Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbindung zu windows remoteapp server (2008) schlägt fehl - double NAT

Mitglied: noexen

noexen (Level 1) - Jetzt verbinden

17.05.2013, aktualisiert 18:53 Uhr, 3304 Aufrufe, 5 Kommentare

hallo, ich bin heute mit folgendem problem konfrontiert worden (und zum ersten mal mit remoteapp auf der client seite, ich hatte damit bisher noch nie was zu tun):

aus einem mir unerklärlichen grund kann sich client X nicht mehr mit dem windows 2008 remote app server verbinden (also rdp-3389, die webverbindung und das einloggen auf dem webserver geht natürlich einwandfrei) wenn ich ihn aus seiner ursprünglichen umgebung


WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)CLIENT

herausnehme, und einen weiteren NATROUTER vor den client setze:

WAN--(öffentliche IP)NATROUTER.A(IP subnetA)--(IP subnetA)NATROUTER.B(IP subnetB)--(IP subnetB)CLIENT

bitte jetzt mal nicht nach dem grund fragen warum das so sein muss... die verbindung mit dem remoteapp server (also mit dem webif via iexplorer) funktioniert wie gesagt, aber sobald ich die remoteapp-verbindung herstellen will kommt direkt beim verbindungsversuch

"der computer kann keine verbindung mit dem remotecomputer herstellen, da ein fehler auf dem remotecomputer aufgetreten ist"

ich verstehe nicht direkt wieso doubleNAT dieses problem verursacht, was aber damit zusammenhängt (webbrowsing funktioniert einwandfrei) das ich gar nicht genau weiss was eigentlich im ganzen passiert wenn ich da auf das remoteapp symbol klicke, abgesehen davon das der computer dann wohl den server via 3389 erreichen will...

kann mir da jemand zufällig weiterhelfen?

auf den beiden NATROUTERn sind keine outgoing firewall regeln eingestellt (ausgehend nix blockiert). eingehend habe ich nur eine portweiterleitung auf NATROUTER.A nach NATROUTER.B weil der ein SSL-VPN gateway ist.

muss ich für remoteapp auch noch irgendwelche ports auf NATROUTER.A an NATROUTER.B weiterleiten?

danke + mfg
die 0lsenbande
Mitglied: 108012
17.05.2013 um 22:23 Uhr
Hallo,

das wird so in der Art hier zwei bis drei mal im Monat gefragt und das Forum hat eine Suchfunktion!
Also wenn es eilt würde ich diese benutzen wollen!

Deine SHIFT Taste scheint einen defekt zu haben! Hier im Forum legt man Wert darauf richtig zu schreiben
denn sonst hat man nach 100 Beitrage eventuell Augenkrebs!

bitte jetzt mal nicht nach dem grund fragen warum das so sein muss...
Nö, warum auch entweder Du hast das mit der Router Kaskade und der doppelten NAT nicht verstanden,
willst es einfach nicht verstehen oder hast eben Deine Gründe dafür, aber der Sinn und auch der Zweck
einer Router Kaskade ist damit voll und ganz aufgehoben und somit obsolet!

Gruß
Dobby
Bitte warten ..
Mitglied: clSchak
19.05.2013, aktualisiert um 09:05 Uhr
Hi

ich finde das Konstrukt auch recht irreführend (soll jetzt nicht heissen das es falsch ist), bei uns sieht es anders aus:

3f72347b06591390a92dd5df10f4001f - Klicke auf das Bild, um es zu vergrößern

Trusted LAN ist komplett im Layer 3, die Anfrage des Clients für die RemoteApp kommt an FW 1 auf einer bestimmten IP (z.B. 10.999.999.1 - ja ist eine Symbolische IP )auf Port 3389 an und wird an die 2. Firewall weitergeleitet, diese macht dann auch die eigentliche Authentifizierung (z.B. Forefront TMG via FAB) und leitet das dann erst an den internen Server weiter.

Die VPN Verbindung bzw. dessen Authentifizierung von Benutzername/Passwort geschieht direkt an der ersten FW (IPSec, L2TP, SSL oder was auch immer) gegen das AD/LDAP - (Alternative kannst die elegante und teure Variante mit DirectAccess von MS nehme) und wenn diese positiv war routet die erste FW das direkt in's interne Netz - steuert zu gleich die möglichen Zugriffe auf die internen Ressourcen.

Eine Firewall INTERN -> EXTERN mit Allow All einzustellen halte ich für grob fahrlässig, am besten auch noch UPnP an... man sperrt alles nicht benötigten Ports i.d.R. komplett weg und man sollte in der Firma für den regulären Internetverkehr Proxies verwenden, alleine schon um ungewollten Content (Porn, Gewalt, Streaming Dienste usw.) wegfiltern zu können und ggf. auch direkt einen Virenscanner mitlaufen lassen damit die Gefahr von Mailware usw. reduziert wird. Des weiteren kann imo jeder deiner Clients lustig fröhlich "Mailserver" spielen und dafür sorgen, dass deine IP auf Blacklisten landet und euer regulärer Mail-Server keine Mails mehr versandt bekommt...

Mein Rat: hol dir einen Dienstleister ins Haus der dir das gesamte Konstrukt gescheit einstellt, investiere ein paar Euros in eine gescheite Firewall nach draußen (Sonicwall, Fortinet, Juniper, Cisco, Watchguard) die solltest für unter 1.000 EUR bekommen und du hast was gescheites da stehen - alternativ verwende die Suchfunktion und suche nach einem Tutorial von @aqui "mOnOwall" & "pfense" - dort findest auch eine gute Anleitung bzgl. Firewall usw. im Eigenbau (https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall- ...)


Juhu es scheint endlich die Sonne
Grüße clSchak

PS: hmm wenn ich selbst nach "DoubleNAT" suche finde ich haufenweise "...is Evil" - "...some Problems" ;)
Bitte warten ..
Mitglied: noexen
19.05.2013, aktualisiert um 14:24 Uhr
ich bin echt mal wieder begeistert wie einem hier weitergeholfen wird...

1. es ist nicht mein netz - ich verwalte es nicht!
2. es ist nicht mein drecks-remote app windows-server - ich verwalte ihn nicht!
3. es ist eine kleine minibude die halt eine verbindung zu einem fremdverwalteten remote app server hat und dort eben ein programm X benutzt, und sich garantiert keine high end firewall (und deren administration) leisten kann und darum auch dieses NAT-NAT konstrukt hat (tcom VDSL router/modem grütze und dahinter ein SSLVPN gateway router)
ob die einen outbound filter brauchen oder nicht mit 3 leuten sei mal dahingestellt, und ist auch nicht meine aufgabe das zu beurteilen - hat aber sicher recht wenig mit meiner frage zu tun, oder? das double NAT diverse probleme verursachen KANN ist mir bestens bekannt... es hätte natürlich sein können das zufällig jemand weiss das die verbindung mit dem remote app server an 3389 deswegen nicht funktioniert - oder eben das es eigentlich kein problem sein sollte. das war alles worauf meine frage abzielte.

wie ein company netz auszusehen hat und wie man es managed ist mir bestens bekannt - trotzdem danke für den hinweis, ich schreibs so für die praktikanten ins wiki. warum glauben immer alle das hier nur auf IT umgeschulte klempner fragen stellen, ist mir echt unklar.

ich wurde nur mal freunlich gefragt ob ich mir das problem mal ansehen könnte, das ist alles... meine nächste handlung wäre ohnehin gewesen zu empfehlen, den tcom router auszubauen, dafür modem einzubauen und den dial direkt vom VPNrouter erledigen zu lassen (was wohl aktuell nicht zu funktionieren scheint, weshalb dieses NAT-NAT konstrukt besteht)...


D.o.b.b.y. meine shift taste funktioniert einwandfrei, und bei allem respekt, ich weiss nicht wie viele kompetente beiträge du täglich schreibst und darum will ich mich nicht zu weit aus dem fenster lehnen, aber wenn du keinen bock hast meinen beitrag zu lesen weil ich alles klein schreibe - musst du ihn auch nicht lesen, oder? ignoriere ihn, fertig aus. dein beitrag war aktuell für mich leider so hilfreich wie ein griff ins klo (aber das war dir klar als du ihn verfasst hast) / ich weiss was die suchfunktion ist und wie man sie benutzt...
Bitte warten ..
Mitglied: 108012
20.05.2013 um 00:13 Uhr
Haloo nochmal,

in diesem Forum achten die Leute und nicht gerade wenige, eben darauf, kann man auch leicht hier
nachlesen! Wie Du eine Frage richtig stellst

Fakt ist doch folgendes:
- Du hast ein Problem
Und ich wollte nur höflich, bestimmt und sicher zugegebener Maßen etwas direkt, darauf hinweisen,
damit Du mehr Zuschriften und Feedback bekommst und Dein Problem gelöst wird!


- Du möchtest das sich am besten viele Leute "einklinken" und Dir helfen es zu lösen.
Auch wenn man die direkte oder eben auch genaue Lösung nicht kennt, kann man trotzdem
konstruktiv daran mitarbeiten, das eine Lösung herbei geführt wird, falls Dir das nicht passt brauchst Du ja nicht gleich ausfallend werden und mit dem Gassenjargon aufwarten.


D.o.b.b.y. meine shift taste funktioniert einwandfrei, und bei allem respekt,
Rede Du bitte nicht von Respekt und verhöhne noch die Leute die es gut mit Dir meinen!

dein beitrag war aktuell für mich leider so hilfreich wie ein griff ins klo
Nein ich denke eher Deiner, denn in einem Forum wie diesem, ein Beitrag mit fast ~500 Aufrufen und
kaum Antworten würde ich noch einmal darüber nachdenken wollen an Deiner Stelle.


Gruß
Dobby
Bitte warten ..
Mitglied: noexen
30.05.2013, aktualisiert um 18:22 Uhr
nur mal so zur info falls den beitrag jemand liest, ich hab das problem selbst nicht gelöst sondern einfach doubleNAT entfernt... tcom speedport 723v ausgebaut welcher nicht als VDSL modem funktioniert, und tcom speedport 920v eingebaut und als modem konfiguriert. trotzdem danke an alle die versucht haben zu helfen. mich würde allerdings nach wie vor interessieren was jetzt eigentlich der grund ist das die remote app nicht startet mit doubleNAT...
Bitte warten ..
Ähnliche Inhalte
Microsoft
Remoteapp Server 2008 R2 Fehler
Frage von EnricoSMicrosoft2 Kommentare

Hallo Leute, ich habe einen Windows 2008R2 Server der Programme installiert hat. Diese Programme will ich per Remoteapp an ...

Windows Server

(DC) Windows Anmeldung schlägt fehl: Verbindung wird nicht vertraut

gelöst Frage von lord-iconWindows Server10 Kommentare

Hi, meine 2 Rechner melden sich an einen SBS2011 an. Dieser meckerte seit gute 2 Monate, dass er keine ...

Voice over IP

VOIP Server einrichten - Verbindung über Client schlägt fehl

Frage von gabeBUVoice over IP9 Kommentare

Hallo Zusammen Ich versuche derzeit in meiner Testdomäne einen VOIP-Server aufzusetzen. Dafür habe ich SIP-Wise verwendet, die auch eine ...

Netzwerkmanagement

Verbindung PC zu Switch schlägt fehl

gelöst Frage von biofritzNetzwerkmanagement15 Kommentare

Guten Abend, ich habe ein Phänomen im Netzwerk, welches ich mir nicht erklären kann: Normalerweise ist der PC meiner ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 14 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 22 StundenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk12 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...