zeroblue2005
Goto Top

VPN MS-PPTP je Hostlan nur eine bis zwei Verbindungen möglich, warum nicht mehr?

Hallo Zusammen,

ich betreiben in meinem Netwerk einen 2003 MS Server. Dort ist Routing und Ras Server installiert und konfiguriert. Nun stelle ich seit einigen Wochen fest, dass wenn sich aus einem Fremdnetzwerk mehrere Cliets via PPTP einwählen (DSL mit Router), dann kommt es schon mal vor, dass die Fehlermeldung bei den Cliets erscheint: Das Modem hat einen Fehler gemedet.... !

Folgendes habe ich bereits geprüft und kann ausgeschlossen werden:

-DHCP-Adressen und Ports mehr als genug vorhanden. Bzw. auch manuelle Client-IP zugelassen
-Mehrfacheinwahl auf 5 gestellt auch mit gleichen Benutzenamen und Passwort
-Clientseitig PPTP voreingestellt DNS und WINS manuell (Haken bei Gateway entfernt)

Das was ich nicht ganz auschließen kann ist, dass ggf. das Problem vor dem VPN-Gateway liegt. Die Einwahl ins DSL erfolgt duch eine Fritz!Box 7170 dann geht es weiter auf eine Linux Firewall (IP-COP) und wieter zum VPN-Gateway.

WAN>>>>>F!B Port 1723 u. Gre auf >>>>Linuxfirewall Port 1723 u. Gre auf >>>>>> Win.-2003 bzw. VPN-Gateway

Mir ist klar, dass zwei hinternaderliegende Firwalls nicht mehr bringen, kann aber die Konzeption jetzt nicht ändern!!!

Daher bitte ich einfach mal um einige Gedankenanstöße wo das Problem liegen kann, Danke!!!

Gruß Mike

Content-Key: 131763

Url: https://administrator.de/contentid/131763

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 16.12.2009, aktualisiert am 18.10.2012 um 18:40:22 Uhr
Goto Top
Das unsinnige an dem Design sind nicht die 2 hintereinanderliegenden Firewalls sondern der Umstand warum du, wenn du schon soviel Sicherheit benötigst, die Firewalls für PPTP aufbohrst.
Bei gleich 2 VPN fähigen Firewalls ist das eigentlich kompletter Blödsinn und man koönnte designtechnisch die VPNs besser entweder auf der FB oder auf der Linux Firewall terminieren.
VPNs supporten sie beide und es hätte den Vorteil, das du eben keine Löscher in die FWs bohren musst:
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...
http://wiki.ubuntuusers.de/pptpd
bzw.
VPNs einrichten mit PPTP

Was dein Problem anbetrifft ist das ein reines Windows Server Problem. Da die PPTP Pakete sauber am VPN Server ankommen hat es mit dem Netzwerk als solchem nichts zu tun.
Ein Punkt bleibt allerdings. Du musst ja Port Forwarding machen. Das GRE Protokoll hat nur eine Session ID nachdem sich der PFW Eintrag orientieren kann. Billige Consumer NAT Firewalls wie die in der FB haben meist nur eine sehr geringe Anzahl dieser Session ID zu lokale IP Adresse Caches (oft nur eine einzige) es ist also zu vermuten das einer der PFW Komponenten dort kein PFW mit GRE machen kann weil ihm die Caches ausgehen...richt etwas danach.
Genau auch aus diesem Grunde ist dein VPN Design sehr schlecht und es wäre besser es auf dem Router oder der Firewall zu terminieren !!
Mitglied: zeroblue2005
zeroblue2005 16.12.2009 um 11:13:24 Uhr
Goto Top
Hallo aqui,

erst mal Danke für deine Ausführungen. Ich hatte ja bereits gesagt, dass ich im Moment an der Architektur nichts ändern kann. Mir ist selber bewusst, dass dies blödsinn ist. Ich dachte, dass ich darum herum komme das umzubauen. Aber dem ist wohl nicht so!

Derzeit habe ich über 24 Stundenlang ca. 10 -15 User über PPTP Session online. Aber ich denke zu liegst damit schon richtig, dass die IDs ausgehen.

Der Umbau ist für anfang nächstes Jahr geplant, mal sehen wie es danach aussieht!
Mitglied: aqui
aqui 16.12.2009 um 11:29:42 Uhr
Goto Top
Du hast es scheinbar nicht verstanden oder willst es nicht verstehen...: An der Architektur musst auch NICHTS ändern ! Das kann alles so bleiben.
Was du machen solltest ist eben nur deine VPNs auf der FB ODER auf der Linux Firewall zu terminieren !!
Nichts anderes...denn damit hast du das Problem des Port Forwarding nicht mehr was bei dir vermutlich Ursache allen Übels ist....aber egal !
Mitglied: zeroblue2005
zeroblue2005 16.12.2009 um 13:03:45 Uhr
Goto Top
Hörmal ich bin nicht doof ,ich habe das schon verstanden, ist aber so nicht möglich, auch wenn du es nicht verstehst!!!!

Ich habe das Problem aber gelöst Exposithost auf der FB weitergeleitet auf die Lan-karte der Firewall Rotes-Interface gesetzt, somit ist die FW in der FB ausgeschaltet und alle sind glücklich !!!!