4
VPN mit Port Forwarding bei Client eingerichtet - Fehler 769 erscheint
Hallo allerseits,
dies ist mein erster Beitrag in diesem Forum. Ich hoffe, Ihr könnt mir helfen.
Ich musste für eine Kollegin einen Laptop neu aufsetzen und habe jetzt Schwierigkeiten die VPN-Verbindung von ihrem Notebook zu einem bestimmten Rechner aufzubauen.
Die komplette Struktur wurde von einem ehemaligen Kollegen aufgebaut und mein externer Dienstleister kann momentan nicht weiterhelfen.
Bei uns ist es so, dass zwei PCs im Büro von mehreren Laptops (nicht zeitgleich) per VPN angesprochen werden können. Wir haben eine dyndns.org-Adresse und im Router sind die IP-Adressen der PCs mit zwei öffentlichen Ports verbunden (das müsste Port Forwarding sein, wenn ich es richtig verstanden habe), sodass die User an den Laptops nur noch eine VPN-Verbindung starten müssen, um sich auf einem der PCs einloggen zu können.
Wenn ich auf dem neuen Laptop die VPN-Verbindung mit Hostname xxx.dyndns.org teste, wird eine Verbindung aufgebaut. Hänge ich jetzt den Port an ( xxx.dyndns.org:15554 ), damit sie direkt auf den PC geleitet wird, erhalte ich die Fehlermeldung 769. Was habe ich bei der Einrichtung vergessen?
Client OS: Windows XP Professional
Server OS: Windows Server 2003
Router: D-Link DI-804HV
Schon mal VIELEN DANK für Eure Hilfe!!!
Gruss
jeannie
Die komplette Struktur wurde von einem ehemaligen Kollegen aufgebaut und mein externer Dienstleister kann momentan nicht weiterhelfen.
Bei uns ist es so, dass zwei PCs im Büro von mehreren Laptops (nicht zeitgleich) per VPN angesprochen werden können. Wir haben eine dyndns.org-Adresse und im Router sind die IP-Adressen der PCs mit zwei öffentlichen Ports verbunden (das müsste Port Forwarding sein, wenn ich es richtig verstanden habe), sodass die User an den Laptops nur noch eine VPN-Verbindung starten müssen, um sich auf einem der PCs einloggen zu können.
Wenn ich auf dem neuen Laptop die VPN-Verbindung mit Hostname xxx.dyndns.org teste, wird eine Verbindung aufgebaut. Hänge ich jetzt den Port an ( xxx.dyndns.org:15554 ), damit sie direkt auf den PC geleitet wird, erhalte ich die Fehlermeldung 769. Was habe ich bei der Einrichtung vergessen?
Client OS: Windows XP Professional
Server OS: Windows Server 2003
Router: D-Link DI-804HV
Schon mal VIELEN DANK für Eure Hilfe!!!
Gruss
jeannie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133837
Url: https://administrator.de/contentid/133837
Printed on: April 26, 2024 at 04:04 o'clock
4 Comments
Latest comment
Hilfreich wäre es gewesen wenn du uns mal mitgeteilt hättest WELCHES VPN Protokoll du denn benutzt und vor allen Dingen WAS im Port Forwarding eingetragen ist ??
Mit den oberflächlichen Informationen von oben kann man nur im freien Fall raten...wenn dir das reicht ist ja gut.
Vorab kann man dir aber schon gleich sagen das ein Port Forwarding über Port Translation mit den klassischen VPN Protokollen wie IPsec und PPTP bzw. L2TP NICHT funktioniert, denn diese VPN Protokolle bestehen aus mehreren Einzelprotokollen, die mit einer singulären Port Translation wie du sie macht niemals erfasst werden: Fazit: Das geht dann 100% in die Hose...logisch !
Funktionieren kann das nur mit VPN Protokollen die nur einen Port nutzen wie z.B. SSL, OpenVPN etc. Dort kann man Client und Server auf unterschiedliche Ports heben um mehrere VPN Verbindungen (Server) über die NAT Firewall zu forwarden.
Generell ein ziemlich krankes VPN Konzept, denn sowas macht mal in der Regel zentral am (VPN) Router oder mit einem zentralen VPN Server !
Leider schreibst du aber nicht WAS du denn als VPN Software verwendest und machst so eine qualifizierte Hilfe unmöglich...
Mit den oberflächlichen Informationen von oben kann man nur im freien Fall raten...wenn dir das reicht ist ja gut.
Vorab kann man dir aber schon gleich sagen das ein Port Forwarding über Port Translation mit den klassischen VPN Protokollen wie IPsec und PPTP bzw. L2TP NICHT funktioniert, denn diese VPN Protokolle bestehen aus mehreren Einzelprotokollen, die mit einer singulären Port Translation wie du sie macht niemals erfasst werden: Fazit: Das geht dann 100% in die Hose...logisch !
Funktionieren kann das nur mit VPN Protokollen die nur einen Port nutzen wie z.B. SSL, OpenVPN etc. Dort kann man Client und Server auf unterschiedliche Ports heben um mehrere VPN Verbindungen (Server) über die NAT Firewall zu forwarden.
Generell ein ziemlich krankes VPN Konzept, denn sowas macht mal in der Regel zentral am (VPN) Router oder mit einem zentralen VPN Server !
Leider schreibst du aber nicht WAS du denn als VPN Software verwendest und machst so eine qualifizierte Hilfe unmöglich...
Hallo aqui,
danke für Deine Antwort. Hier die fehlenden Infos:
Eintragungen im Router als virtueller Server
private IP-Adresse: 192.168.100.45
Protokollart: TCP
privater Port: 3389
öffentlicher Port: 15554
freigegebene Protokolle für VPN: PPTP, IPSec (keine weiteren möglich)
Im Client habe ich PPTP ausgewählt, weil damit die Verbindung ohne Portangabe zustande kam. Funktioniert also nicht mit Port, gut zu wissen. Dann muss ich also eines der von Dir genannten Protokolle auf dem Client installieren, damit die Port Translation klappt.
Soweit ich weiss, ist keine spezielle VPN-Software installiert. Es werden nur Windowseigene und Routertools genutzt. Zumindest sieht es so aus. Da hier nichts dokumentiert ist, lässt sich vieles für mich nicht nachvollziehen.
Was meinst Du mit "sowas macht mal in der Regel zentral am (VPN) Router oder mit einem zentralen VPN Server"? Wie würde das aussehen?
Schon mal danke für Deine Geduld und Deine Antwort.
Gruss
jeannie
danke für Deine Antwort. Hier die fehlenden Infos:
Eintragungen im Router als virtueller Server
private IP-Adresse: 192.168.100.45
Protokollart: TCP
privater Port: 3389
öffentlicher Port: 15554
freigegebene Protokolle für VPN: PPTP, IPSec (keine weiteren möglich)
Im Client habe ich PPTP ausgewählt, weil damit die Verbindung ohne Portangabe zustande kam. Funktioniert also nicht mit Port, gut zu wissen. Dann muss ich also eines der von Dir genannten Protokolle auf dem Client installieren, damit die Port Translation klappt.
Soweit ich weiss, ist keine spezielle VPN-Software installiert. Es werden nur Windowseigene und Routertools genutzt. Zumindest sieht es so aus. Da hier nichts dokumentiert ist, lässt sich vieles für mich nicht nachvollziehen.
Was meinst Du mit "sowas macht mal in der Regel zentral am (VPN) Router oder mit einem zentralen VPN Server"? Wie würde das aussehen?
Schon mal danke für Deine Geduld und Deine Antwort.
Gruss
jeannie
Oha, oha....nach den Einstellungen von oben weiss da jemand nicht was er da macht....
Ein virtueller Server in einem Router ist ein offenes Scheunentor zum Internet. Sicherheitstechnisch tödlich, denn der Router forwardet dort dann alle Ports die er nicht selber benutzt. Folglich wird alles aus dem Internet auf diese IP Adresse geforwardet.
Damit exponiert man diesen lokalen Rechner komplett im Internet...sicherheitstechnisch ein Unding und Overkill aber hoffentlich weisst du dann was du da machst.
Wenigstens wissen wir jetzt das du PPTP als VPN Protokoll verwendest, was ja auch schon was ist....
Halte dich ganz einfach an diese Turorials, da werden sie geholfen...
VPNs einrichten mit PPTP
bzw.
http://www.wintotal.de/artikel/artikel-2005/40.html
Und das mit dem virtuellen Server solltest du schnellstens rückgängig machen !! Für PPTP reicht TCP 1723 und GRE als Port Weiterleitung auf die 192.168.100.45 ...siehe Tutorial !
Eine Port Translation wie du oben beschreibst mit Port 15554 ist generell bei PPTP NICHT supportet, da PPTP aus 2 Protokollen nämlich TCP 1723 für die Authentication und Verschlüsselung und GRE (Generic Route Encapsulation) für die Produktivdaten besteht.
Deine Konfig ist auch völlig verwurstet, denn du redest von VPN machst aber mit der Port Translation von oben ein ganz simples Port Forwarding für das Windows Remote Desktop Protokoll ganz ohne VPN !!!
Dies hat also mit VPN rein gar nix zu tun sondern jeder der die öffentliche Router DSL IP mit dem RDP Client auf Port 15554 kontaktiert landet auf dem internen Rechner mit der IP 192.168.100.45 !!
Dazu sollte man natürlich, wenn man remote zugreift, die externe öffentliche Router IP wissen oder einen DynDNS Client installiert haben auf dem Router. Die IP bekommst du raus wenn du auf http://www.wieistmeineip.de gehst oder mit einem kleinen Tool wie IP2:
http://keir.net/ip2.html
Besser ist natürlich ein DynDNS Account mit festem Hostnamen.
Bei diesem Zugriff musst du nur sicherstellen das die interne Windows Firewall am Rechner 192.168.100.45 RDP Sessions auch aus Fremden IP Netzen zulässt. Generell blockt sie alles was nicht aus dem internen Netz kommt.
Dazu klickst du in den erweiterten Firewall Einstellungen unter Erweitert -> Ausnahmen bei Remote Desktop Unterstützung unter -> Bereich auf "Alle Computer inkl. Internet".
Bei RDP ist Port Translation natürlich problemlos möglich, denn das ist kein VPN Zugriff !!
Ein virtueller Server in einem Router ist ein offenes Scheunentor zum Internet. Sicherheitstechnisch tödlich, denn der Router forwardet dort dann alle Ports die er nicht selber benutzt. Folglich wird alles aus dem Internet auf diese IP Adresse geforwardet.
Damit exponiert man diesen lokalen Rechner komplett im Internet...sicherheitstechnisch ein Unding und Overkill aber hoffentlich weisst du dann was du da machst.
Wenigstens wissen wir jetzt das du PPTP als VPN Protokoll verwendest, was ja auch schon was ist....
Halte dich ganz einfach an diese Turorials, da werden sie geholfen...
VPNs einrichten mit PPTP
bzw.
http://www.wintotal.de/artikel/artikel-2005/40.html
Und das mit dem virtuellen Server solltest du schnellstens rückgängig machen !! Für PPTP reicht TCP 1723 und GRE als Port Weiterleitung auf die 192.168.100.45 ...siehe Tutorial !
Eine Port Translation wie du oben beschreibst mit Port 15554 ist generell bei PPTP NICHT supportet, da PPTP aus 2 Protokollen nämlich TCP 1723 für die Authentication und Verschlüsselung und GRE (Generic Route Encapsulation) für die Produktivdaten besteht.
Deine Konfig ist auch völlig verwurstet, denn du redest von VPN machst aber mit der Port Translation von oben ein ganz simples Port Forwarding für das Windows Remote Desktop Protokoll ganz ohne VPN !!!
Dies hat also mit VPN rein gar nix zu tun sondern jeder der die öffentliche Router DSL IP mit dem RDP Client auf Port 15554 kontaktiert landet auf dem internen Rechner mit der IP 192.168.100.45 !!
Dazu sollte man natürlich, wenn man remote zugreift, die externe öffentliche Router IP wissen oder einen DynDNS Client installiert haben auf dem Router. Die IP bekommst du raus wenn du auf http://www.wieistmeineip.de gehst oder mit einem kleinen Tool wie IP2:
http://keir.net/ip2.html
Besser ist natürlich ein DynDNS Account mit festem Hostnamen.
Bei diesem Zugriff musst du nur sicherstellen das die interne Windows Firewall am Rechner 192.168.100.45 RDP Sessions auch aus Fremden IP Netzen zulässt. Generell blockt sie alles was nicht aus dem internen Netz kommt.
Dazu klickst du in den erweiterten Firewall Einstellungen unter Erweitert -> Ausnahmen bei Remote Desktop Unterstützung unter -> Bereich auf "Alle Computer inkl. Internet".
Bei RDP ist Port Translation natürlich problemlos möglich, denn das ist kein VPN Zugriff !!
Hallo aqui,
danke für die Antwort!! Jetzt ist einiges klarer.
Dann werde ich auf dem neuen Laptop die RDP-Verbindung einrichten. Und meinen externen EDVler werde ich anspitzen, sich die gesamte Struktur mal genauer anzusehen und Schadensbehebung zu betreiben.
Danke + schönen Tag noch!
Gruss
jeannie
danke für die Antwort!! Jetzt ist einiges klarer.
Dann werde ich auf dem neuen Laptop die RDP-Verbindung einrichten. Und meinen externen EDVler werde ich anspitzen, sich die gesamte Struktur mal genauer anzusehen und Schadensbehebung zu betreiben.
Danke + schönen Tag noch!
Gruss
jeannie
