hr1179
Goto Top

VPN (PPTP) mit einer NIC ohne AD funktioniert nicht

Hallo,

ich habe ein Problem mit dem Einrichten von VPN (PPTP) auf einem Windows SBS 2003 (nicht R2).

Der Server ist hinter einem Router (Bintec X1200) und hat auch nur eine NIC mit dem der Server über einen Switch am Router hängt.
Auf dem Server habe ich über den Wizard den RAS Server eingerichtet und dieser lässt sich auch starten.
Lokal auf dem Server ist eine VPN-Verbindung möglich.

Auf dem Router ist NAT eingeschaltet und ich habe Portforwarding TCP 1723 und GRE 47 auf die Server Adresse eingerichtet.
Um sicher zu gehen das die Weiterleitung funktioniert habe ich die Tools PPTPclnt.exe (auf einem Client außerhalb des Netzwerkes) und PPTPsrv.exe (auf dem Server)
gestartet und dabei festgestellt, dass die Pakete auch über WAN richtig ausgetauscht werden.
Auch im Log des Routers sind zumindest eingehende Verbindungen sichtbar.

Leider funktioniert jedoch die Verbindung über den VPN Client (Window7 oder Android) nicht.
Im RAS Log ist auch kein Verbindungseintrag vorhanden.
Allerdings erscheint in der Ereignisanzeige eine Warning mit der EventID 20209 (ROUTERLOG_VPN_GRE_BLOCKED) was ja darauf hindeutet das die GRE Packete nicht ankommen.

Seltsamerweise sehe ich im Routerlog auch keine eingehenden GRE Pakete (obwohl das ja bei den Testtools der Fall war).

Momentan hab ich überhaupt keine Idee an was es liegen könnte.
Vielleicht kann mir hier jemand helfen?

Viele Dank schon mal im Voraus.

Content-Key: 164126

Url: https://administrator.de/contentid/164126

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Arch-Stanton
Arch-Stanton 07.04.2011 um 10:05:05 Uhr
Goto Top
Warum nutzt Du nicht den Router als VPN-Gateway?!? Schaue mal hier.

Gruß, Arch Stanton
Mitglied: hr1179
hr1179 07.04.2011 um 10:12:48 Uhr
Goto Top
Weil ich keine VPN Lizenz für den Router habe und es, soweit ich weiß, die Lizenz auch nicht mehr zu kaufen gibt.
Mitglied: aqui
aqui 07.04.2011, aktualisiert am 18.10.2012 um 18:46:23 Uhr
Goto Top
Wäre in der tat die technisch sinnvollere Lösung als die Frickelei hinter dem NAT Router. Nundenn....
Vermutlich schlägt die Server interne Firewall zu wie immer in solchen Fällen wenn IP Pakete von fremden Netzen (Internet, remote) reinkommen.
Du solltest also für den PPTP Dienst diese IP Netze freischalten.
Ansonsten steht alles relevante was du dazu wissen musst in diesem Tutorial:
VPNs einrichten mit PPTP
...auch ein HowTo für Windows PPTP Knechte....
Mitglied: hr1179
hr1179 07.04.2011 um 12:01:18 Uhr
Goto Top
Die Serverfirewall ist aus.
Daran kann es ja auch nicht liegen, sonst würde ja die Pakete der Testtools gar nicht durchkommen, oder?
Mitglied: aqui
aqui 09.04.2011 um 13:36:08 Uhr
Goto Top
Das behaupten immer alle das sie aus ist. Die "GRE Blocked" Message oben beweist dir ja das genaue Gegenteil und nährt eher den Verdacht das die PPTP Session gar nicht zustandekommt, was die fehlenden Log Einträge auch eher noch verhärten...
Nimm dir also am besten einen Wireshark Sniffer oder den MS NetMonitor und prüfe ob wirklich alle Sessions der PPTP Verbindung (GRE mit IP Prot.Nummer 47 und TCP 1723) wirklich auf den VPN Server durchkommen.
Sehr wahrscheinlich liegt hier den Problem.
Noch besser ist du investierst ein paar Euro für die VPN Lizenz auf dem Router !!
Mitglied: hr1179
hr1179 11.04.2011 um 12:26:28 Uhr
Goto Top
Also jetzt hab ich mal auf dem Server und auf dem Client den Wireshark Sniffer laufen lassen.
Mit dem Testtool kommen GRE Pakete beim Server an.

Mit dem Windows 7 PPTP Client kommen jedoch keine GRE Pakete an.
Am Client sieht man, das GRE 47 Pakete rausgehen und ICMP Pakete vom Server mit zurückkommen.
ICMP ist aber am Client (oder eher am Router) nicht offen (Destination unreachable). Könnte das der Grund sein?

Etwas seltsam ist, dass die Checksumme der ausgehenden GRE 47 Pakete immer 0x0000 ist und damit nicht korrekt.

Wegen der VPN Lizenz frag ich nochmal bei Bintect bzw. Funkwerk nach. Soweit ich weiß ist die aber nicht mehr verfügbar.
Mitglied: aqui
aqui 11.04.2011 um 12:34:26 Uhr
Goto Top
OK, dann ist die Sache eindeutig, denn dann ist irgendwo im Pfad des Clients zum Server eine Firewall oder ein NAT Router oder was auch immer was GRE Pakete filtert.
Logisch das die GRE Pakete des Clients auch ankommen müssen, denn sonst kann das VPN natürlich nicht funktionieren !!
ICMP ist dazu (PPTP VPN) nicht zwingend erforderlich wäre aber zum Management der Sessiosn hilfreich. Redirect, Unreachable usw. also generell Typ 0 bis 9 ICMPs sollte man immer besser passieren lassen...