nicker
Goto Top

VPN über Arcor Speedmodem nicht möglich?

Schönen guten Tag,

ich benötige dringend Hilfe bei der Einrichtung eines VPN-Zuganges. Da ich Neuling auf dem Gebiet bin, komme ich nicht weiter.

Home-PC: Windows XP SP2, Router ist ein Arcor Wlan Modem 200. Wlan wird dafür nicht verwendet.
Server in der Firma: Windows SBS 2k3 mit AD, Domänenanmeldung

Unsere Firma verfügt über eine Standleitung und der isp (Netcologne) hat uns eine Firewall eingerichtet und verwaltet die auch. Dazu habe ich von ihm das Programm Juniper Netscreen Remote zur Verfügung gestellt bekommen, in dessen Konfiguration alles vom isp selbst eingerichtet wurde - auch RAS etc für den Server wird von da aus konfiguriert.

Den Tunnel bekomme ich auf, kein Problem. Nur die Anmeldung am Netzwerk haut nicht hin.
Ping auf die Serveradresse funktioniert, ich kann ihn auch direkt ansprechen und auf ihn zugreifen (Remote web Arbeitsplatz).
ipconfig zeigt mir zwar den Namen des Servers, aber lediglich IPs aus meinem Adressraum.

Meine Vermutung ist, dass der verd... Arcor Router/Modem Schuld hat, hier wurde offensichtlich eine abgemagerte Firmware eingespielt.
Ursprünglich handelt es sich um den Zyxel P660HW-T7C.

Auf diversen Seiten habe ich zwar ne Menge an Konfigurationsanleitungen für NAT, GRE und IPSec port forwarding gefunden, aber das haut alles nicht hin. Testweise wurde die Firewall des Routers auch abgeschaltet, geht genauso wenig.

Wer kann mir helfen?

Gruss Nicker

Content-Key: 69293

Url: https://administrator.de/contentid/69293

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: filippg
filippg 23.09.2007 um 14:55:37 Uhr
Goto Top
Hallo,

die Juniper-Software fürst du ja wohl auf deinem PC aus, oder? Damit ist der Tunnel-Endpunkt auch auf deinem PC. Will heißen: Dein Router hat damit gar nichts am Hut. Er muß lediglich die Daten, die durch den Tunnel gehen von deinem PC zum Provider leiten. Dabei kann es zu fehlern kommen, weil sich die Daten, je nach Tunnelart, nicht als ganz normale IP-Nutzlast darstellen. Allerdings verhindert das dann den Aufbau des Tunnels komplett. Wenn der Tunnel erstmal steht, dann hat der Router, wie oben erwähnt, auf alles weitere keinen Einfluß.

Filipp
Mitglied: Nicker
Nicker 23.09.2007 um 15:05:54 Uhr
Goto Top
Hallo und ja, ich führe die Software auf dem Client aus...

Ein eindeutiger Datenverkehr bzw. Pakettransfer muss in beiden Richtungen passieren, wäre es nicht möglich, dass der Router in einer Richtung nicht oder nur unvollständig durchlässt?

ein etwas verwirrter Nicker
Mitglied: Supaman
Supaman 23.09.2007 um 15:11:40 Uhr
Goto Top
spiel mal mit der MTU size herum. hatte letzens mal einen fall wo der provider gewechselt wurde und nach den vpn zugangsdaten nichtsmhr ging. MTU von 1500 auf 1492 gesetzt und alles war prima.
Mitglied: Nicker
Nicker 23.09.2007 um 15:33:00 Uhr
Goto Top
Hallo und danke für den Tipp,

hatte ich schon versucht, über diesen Hinweis stolpert man auf der Suche öfters.

Sorry, ich hatte vergessen anzugeben dass beim Verbindungsversuch der Fehler 800 (Verbindung kann nicht hergestellt werden) kommt.
Ändere ich die VPN Verbindungsmethode von auto auf IPSec oder PPTP, kommt der Fehler 678.

Gruss Nicker
Mitglied: aqui
aqui 24.09.2007 um 08:10:09 Uhr
Goto Top
Wo aenderst du das ??? Am Juniper Netscreen Client ??? Du schreibst doch selber das da alles vorinstalliert ist ??? Was soll dann diese Umstellung oder machst du jetzt in dem VPN ein weiteres VPN auf mit MS PPTP ?? Das waere ja dann kompletter Bloedsinn !!!

fillipg hat absolut Recht: Wenn du den Server pingen kannst und ihn auch erreichen kannst hast du KEIN Netzwerkproblem mehr, denn dann werden deine Daten im VPN Tunnel ja sauber uebertragen !
Das Teile nicht gehen liegt in der Tat dann meistens an einer falschen MTU Einstellung !
Wenn du den Parameter max.MTU in deinem Router auf einen niedrigeren Wert setzt sollte das ggf. das Problem beheben.
Kannst du es nicht am Router selber machen, weil eine abgespeckte Firmware das nicht supportet (...was ein schlechtes Licht auf den Hersteller wirft !) hast du immer noch die Moeglichkeit das mit Tools wie z.B. Dr. TCP (http://www.dslreports.com/drtcp) am Client direkt anzupassen !

Wenn der Juniper VPN Client IPsec als VPN Protokoll spricht musst du in jedem Falle folgende Ports auf deinem Arcor Router in die IP Port Forwarding Liste eintragen, die dann auf deinen PC zeigt:

UDP 500 (IKE Protokoll)
UDP 4500 (NAT Traversal)
ESP (Protokoll Nummer 50, Achtung: nicht TCP oder UDP 50 !)

Das du durch die statische Beziehung dieser PFW Liste auf deinen lokalen Client bzw. dessen IP bei diesem dann besser nicht mit DHCP fuer den Client arbeiten solltest sollte dir klar sein. Denn aendert sich diese IP mal aufgrund der Dynamik von DHCP ists wieder vorbei mit dem VPN.
Das diese statische IP Adresse dann ebenfalls NICHT im Pool/Range der lokalen DHCP Adressen leiegn sollte um Ueberschneidungen zu vermeiden, sollte dir ebenfalls klar sein !
Mitglied: Nicker
Nicker 24.09.2007 um 12:57:07 Uhr
Goto Top
Schönen Guten Tag und danke für deine Hinweise.

Ich vernute mal, dass du es gut meinst, trotz der vielen Frage- und Ausrufezeichen und dem fehlenden Gruss...entschuldige bitte, ich bin Newbi was VPN angeht. Ich bitte das zu berücksichtigenface-wink

Änderungen werden natürlich NICHT am Juniper ausgeführt, das ist gar nicht möglich, da gesperrt.
Ich erstelle eine neue Netzwerkverbindung, mittels der ich, nach Aufbau des Tunnels, versuche an das Netzwerk ranzukommen.
In dieser VPN-Netzwerkverbindung kann ich die Methode ändern, also Auto, IPSec oder PPTP.

Mit den MTRU-Einstellungen habe ich herumgespielt, glaube mir. Auif diesen Hinweis stösst man öfters, nicht nur hier im Forum.
Am Router (Arcor aka Zyxel) kann ich sie nicht ändern, laut Handbuch/Hinweisen holt er sich die Einstellungen automatisch...was auch immer das heisst. Also kann ich die MTU nur am Client selbst ändern, das kann ich z.B. mit TCP-Optimizer machen.
Hilft aber alles nichts.

Die angesprochenen Ports / Protokoll sind auf den Client forwarded, sowohl feste IP als auch DHCP tuns nicht.

Gruss Nicker
Mitglied: aqui
aqui 24.09.2007 um 13:06:21 Uhr
Goto Top
Lieber Nicker !

Was du machst ist doch kompletter Unsinn ! Deine Juniper VPN Client Applikation stellt dir doch schon den VPN Tunnel in euer Firmennetzwerk her !! Du schreibst ja selber das du Pingen kannst und alles... Was soll denn da noch der Versuch eine Netzwerkverbindung herzustellen die schon längst existiert ???
Du hast doch dann schon alles !!
  • die LAN Netzwerkverbindung in dein lokales LAN
  • die VPN Verbindung durch den Juniper Client über den LAN Adapter

Damit ist alles gemacht. Man muss dann keinesfalls noch weitere Verbindungen einrichten, wozu auch !
Wenn du in der Eingabeaufforderung mal das Kommando ipconfig eingibst bei aktivierter VPN Verbindung wirst du das Juniper VPN dort als ganz normales Netzwerk Interface sehen mit einer IP Adresse aus dem remoten Netz !!

Dann kannst du auch eine IP Adresse im VPN Netz pingen und gut ist. Damit ist netztechnisch doch soweit alles ok, oder ?? Alles andere sind reine Windows Benutzer oder Rechte oder Naming Probleme (sofern du Windows nutzt ??!!...) die nichts mit der eigentlichen Netzwerkverbindung zu tun haben !
Ein Zwangsconnect auf den remotenServer kannst du immer mit Start -> Ausführen \\<ip_adresse_server machen !

Besser ist den remoten Server statisch in die Datei hosts oder lmhosts einzutragen, dann kannst du den Server auch mit dem namen connecten.
Die Dateien findest du unter \windows\system32\drivers\etc\ und sie sind selbserklärend wenn man sie mit dem Editor unter Zubehör editiert !

Beste Grüße
aqui
Mitglied: Nicker
Nicker 24.09.2007 um 16:26:31 Uhr
Goto Top
Hallo und danke für den Hinweis,

ich versuche lediglich, mich an der Domäne als User anzumelden. Nachdem der sichere Tunnel aufgebaut wurde.
So wirds empfohlen, zumindest hab ich hier einige entsprechende howto's, u.a. von MS vorliegen.

Netzwerkverbindungen - Neue Verbindung erstellen - Verbindung mit dem Netzwerk am Arbeitsplatz herstellen - VPN-Verbindung - Firmenname - keine Verbindung automatisch wählen - Hostname oder IP-Adresse (hier soll die interne IP des Servers eingetragen werden) - Finetuning wie Sicherheit, Methode etc etc.

Hmmm...klingt irgendwie logisch, das würde dann evtl. nen 2. Tunnel aufbauen (?)
Aber wie kann ich mich denn, nach erfolgtem Tunnelaufbau, mit meinem Benutzername/Kennwort an der Domäne / im Netzwerk anmelden?

Gruss Nicker
Mitglied: Nicker
Nicker 24.09.2007 um 16:40:34 Uhr
Goto Top
sorry, ich war wieder zu schnell...Nachsatz:

ipconfig /all zeigt mir die eigene IP bzw. die des Routers. Der ping auf die Clients bzw. die Domäne funktioniert.
Die lmhosts ist korrekt erstellt, mit IP der Servers, PDC-name und Domänenname,

Gruss Nicker
Mitglied: aqui
aqui 24.09.2007 um 19:53:11 Uhr
Goto Top
Das ist dann mehr oder weniger ein Windows Problem und hat mit dem eigentlichen Netzwerk nichts zu tun. Denn das klappt ja wie du an den Pings ins VPN sehen kannst.
Vermutlich werden die Domain Logons durch den VPN Client von Juniper nicht richtig gehandelt. Also was für diese Fragtion und nichts mehr fürs Netzwerk.
Eine neue Verbindung einzurichten, die dann einen VPN Tunnel im VPN Tunnel aufbaut ist vollkommen überflüssig, denn zu was sollte das gut sein ?!
Mitglied: Nicker
Nicker 25.09.2007 um 22:11:38 Uhr
Goto Top
mag alles sein...

Ich habe heute mit dem Geschäftskundensupport von Netcologne gesprochen. Laut deren Aussage geht das nicht anders, "Tunnel im Tunnel aufbauen, dann klappts auch mit der Domänenanmeldung".
Ich wills auch nicht glauben...
Dazu kommt natürlich sofort die Aussage: "Wenn der Tunnel steht und der ping funktioniert, dann ist unsere Aufgabe erledigt. Von der Domänenanmeldung haben wir keine Ahnung."
Klarface-sad

Ich versuchs mal darzulegen:
Unser jetziger Geschäftsführer ist inzwischen 65 und will sich mehr und mehr aus dem aktiven Geschäft zurückziehen. Sein gutes Recht und nachvollziehbar.
Ich habe jetzt die Aufgabe, ihm zu ermöglichen, wenigstens passiv am Geschäftsleben teilzunehmen. Sprich also VPN in den Firmenserver, Mails abholen (was natürlich auch anders möglich ist) Daten abrufen etc. etc.

Was ich bisher hinbekommen habe:
Einpflegen des Clients in die Domäne, bei ihm zu Hause dann lokale Anmeldung, Tunnel aufbauen, abmelden, an der Domäne anmelden, Start - ausführen - //SERVERXX (oder IP) und et voila werden die freigegebenen Ordner angezeigt. Heisst also, der Client meldet sich nicht an der Domäne an, sondern lädt ein lokales Profil (wir arbeiten mit servergespeicherten). Zugriff auf die Daten klappt trotzdem. Sogar Outlook via Exchangeface-smile

Mache ich das 3-4x so, scheint es plötzlich zu funktionieren, also er meldet sich tatsächlich an der Domäne an. Als ob Server und Client lernen müssten, einander zu vertrauen.
Kann das tatsächlich sein?

Das würde es dem Mann natürlich erheblich erleichtern - ich kann ihm schlecht einimpfen, was er wann für welche Schritte tun muss, damit der Zugang dann endlich klappt.
Wenns denn wirklich auf Dauer funktioniert...und das ist meine Sorge.
Wer hat da Erfahrungen gesammelt, wer kann mir helfen, vielleicht gibt es einen eleganteren Weg?

Gruss Nicker
Mitglied: Nicker
Nicker 26.09.2007 um 22:30:22 Uhr
Goto Top
Hi nochmal,

da der elegantere Weg nicht zu finden ist, bleibt das momentan so wie es ist.

Die Anmeldung an der Domäne via VPN klappt bisher wunderbar, auch andere Accounts funktionieren.
Vorraussetzung für sauberes arbeiten ist, dass sowohl Client-PC als auch dieser Benutzer in der Domäne eingepflegt sind und der User an diesem Client direkt an der Domäne angemeldet war. Und das servergespeicherte Profil ok ist, logisch.
Ein einpflegen des Client via VPN soll auch gehen, aber die Entfernung zwischen Client und Server sind nur einige km, daher stellt das kein Problem dar - ab in die Firma, anmelden und gut ist.

Der VPN-Tunnel mit Netscreen Remote scheint schon kurz vor oder während der Anmeldung aufgebaut zu werden.
Anders gehts auch (lokales Profil manuell anlegen), ist aber viel Arbeit, weil die Benutzerdaten zu Fuss rübergezogen werden müssen. Ist der falsche und auch sehr unsaubere Weg, aber notfalls geht das auch.

Bis dahin und danke nochmal für die Anregungen,
Nicker
Mitglied: aqui
aqui 27.09.2007 um 09:27:18 Uhr
Goto Top
...kein Problem. Dafür ist ein Forum ja da. Bitte dann
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !