6
Mehrere RDP Sitzungen über VPN nicht stabil
Hallo,
nutze dieses Forum sehr häufig, habe mich aber noch nicht so kompetent gesehen, Fragen zu beantworten. Ich hoffen, dass meine erste Frage trotzdem auf Helfende trifft,
Zentrale mit SBS2008, 5 PCs und 6 VMs (alle WinXP, aktueller Stand) auf einem ESXi 4.0; Fritzbox 7570 vDSL ( 75.04.82 ) 25/5 MBit
Zweigstelle 6 PCs (alle WinXP, aktueller Stand, RDP Client 7.0), 2 x Fritzbox 2170 (51.04.57) DSL 3,5/0,5 MBit (3 PCs nutzen die eine, die anderen 3 PCs die andere Box)
Die 5 Arbeitsplätze der Zweigstelle sollen die auf 5 VMs arbeiten
1. Problem (welches vielleicht mit dem 2. zusammenhängt)
Die beiden Fritz der Zweigstelle verbinden sich fest mit der Fritzbox der Zentrale. Ich komme in das Netz der Zentrale. Aber: Über RDP komme ich nicht auf die Clients.
2. Das Tool Fritz!Fernzugang ist auf jedem PC der Zweigstelle (mit jeweils anderen User) eingerichtet. Alle 5 Zugänge stehen (sehe ich auch an der Statusanzeige der Fritzbox in Zentrale). Problem: es kommen nur ca. 2-3 Nutzer auf den entfernten PC. Nach ca. 1-100 Minuten unterbricht die Verbindeung. Es versuchen natürlich alle über ihren RDP-Client eine Verbindung herzustellen.
Ich habe die Zuordnung der 2170 schon geändert. Da aber die VPN-Verbindung in beiden Varianten steht, denke ich nicht, dass es ein VPN-Problem ist.
Hoffentlich hat jemand einen Tipp für mich,
besten Dank
Holger
Nachtrag: Auf den Server bin ich die ganze Zeit von der Zweigstelle aus ohne Unterbrechnung drauf.
Das die VPN stabil ist, schein wohl ein Trugschluss: im Protokoll steht in unregelmäßigen Abständen für alle VPN-Verbindungen "... wurde getrennt. Ursache: 3 IKE server".
Zweigstelle 6 PCs (alle WinXP, aktueller Stand, RDP Client 7.0), 2 x Fritzbox 2170 (51.04.57) DSL 3,5/0,5 MBit (3 PCs nutzen die eine, die anderen 3 PCs die andere Box)
Die 5 Arbeitsplätze der Zweigstelle sollen die auf 5 VMs arbeiten
1. Problem (welches vielleicht mit dem 2. zusammenhängt)
Die beiden Fritz der Zweigstelle verbinden sich fest mit der Fritzbox der Zentrale. Ich komme in das Netz der Zentrale. Aber: Über RDP komme ich nicht auf die Clients.
2. Das Tool Fritz!Fernzugang ist auf jedem PC der Zweigstelle (mit jeweils anderen User) eingerichtet. Alle 5 Zugänge stehen (sehe ich auch an der Statusanzeige der Fritzbox in Zentrale). Problem: es kommen nur ca. 2-3 Nutzer auf den entfernten PC. Nach ca. 1-100 Minuten unterbricht die Verbindeung. Es versuchen natürlich alle über ihren RDP-Client eine Verbindung herzustellen.
Ich habe die Zuordnung der 2170 schon geändert. Da aber die VPN-Verbindung in beiden Varianten steht, denke ich nicht, dass es ein VPN-Problem ist.
Hoffentlich hat jemand einen Tipp für mich,
besten Dank
Holger
Nachtrag: Auf den Server bin ich die ganze Zeit von der Zweigstelle aus ohne Unterbrechnung drauf.
Das die VPN stabil ist, schein wohl ein Trugschluss: im Protokoll steht in unregelmäßigen Abständen für alle VPN-Verbindungen "... wurde getrennt. Ursache: 3 IKE server".
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146686
Url: https://administrator.de/contentid/146686
Printed on: April 24, 2024 at 00:04 o'clock
6 Comments
Latest comment
1. Problem:
Das ist auch logisch, denn du kommst aus einem fremden IP Netzwerk mit dem RDP. Folglich blockt also die Windows Firewall dies Pakete komplett. Bekanntermaßen lässt sie lediglich nur Pakete des EIGENEN IP Segmentes durch.
Fazit: Du musst die Win Firewall anpassen !
Dafür gehst du in die Erweiterten Einstellungen FW Lan Adapter --> Ausnahmen --> "Remotedesktop" angrauen --> Port --> Bereich ändern
Hier trägst du nun deine IP Netze nach von denen du zugreifen willst oder nimmst den "Schrotschuss" Alle Computer inkl. Internet !!
Analog musst du das für andere FW SW haben solltest du einen anderen FW Anbieter nutzen !!
2. Problem:
Wozu soll der Unsinn gut sein zusätzlich auf den PCs noch einmal den Fritz!Fernzugang zu installieren ???
Du schreibst doch oben: "...Die beiden Fritz der Zweigstelle verbinden sich fest mit der Fritzbox der Zentrale !!"
Damit besteht doch schon eine VPN LAN zu LAN Kopplung ALLER Netze in diesem Verbund !!
Wozu dann also noch ein VPN Client der zusätzlich über ein bestehendes VPN nochmal ein VPN aufbaut ?? Das ist doch kompletter Unsinn und vollkommen überflüssig oder zeigt das das Prinzip VPN nicht verstanden wurde.
Der Fernzugang macht nur dann Sinn wenn Endgeräte außerhalb dieses Netzverbundes erreicht werden müssen, was aber nach Grundlage deiner Schilderung gar nicht der Fall ist.
Was soll also der Unsinn mit dem Fernzugang.
Das du damit in erhebliche MTU Probleme kommst (von anderen Dingen mal ganz zu schweigen..) ist doch vollkommen logisch ?!
Das ist auch logisch, denn du kommst aus einem fremden IP Netzwerk mit dem RDP. Folglich blockt also die Windows Firewall dies Pakete komplett. Bekanntermaßen lässt sie lediglich nur Pakete des EIGENEN IP Segmentes durch.
Fazit: Du musst die Win Firewall anpassen !
Dafür gehst du in die Erweiterten Einstellungen FW Lan Adapter --> Ausnahmen --> "Remotedesktop" angrauen --> Port --> Bereich ändern
Hier trägst du nun deine IP Netze nach von denen du zugreifen willst oder nimmst den "Schrotschuss" Alle Computer inkl. Internet !!
Analog musst du das für andere FW SW haben solltest du einen anderen FW Anbieter nutzen !!
2. Problem:
Wozu soll der Unsinn gut sein zusätzlich auf den PCs noch einmal den Fritz!Fernzugang zu installieren ???
Du schreibst doch oben: "...Die beiden Fritz der Zweigstelle verbinden sich fest mit der Fritzbox der Zentrale !!"
Damit besteht doch schon eine VPN LAN zu LAN Kopplung ALLER Netze in diesem Verbund !!
Wozu dann also noch ein VPN Client der zusätzlich über ein bestehendes VPN nochmal ein VPN aufbaut ?? Das ist doch kompletter Unsinn und vollkommen überflüssig oder zeigt das das Prinzip VPN nicht verstanden wurde.
Der Fernzugang macht nur dann Sinn wenn Endgeräte außerhalb dieses Netzverbundes erreicht werden müssen, was aber nach Grundlage deiner Schilderung gar nicht der Fall ist.
Was soll also der Unsinn mit dem Fernzugang.
Das du damit in erhebliche MTU Probleme kommst (von anderen Dingen mal ganz zu schweigen..) ist doch vollkommen logisch ?!
Hallo Holger,
du machst einen großen Fehler bei deiner VPN-Konfiguration.
Wenn du eine Zentrale und eine Filiale miteinander verbindest, dann richte doch ein LAN-LAN-VPN ein.
Wie das geht, dafür gibt es massig Anleitungen.
Darüberhinaus kann ich die Konfiguration in der Filiale nicht nachvollziehen (2 x FB2170)?
Mein Vorschlag:
In der Zentrale ein VDSL-fähiges Modem, dahinter einen ordentlichen VPN-Router. Ich nutze gern Netgear oder Lancom, gibt aber auch andere gute Hersteller dafür.
In die Filiale packst du hinter die beiden 2170 (jeweils als Modem eingerichtet) einen DUAL-WAN-VPN-Router. Dazu nutze ich bspw. den FVS336G von Netgaer.
Jetzt konfigurierst du einen WAN-Zugang für das Surfen und den anderen fürs VPN.
du machst einen großen Fehler bei deiner VPN-Konfiguration.
Wenn du eine Zentrale und eine Filiale miteinander verbindest, dann richte doch ein LAN-LAN-VPN ein.
Wie das geht, dafür gibt es massig Anleitungen.
Darüberhinaus kann ich die Konfiguration in der Filiale nicht nachvollziehen (2 x FB2170)?
Mein Vorschlag:
In der Zentrale ein VDSL-fähiges Modem, dahinter einen ordentlichen VPN-Router. Ich nutze gern Netgear oder Lancom, gibt aber auch andere gute Hersteller dafür.
In die Filiale packst du hinter die beiden 2170 (jeweils als Modem eingerichtet) einen DUAL-WAN-VPN-Router. Dazu nutze ich bspw. den FVS336G von Netgaer.
Jetzt konfigurierst du einen WAN-Zugang für das Surfen und den anderen fürs VPN.
Hallo Aqui,
Danke für die Infos.
Ich habe Variante 2 Eingerichtet, da ich mit 1 kein Erfolg hatte. Es ist mir klar, das 1 die elegantere Lösung sit und 2 damit überflüssig. Ich wollte erstmal überhaupt einen Zugang.
Bezogen auf Deinen Hinweis zu 1.
Ich dachte, bei einer VPN-Verbindung wird im entfernten Netzwerk eine Adresse aus diesem Netzwerk zugewiesen.
Bei der 2. Variante sehe ich auch die entsprechende Adresszuordnung der einzelnen entfernten Fritz-Zugänge.
Bei der festen Boxenverbindung sehe ich nur einen Bereich, aber nicht eine "einzelne" IP.
Bei der festen VPN-Verbindung der Boxen, komme ich auf den Server. Also muss die Einstellung an den PCs nicht stimmern... Ich probiere mal
Danke für die Infos.
Ich habe Variante 2 Eingerichtet, da ich mit 1 kein Erfolg hatte. Es ist mir klar, das 1 die elegantere Lösung sit und 2 damit überflüssig. Ich wollte erstmal überhaupt einen Zugang.
Bezogen auf Deinen Hinweis zu 1.
Ich dachte, bei einer VPN-Verbindung wird im entfernten Netzwerk eine Adresse aus diesem Netzwerk zugewiesen.
Bei der 2. Variante sehe ich auch die entsprechende Adresszuordnung der einzelnen entfernten Fritz-Zugänge.
Bei der festen Boxenverbindung sehe ich nur einen Bereich, aber nicht eine "einzelne" IP.
Bei der festen VPN-Verbindung der Boxen, komme ich auf den Server. Also muss die Einstellung an den PCs nicht stimmern... Ich probiere mal
Hallo Goscho,
LAN-LAN-VPN habe ich ja, nur der Zugang zu den PCs ging nicht. Habe leider eben erst festgestellt, dass es zum Server funktioniert, also muss ich noch an den PCs was ändern.
2 x FB2170 funktioniert ganz gut. Sind 2 DSL Anschlüsse (da ziemlich Schmalbandig). Route Balancer wurde noch nicht gemacht sonder die beiden Boxen auf jeweils 3 PCs als Gateway eingetragen, somit wir in gewisser Weise die Last geteilt.
Deinen Vorschlag werde ich mir mal ansehen, jetzt nmuss es erstmal "provisorisch" laufen.
Danke,
Holger
LAN-LAN-VPN habe ich ja, nur der Zugang zu den PCs ging nicht. Habe leider eben erst festgestellt, dass es zum Server funktioniert, also muss ich noch an den PCs was ändern.
2 x FB2170 funktioniert ganz gut. Sind 2 DSL Anschlüsse (da ziemlich Schmalbandig). Route Balancer wurde noch nicht gemacht sonder die beiden Boxen auf jeweils 3 PCs als Gateway eingetragen, somit wir in gewisser Weise die Last geteilt.
Deinen Vorschlag werde ich mir mal ansehen, jetzt nmuss es erstmal "provisorisch" laufen.
Danke,
Holger
Zitat von @HoCo99:
Hallo Goscho,
LAN-LAN-VPN habe ich ja, nur der Zugang zu den PCs ging nicht. Habe leider eben erst festgestellt, dass es zum Server
funktioniert, also muss ich noch an den PCs was ändern.
Sorry, hatte ich falsch verstanden.Hallo Goscho,
LAN-LAN-VPN habe ich ja, nur der Zugang zu den PCs ging nicht. Habe leider eben erst festgestellt, dass es zum Server
funktioniert, also muss ich noch an den PCs was ändern.
Warum aber hast du noch das Client-VPN eingerichtet?
2 x FB2170 funktioniert ganz gut. Sind 2 DSL Anschlüsse (da ziemlich Schmalbandig). Route Balancer wurde noch nicht gemacht
sonder die beiden Boxen auf jeweils 3 PCs als Gateway eingetragen, somit wir in gewisser Weise die Last geteilt.
Mag ja auch mit deiner Konfig so gehen. Ist natürlich ein wesentlich größerer Konfigurationsaufwand.sonder die beiden Boxen auf jeweils 3 PCs als Gateway eingetragen, somit wir in gewisser Weise die Last geteilt.
Deinen Vorschlag werde ich mir mal ansehen, jetzt nmuss es erstmal "provisorisch" laufen.
Halte dich an das, was aqui geschrieben hat. Das passt im Normalfall.BTW: Fritzboxen sind nicht wirklich für Firmen-VPN geeignet. Dies ist ein Zusatzfeature für einen Homerouter. AVM supportet auch nur max. 5 VPN-Verbindungen.
@goscho
Habe Client-VPN als schnelle Notlösung eingerichtet, da LAN-LAN bei RDP nicht funktionierte und Client im ersten Test ging. Als dann aber mehrere Clients es versuchten (es waren 6 VPN-Clients auf der Serverseite eingerichtet und freigegeben) kamen die unterschiedlichen Verbindungsabbrüche. Dazu meinte "aqui", dass es mit MTU Problemem zusammenhängt. Dann habe ich wieder auf LAN-LAN-VPN-Kopplung umgeschaltet und musste dann im ersten Schuss erstmal auf den Windows-PCs (Serverseitig) die FW TCP 3389 für "Alle Computer (auch Internet)" freigeben.
Da bei dem Cleint-VPN auf der Serverseite eine lokale IP-Adresse zugewiesen wurde, funktionierte die alte FW Einstellung mit localnet. LAN-LAN irgendwie nicht, da bin ich jetzt dran.
Oder habt Ihr dafür noch einen Tipp?
Nochmals Danke für die Unterstützung. Und ich werde mich mal nach "professionellen" Lösungen umsehen. GF war jetzt auch schon zugänglicher als er den Stress gesehen hat und die Mitarbeiter ständig keine Verbindung hatten.
Gruß Holger
Habe Client-VPN als schnelle Notlösung eingerichtet, da LAN-LAN bei RDP nicht funktionierte und Client im ersten Test ging. Als dann aber mehrere Clients es versuchten (es waren 6 VPN-Clients auf der Serverseite eingerichtet und freigegeben) kamen die unterschiedlichen Verbindungsabbrüche. Dazu meinte "aqui", dass es mit MTU Problemem zusammenhängt. Dann habe ich wieder auf LAN-LAN-VPN-Kopplung umgeschaltet und musste dann im ersten Schuss erstmal auf den Windows-PCs (Serverseitig) die FW TCP 3389 für "Alle Computer (auch Internet)" freigeben.
Da bei dem Cleint-VPN auf der Serverseite eine lokale IP-Adresse zugewiesen wurde, funktionierte die alte FW Einstellung mit localnet. LAN-LAN irgendwie nicht, da bin ich jetzt dran.
Oder habt Ihr dafür noch einen Tipp?
Nochmals Danke für die Unterstützung. Und ich werde mich mal nach "professionellen" Lösungen umsehen. GF war jetzt auch schon zugänglicher als er den Stress gesehen hat und die Mitarbeiter ständig keine Verbindung hatten.
Gruß Holger
