rene46
Goto Top

Remotedesktop Verbindungsprobleme über PPTP zu MS Terminal Server

Hallo Leute,

Habe ein Problem mit einer Remotedesktop Verbindung zu einem TerminalServer von einem PPTP Client.

Konfiguration / Verbindungsaufbau route übers Netzwerk

PPTP oder IPSEC Client => UMTS Datenkarte => Internet => Firewall => VMWare ESX Server => Virtueller MS Terminalserver

Folgende Betriebssysteme:
Client: WinXP SP2
TerminalServer: Win2003 Standart Edition SP 1

So nun zu meinem Phänomen:

Kann vom Client aus zu jedem Rechner/Server egal ob Virtuell oder Physikalisch eine RemoteDesktop Sitzung aufbauen, außer zu dem besagten Terminal Server.

Kommt immer mit einer "Zeitlimit Überschreitung"

PING ist vom Client aus zum TS erfolgreich und auch vom TS zum Client!

Wenn ich zb. ein netstat ausführe am TerminalServer sehe ich den Client und gibt hergestellt zurück!


Auf der Firewall sollte alles richtig konfiguriert sein, ebenso auf den VMWare ESX Servern!


Also wäre SEHR froh wenn irgendwer eine Idee für mich hätte !

Schönen DANK!

Content-Key: 68901

Url: https://administrator.de/contentid/68901

Ausgedruckt am: 19.03.2024 um 01:03 Uhr

Mitglied: einwegglas
einwegglas 18.09.2007 um 17:26:14 Uhr
Goto Top
können sich andere clients mit dem ts verbinden? wenn nicht, würde ich die terminaldienstekonfiguraton überprüfen.
Mitglied: rene46
rene46 19.09.2007 um 08:35:57 Uhr
Goto Top
hallo norman,

Es können sich im lokalen Netz alle auf den TS verbinden!

über VPN keine Clients
Mitglied: einwegglas
einwegglas 19.09.2007 um 10:07:42 Uhr
Goto Top
ist der port 1723 für das pptp-protokoll in der firewall freigegeben? der port muss auf den rras-server oder den vpn-server, der die clientanfragen bearbeiten soll, weitergeleitet werden. sonst funktioniert es auch nicht.

können sich die clients auch lokal über vpn mit dem server verbinden?
Mitglied: rene46
rene46 19.09.2007 um 10:17:55 Uhr
Goto Top
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.

Lokal übers Netzwerk bin ich sofort drauf.

wenn ich dann die Datenkarte einschalte und die VPN Verbindung aufbaue geht es nicht !

Ping wie gesagt funktioniert aber.
Mitglied: einwegglas
einwegglas 19.09.2007 um 10:22:21 Uhr
Goto Top
habt ihr noch einen router mit firewall?
Mitglied: rene46
rene46 19.09.2007 um 10:24:47 Uhr
Goto Top
einen Router schon, der alles das nicht im lokalen Netz liegt entweder in unsere Zweigstelle Routet oder sonst auf die Firewall. Aber dieser Routet nur auf Layer 3 und hat keine FW-Funktionalität.
Mitglied: einwegglas
einwegglas 19.09.2007 um 11:03:11 Uhr
Goto Top
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.

das musst du mir mal genauer erklären. hast du jetzt für die gruppe ipsec alles nur im lokalen netz freigeschaltet? hier müsste doch zumindest ein öffentlicher port (pptp oder ipsec) an einen lokalen port (dein vpn-server) weitergeleitet werden, damit anfragen auch gezielt beatwortet werden können.
Mitglied: rene46
rene46 19.09.2007 um 13:00:31 Uhr
Goto Top
Firewall seitig ist alles richtig konfiguriert, komme ja auch auf einen anderen Server eine Romtedesktopverbindung aufmachen, nur hald auf den TS nicht.

Grundsätzlich ist auf der FW Extern ein Port freigeschaltet (PPTP) zum VPN Server auf der FW, dieser vergibt bei positiver Authentifizierung eine IP. Dan existiert noch eine Regel das diese IP oder dieses Netz ins lokale Netz mit any rein darf!
Mitglied: einwegglas
einwegglas 19.09.2007 um 13:35:23 Uhr
Goto Top
nutzt ihr als vpn-server den windows 2003 rras dienst oder habt ihr eine andere software? für mich hört sich das an, als wäre der vpn server nicht sauber konfiguriert.
Mitglied: rene46
rene46 19.09.2007 um 13:39:20 Uhr
Goto Top
Ist ein Integrieter VPN Server bei der Firewall. Hersteller Securepoint

Wie gesagt denke nicht das es am Portfilter liegt, da ja zu anderen REchner das RDP funktioniert, und das geht alles über die gleiche Regel...
Mitglied: einwegglas
einwegglas 19.09.2007 um 15:09:44 Uhr
Goto Top
moment. du hast ein problem mit vpn und nicht mit rdp, da du ja auch unverschlüsselt ohne vpn eine remoteverbindung aufbauen kannst. und die verbindung ohne vpn zu deinem ts funktioniert ja auch im intranet.

versuche doch mal intern eine vpn-verbindung mit dem vpn-server herzustellen. wenn das geht, lässt die firewall von außen kommende pakete nicht durch. wenn du intern keine vpn-verbindung herstellen kannst, dann liegt es am vpn-server, der nicht sauber konfiguriert ist.
Mitglied: rene46
rene46 19.09.2007 um 15:15:05 Uhr
Goto Top
wenn ich die IP adresse am TS ändere komme ich hin ! wenn diese dann wieder auf die vorherige ändere gehts auch noch... Nur so einen Tag später gehts wieder nicht mehr.

Auch wenn es am VPN Server der FW liegen würde, ihn welche Richtung soll ich suchen?

MAC-Adressen aufösung ? es sind ja zb. beim TS (arp cache)unterschiedliche IP adressen zu gleicht MAC adressen drinnen, da ja das interne Interface die Anforderungen auf den TS weitergibt... könnte hier ein Problem bestehen ????
Mitglied: einwegglas
einwegglas 19.09.2007 um 15:40:01 Uhr
Goto Top
läuft die firewall auf dem ts? hoffe doch nicht
Mitglied: rene46
rene46 19.09.2007 um 15:43:49 Uhr
Goto Top
Natürlich nicht!

FW läuft auf einer eigenen Unix Distribution (VPN-Server ist integriert)
Mitglied: einwegglas
einwegglas 19.09.2007 um 15:49:23 Uhr
Goto Top
wenn ich die IP adresse am TS ändere
komme ich hin ! wenn diese dann wieder auf
die vorherige ändere gehts auch noch...
Nur so einen Tag später gehts wieder
nicht mehr.

die fw läuft hoffentlich nicht auf dem ts. kenne zwar deine fw nicht, aber bei softwarefw gibt es immer das problem, dass bei einem zugriff von irgendwoher ein fenster aufgeht, wo man den zugriff bestätigen kann. nicht, dass ein benutzer, der gerade am ts angemeldet ist die nachtricht bekommt und dann den zugriff sperrt. ist zwar weit hergeholt, wollte es aber trotzdem ausschließen

Auch wenn es am VPN Server der FW liegen
würde, ihn welche Richtung soll ich
suchen?


das problem ist, dass der client keine antwort vom vpn-server erhält, wenn du dich von außen einwählst. deswegen ja mein vorschlag, dich intern mal mit dem vpn-server zu verbinden (also anstelle der öffentlichen ip, die interne ip des vpn-servers). wenn das klappt, funktioniert schonmal der vpn-server und du weißt, dass etwas an der fw nicht stimmt.

MAC-Adressen aufösung ? es sind ja zb.
beim TS (arp cache)unterschiedliche IP
adressen zu gleicht MAC adressen drinnen, da
ja das interne Interface die Anforderungen
auf den TS weitergibt... könnte hier ein
Problem bestehen ????

glaube ich nicht.
Mitglied: rene46
rene46 19.09.2007 um 15:57:38 Uhr
Goto Top
Werd das morgen früh gleich probieren! Und dann posten

Schönen Dank vorerst mal.
Mitglied: rene46
rene46 20.09.2007 um 10:15:12 Uhr
Goto Top
Hallo,

Hab das grad probiert, also wenn ich im lokalen Netz bin und eine VPN PPTP aufbaue zur FW dann funktioniert es!
Mitglied: einwegglas
einwegglas 20.09.2007 um 10:23:24 Uhr
Goto Top
dann wissen wir schon mal, dass der vpn-server funktioniert. wir können also das problem auf die fw eingrenzen.

1. schritt wäre für den moment die fw komplett zu deaktivieren. wenn der zugriff von außen jetzt klappt, sind die port weiterleitungen von außen nach innen falsch.

edit: muss mir mal dazu ein paar gedanken machen
Mitglied: rene46
rene46 20.09.2007 um 10:27:18 Uhr
Goto Top
Ja Ok,

Hab jetzt nochmal das Regelwerk gecheckt... müsste eigentlich passen.

Internet => FW-Extern => PPTP
PPTP Remote Netz => PPTP Local Netz => ANY
PPTP Local Netz => PPTP Remote Netz => ANY

Stimmt doch so oder ?
Mitglied: einwegglas
einwegglas 20.09.2007 um 10:30:53 Uhr
Goto Top
bist du nach dieser anleitung vorgegangen?

securepoint vpn mit fw
Mitglied: rene46
rene46 20.09.2007 um 10:33:28 Uhr
Goto Top
Natürlich
Habe das schon x mal gemacht.

Bin auch Zertifiziert für diese Dinger.... drum bin ich mir ja ziemlich sicher das es nicht am Regelwerk liegt... außer ich hab wirklich einen dummen Fehler übersehen ??!!
Mitglied: einwegglas
einwegglas 20.09.2007 um 11:05:01 Uhr
Goto Top
mal auf dem client die fw deaktiviert?
Mitglied: rene46
rene46 20.09.2007 um 11:07:15 Uhr
Goto Top
Beim Client istdie FW deaktiviert
Mitglied: einwegglas
einwegglas 20.09.2007 um 11:31:51 Uhr
Goto Top
dann kann es nur noch an einem obligatorischen haken liegen, der gesetzt oder nicht gesetzt ist. face-wink

hat die vpn-verbindung von außen überhaupt schon mal funktioniert?
Mitglied: rene46
rene46 20.09.2007 um 11:33:44 Uhr
Goto Top
Wäre froh wenns so wäre ...

Die VPN funktioniert schon Jahre,... hald nur auf diesen sch TS nicht
Mitglied: rene46
rene46 20.09.2007 um 12:35:52 Uhr
Goto Top
Änderung:

wenn ich mich intern über pptp an VPN-Server anmelde geht es NICHT !!

habe mir das nochmal angeschaut, ist nämlich zuerst normal über die Netzwerkkarte gegangen und nicht über das angelegte PPTP-Interface.

habe im einfache eine Route hinzugefügt um in über das PPTP Gateway zu schicken und siehe da es geht nicht mehr!!

Also scheint da doch etwas mit dem VPN-Server zu sein !!
Mitglied: einwegglas
einwegglas 20.09.2007 um 12:42:16 Uhr
Goto Top
läuft auf dem ts noch irgendeine fw?
Mitglied: rene46
rene46 20.09.2007 um 12:43:41 Uhr
Goto Top
Nein auf dem TS ist alles abgedreht
Mitglied: einwegglas
einwegglas 20.09.2007 um 13:53:02 Uhr
Goto Top
langsam gehen mir die ideen aus. gibts auf dem vpn-server irgendwelche logs, die eventuell aufschluss geben können? auf welchem host läuft denn vmware?
Mitglied: rene46
rene46 20.09.2007 um 14:02:38 Uhr
Goto Top
PROBLEM GELÖST !!

Yupi!

Habe jetzt nochmal mit der Securepoint telefoniert, wir sind uns drauf gekommen das die Firewall die Pakete vom TS nicht fragmentieren kann, aus welchem Grund wird noch abgeklärt.

Auf jeden Fall habe ich dann die MTU beim TS auf 1300 verringert und es funktioniert!!

Auf jeden Fall schönen Dank nochmal, für deine Hilfe das Problem zu lokalisieren, besonders der Tip mit der PPTP Verbindung von Intern war sehr aufschlussreich!!

Danke!

Lg
Rene
Mitglied: einwegglas
einwegglas 20.09.2007 um 14:20:46 Uhr
Goto Top
alles klar. dann wäre ja mal ein howto fällig, für alle, die das gleiche problem haben face-wink
Mitglied: rene46
rene46 20.09.2007 um 14:37:00 Uhr
Goto Top
Kann man sich ein Tool runterladen, Dr.TCP heißt das mit dem kann man auf die Schnelle die MTU auf dem Interface verändern. Wie gesagt für mein Problem war die Einstellung 1300, kann aber je nach Firewall oder VPN-Server variieren.

Hier der Link zum Tool:
http://www.wintotal.de/softw/index.php?rb=13&id=1078