klarafall
Goto Top

Windows Server 2008 - Routing und Ras

Hallo alle zusammen,

wir sind gerade dabei, den als VPN-Server genutzten Server 2003 durch einen Server 2008 zu ersetzen. VPN-Einwahl und LAN-Routing funktionieren bestens unter dem alten Server. Dessen Einstellungen und Konfigurationen habe ich für den neuen Server 2008 übernommen. Zunächst klappte alles prima, die Clients der Außenstandorte konnten sich ca. 2 Wochen lang wie gehabt ins Netzwerk einwählen. Dann ging plötzlich gar nichts mehr, eine Einwahl war nicht mehr möglich, die interne IPv4-Schnittstelle des Servers 2008 bekam einfach keine IP-Adresse mehr zugewiesen (aus einem vorgegebenen Pool von 10 Adressen). Neukonfiguration von RRAS und Neustart des Servers führte nur vorübergehend wieder zum einwandfreien Arbeiten des Servers. Der aktuelle Stand ist, dass mal eine Einwahl möglich ist und mal nicht, ohne dass sich mir erschließen würde, worin die Gründe dafür liegen. Die entsprechenden Protokolle (Tunnelfehler 800) sind unergiebig. Also habe ich kurzerhand den alten Server 2003 wieder aktiviert, damit die Außenstandorte den dringend benötigten Zugriff haben.

Hat jemand eine Idee, wo der Fehler liegen könnte? NPS ist aktiviert (logisch, sonst wäre ja auf dem Server 2008 von vornherein keine Einwahl möglich gewesen). Mir sind die Gedankenblitze ausgegangen.

Content-Key: 245103

Url: https://administrator.de/contentid/245103

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 30.07.2014 um 15:50:25 Uhr
Goto Top
die interne IPv4-Schnittstelle des Servers 2008 bekam einfach keine IP-Adresse mehr zugewiesen
Man kann nur hoffen das du uns hier nicht erzählen willst du lässt dem Server einen IP per DHCP vergeben. Niemals vergibt man einem Server im Netzwerk eine dynamische IP per DHCP Jeder Netzwerker weiss das.
Wenn dann maximal mit einer nailed DHCP also wo der DHCP Server auf Basis der Mac Adresse des Servers immer eine feste IP vergibt.
Server Adressen in einem Netz sind immer statisch !
Abgesehen davon realisiert ein Netzwerkadmin auch generell nicht eine Client VPN Einwahl auf einem Server sondern immer auf einer Firewall oder einem Router. Allein das koppelt dich schon aus Sicherheitsgründen vom Server ab und von dessen Verfügbarkeit und Funktion.
Hier sind schon die Hausaufgaben beim Design nicht richtig gemacht worden !
NPS ist der Radius Server unter Windows. Zur VPN Einwahl ist der nicht erforderlich. Einzige Ausnahme: du machst die VPN User Authentisierung über Radius.
Mitglied: KlaraFall
KlaraFall 30.07.2014 um 20:57:52 Uhr
Goto Top
Hallo und danke für die überflüssige Nachhilfestunde von jemandem, der offenbar selbst noch nie einen RRAS-Server aufgesetzt hat. Das liebe ich immer so an Foren: Frage nicht verstanden, aber schlau was von DHCP erzählen, worum es in meiner Problemstellung gar nicht geht. Guck Dir mal die Konfiguration von so einem Server an, dann weißt Du auch, von welcher internen Schnittstelle ich spreche.
Mitglied: keine-ahnung
keine-ahnung 31.07.2014 um 00:13:52 Uhr
Goto Top
Das liebe ich immer so an Foren ... es gibr so viele mit noch viel mehr keine-ahnung face-smile! Mach Dir zunächst mal Gedanken, für wen der Adresspool aus Deinem DHCP gedacht ist, den Du auf dem RAS zuweisen kannst.

Kleine Hilfestellung: für den Server wahrscheinlich nicht face-wink

LG, Thomas
Mitglied: aqui
aqui 31.07.2014 aktualisiert um 10:15:06 Uhr
Goto Top
Das liebe ich auch so.... verwirrend ohne Fachbezug und Logik zweideutige Sachverhalte schildern die kein Mensch richtig versteht und dann zielführende Hilfe mit Aussagen wie "Frage nicht verstanden, aber schlau was von DHCP erzählen, worum es in meiner Problemstellung gar nicht geht..." niedermachen.
Wie soll man die Frage auch verstehen wenn sie schon in sich falsch gestellt oder geschildert ist.... ?!
Guck Dir mal die Konfiguration von so einem Server an
Hab ich vor meiner Nase und da funktioniert es so wie oben geschildert. Abgesehen von der Tatsache das kein vernüftiger Netzwerkadmin VPN Access auf einem Server macht. Es ändert deshalb nichts am grundlegenden Sachverhalt das eine externe VPN Usereinwahl auf dem Server ein falsches Anfänger und/oder Bastlerdesign ist !
Den obigen Ausführungen vom Kollgen k-a ist wahrlich nichts mehr hinzuzufügen.
Mitglied: KlaraFall
KlaraFall 31.07.2014 um 10:27:50 Uhr
Goto Top
Es geht nicht um einen Adresspool und nicht um RADIUS und auch nicht um DHCP. Das ist natürlich auf dem Server nicht eingerichtet, der hat eine feste IP-Adresse (und steht sowohl hinter einer Firewall als auch hinter einem Router) und vergibt auch nicht IP-Adressen per DHCP. Man kann aber im Routing und Ras die Anzahl der Clients einschränken, die sich einwählen dürfen, indem man einen Adressbereich von 10 IP-Adressen (und ja, natürlich aus dem internen Netzwerkbereich) angibt. Leute, das ist hier gar nicht das Problem!!!! Das Problem ist, dass Routing und Ras unter Server 2008 aus unerfindlichen Gründen nicht zuverlässig funktioniert, obwohl die Konfiguration fehlerfrei ist. Noch einmal: Das ist hier keine Spielumgebung, sondern die Leute arbeiten von den Außenstandorten per VPN mit einer Datenbankanwendung auf einem Server in unserem Netzwerk. Wenn ich den Server 2008 als VPN-Server einsetze, geht alles 2-3 Tage lang gut, dann ist plötzlich der Zugriff auf den Server nicht mehr möglich bzw. nur noch manchmal möglich, und die Leute kommen nicht mehr zuverlässig ins Netzwerk. Auf den Clients wird der Tunnelfehler 800 angezeigt; das ist eine Standardfehlermeldung, die hier nicht weiterhilft, daher schreibe ich mir hier ja die Finger wund.
Zum Teil liegt der Fehler wohl darin, dass die "interne Schnittstelle", die im Routing und Ras (dort zu finden unter IPv4, Allgemein) angelegt wird (Achtung: es geht nicht um die LAN-Schnittstelle!) sich eine Adresse aus dem o.g. Pool zuweisen muss, sobald der erste Client einen Einwahlversuch unternimmt, dies aber nicht immer tut. Weder die interne Schnittstelle noch die IP-Adresse, die sie bekommt, kann man beeinflussen, das wird unter Routing und Ras angelegt!
Die identische Konfiguration tut unter Server 2003 einwandfrei ihren Dienst, unter Server 2008 nur sporadisch, so dass wir den alten Server wieder in Dienst nehmen mussten. Vielleicht ist hier ja jemand mit RRAS so vertraut, dass ihm dazu was einfällt.
Nochmal: Ich brauche keine Hilfestellung beim Einrichten von RRAS! Ich will nur wissen, ob jemandem vertraut ist, dass es mit dieser Rolle bzw. mit diesem Dienst beim Server 2008 zu Problemen, wie ich sie beschrieben habe, kommen kann.
Mitglied: 108012
108012 31.07.2014 aktualisiert um 11:39:23 Uhr
Goto Top
Hallo,

Das Problem ist, dass Routing und Ras unter Server 2008 aus unerfindlichen
Gründen nicht zuverlässig funktioniert, obwohl die Konfiguration fehlerfrei ist.
Und wie bitte sollen wir Dir dann helfen!? Mehr als Fehlerfrei bekommen wir
auch nicht hin!

Das ist hier keine Spielumgebung, sondern die Leute arbeiten von den Außenstandorten
per VPN mit einer Datenbankanwendung auf einem Server in unserem Netzwerk.
Na dann mal folgendes dazu, die meisten Leute bzw. Admins benutzen entweder
den Server als VPN Server weil die Firewall bzw. der Router im Netzwerk nicht
performant genug ist um die Anzahl der VPN Verbindungen abzufangen bzw. zu
"stemmen". Oder aber weil es so viele Leute sind die bedient werden müssen
nur dann verwende ich auch einen dezidierten VPN Server für so ein Unterfangen.
Da aber hat man dann auch die richtige Hardware dazu und setzt das ganze am
besten mittels einem gehärtetem Linux OS wie CentOS auf!

Alternativ kann man sicherlich auch einen MS Windows Server benutzen nur dann eben
am besten mittels einer VPN Software die sich besser bedienen lässt und/oder alles an
VPN Verbindungen abdeckt. Beispiel

Warum? Weil Du nun suchen musst wo der Fehler liegt und das ist bei einer kleinen
Firmware auf einer Firewall nicht so hart wie auf einem Server wo tausend andere Sachen
daran schuld sein können!

Wenn ich den Server 2008 als VPN-Server einsetze, geht alles 2-3 Tage lang gut,
dann ist plötzlich der Zugriff auf den Server nicht mehr möglich bzw. nur noch
manchmal möglich, und die Leute kommen nicht mehr zuverlässig ins Netzwerk.
Seit wann ist das denn der Fall? Und was wurde seit dem verändert?
Neuer Router, mehr VPN Nutzer, Switch getauscht und VLANs am laufen,.....?


Auf den Clients wird der Tunnelfehler 800 angezeigt; das ist eine Standardfehlermeldung,
die hier nicht weiterhilft, daher schreibe ich mir hier ja die Finger wund.

Fehler 800/807:
Die Verbindung wird vom Remotegerät bzw. der Ressource nicht akzeptiert.
Das Gerät bzw. die Ressource (VPN...........de) ist nicht für das Akzeptieren
von Verbindungen an Port "pptp" eingerichtet.

Was genau steht denn in der Protokolldatei ( dem Logfile)?

Was nutzt Du denn für ein VPN?
IPSec, L2TP/IPSec, PPTP, L2TP, OpenVPN, SSL, SSL + MacSec,.....

Die identische Konfiguration tut unter Server 2003 einwandfrei ihren Dienst, unter
Server 2008 nur sporadisch, so dass wir den alten Server wieder in Dienst nehmen
mussten. Vielleicht ist hier ja jemand mit RRAS so vertraut, dass ihm dazu was einfällt.
Sind dort irgend wo auf dem Server IP MAC Adressbindungen angelegt?
Denn wenn die Konfiguration identisch ist, also auch die IP Adressen,
kann es mitunter an den veränderten MAC Adressen liegen, die ja einzigartig
sind und nun auf dem Server 2008R2 anders lauten!

Das ist natürlich auf dem Server nicht eingerichtet, der hat eine feste IP-Adresse
(und steht sowohl hinter einer Firewall als auch hinter einem Router) und vergibt
auch nicht IP-Adressen per DHCP.
Kann es damit zusammenhängen dass Du eine "Dual Homed" bzw. Routerkaskade
aufgebaut hast und am Router nicht alles geöffnet wurde und Du die ganze Zeit am
Server nach Fehlern suchst! Dort wird dann doch auch zweimal NAT gemacht
und es scheitert eventuell daran?

Ich will nur wissen, ob jemandem vertraut ist, dass es mit dieser Rolle bzw. mit
diesem Dienst beim Server 2008 zu Problemen, wie ich sie beschrieben habe,
kommen kann.
Sicher kann es das, sonst würde es ja funktionieren, oder?

Gruß
Dobby
Mitglied: keine-ahnung
keine-ahnung 31.07.2014 um 11:43:26 Uhr
Goto Top
Ich will nur wissen, ob jemandem vertraut ist, dass es mit dieser Rolle bzw. mit diesem Dienst beim Server 2008 zu Problemen, wie ich sie beschrieben habe, kommen kann.
Natürlich geht das ... man muss es nur schief genug konfigurieren face-wink! Aber da Du ja alles besser weisst, bekommst Du das schon hin ...

LG, Thomas