische IPs.

VPN und RDP habe ich gestern zu Hause getestet und es hat alles funktioniert.

Der nächste Schritt ist jetzt, das VPN noch sicherer zu machen. Ich möchte dazu übergehen, das L2TP Protokoll zu verwenden. Aber Hauptsache, es funktioniert erstmal.

Schöne Grüße
Christof
Mitglied: aqui
aqui 26.07.2008 um 12:25:45 Uhr
Goto Top
Alles wird gut... Wenns das war dann bitte
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen !!!