Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remotedesktop Verbindungsprobleme über PPTP zu MS Terminal Server

Frage Microsoft Windows Server

Mitglied: rene46

rene46 (Level 1) - Jetzt verbinden

18.09.2007, aktualisiert 20.09.2007, 7637 Aufrufe, 32 Kommentare

Hallo Leute,

Habe ein Problem mit einer Remotedesktop Verbindung zu einem TerminalServer von einem PPTP Client.

Konfiguration / Verbindungsaufbau route übers Netzwerk

PPTP oder IPSEC Client => UMTS Datenkarte => Internet => Firewall => VMWare ESX Server => Virtueller MS Terminalserver

Folgende Betriebssysteme:
Client: WinXP SP2
TerminalServer: Win2003 Standart Edition SP 1

So nun zu meinem Phänomen:

Kann vom Client aus zu jedem Rechner/Server egal ob Virtuell oder Physikalisch eine RemoteDesktop Sitzung aufbauen, außer zu dem besagten Terminal Server.

Kommt immer mit einer "Zeitlimit Überschreitung"

PING ist vom Client aus zum TS erfolgreich und auch vom TS zum Client!

Wenn ich zb. ein netstat ausführe am TerminalServer sehe ich den Client und gibt hergestellt zurück!


Auf der Firewall sollte alles richtig konfiguriert sein, ebenso auf den VMWare ESX Servern!


Also wäre SEHR froh wenn irgendwer eine Idee für mich hätte !

Schönen DANK!
32 Antworten
Mitglied: einwegglas
18.09.2007 um 17:26 Uhr
können sich andere clients mit dem ts verbinden? wenn nicht, würde ich die terminaldienstekonfiguraton überprüfen.
Bitte warten ..
Mitglied: rene46
19.09.2007 um 08:35 Uhr
hallo norman,

Es können sich im lokalen Netz alle auf den TS verbinden!

über VPN keine Clients
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 10:07 Uhr
ist der port 1723 für das pptp-protokoll in der firewall freigegeben? der port muss auf den rras-server oder den vpn-server, der die clientanfragen bearbeiten soll, weitergeleitet werden. sonst funktioniert es auch nicht.

können sich die clients auch lokal über vpn mit dem server verbinden?
Bitte warten ..
Mitglied: rene46
19.09.2007 um 10:17 Uhr
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.

Lokal übers Netzwerk bin ich sofort drauf.

wenn ich dann die Datenkarte einschalte und die VPN Verbindung aufbaue geht es nicht !

Ping wie gesagt funktioniert aber.
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 10:22 Uhr
habt ihr noch einen router mit firewall?
Bitte warten ..
Mitglied: rene46
19.09.2007 um 10:24 Uhr
einen Router schon, der alles das nicht im lokalen Netz liegt entweder in unsere Zweigstelle Routet oder sonst auf die Firewall. Aber dieser Routet nur auf Layer 3 und hat keine FW-Funktionalität.
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 11:03 Uhr
in gruppe ipsec auf der FW ist any freigeschaltet ins lokale Subnet.

das musst du mir mal genauer erklären. hast du jetzt für die gruppe ipsec alles nur im lokalen netz freigeschaltet? hier müsste doch zumindest ein öffentlicher port (pptp oder ipsec) an einen lokalen port (dein vpn-server) weitergeleitet werden, damit anfragen auch gezielt beatwortet werden können.
Bitte warten ..
Mitglied: rene46
19.09.2007 um 13:00 Uhr
Firewall seitig ist alles richtig konfiguriert, komme ja auch auf einen anderen Server eine Romtedesktopverbindung aufmachen, nur hald auf den TS nicht.

Grundsätzlich ist auf der FW Extern ein Port freigeschaltet (PPTP) zum VPN Server auf der FW, dieser vergibt bei positiver Authentifizierung eine IP. Dan existiert noch eine Regel das diese IP oder dieses Netz ins lokale Netz mit any rein darf!
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 13:35 Uhr
nutzt ihr als vpn-server den windows 2003 rras dienst oder habt ihr eine andere software? für mich hört sich das an, als wäre der vpn server nicht sauber konfiguriert.
Bitte warten ..
Mitglied: rene46
19.09.2007 um 13:39 Uhr
Ist ein Integrieter VPN Server bei der Firewall. Hersteller Securepoint

Wie gesagt denke nicht das es am Portfilter liegt, da ja zu anderen REchner das RDP funktioniert, und das geht alles über die gleiche Regel...
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 15:09 Uhr
moment. du hast ein problem mit vpn und nicht mit rdp, da du ja auch unverschlüsselt ohne vpn eine remoteverbindung aufbauen kannst. und die verbindung ohne vpn zu deinem ts funktioniert ja auch im intranet.

versuche doch mal intern eine vpn-verbindung mit dem vpn-server herzustellen. wenn das geht, lässt die firewall von außen kommende pakete nicht durch. wenn du intern keine vpn-verbindung herstellen kannst, dann liegt es am vpn-server, der nicht sauber konfiguriert ist.
Bitte warten ..
Mitglied: rene46
19.09.2007 um 15:15 Uhr
wenn ich die IP adresse am TS ändere komme ich hin ! wenn diese dann wieder auf die vorherige ändere gehts auch noch... Nur so einen Tag später gehts wieder nicht mehr.

Auch wenn es am VPN Server der FW liegen würde, ihn welche Richtung soll ich suchen?

MAC-Adressen aufösung ? es sind ja zb. beim TS (arp cache)unterschiedliche IP adressen zu gleicht MAC adressen drinnen, da ja das interne Interface die Anforderungen auf den TS weitergibt... könnte hier ein Problem bestehen ????
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 15:40 Uhr
läuft die firewall auf dem ts? hoffe doch nicht
Bitte warten ..
Mitglied: rene46
19.09.2007 um 15:43 Uhr
Natürlich nicht!

FW läuft auf einer eigenen Unix Distribution (VPN-Server ist integriert)
Bitte warten ..
Mitglied: einwegglas
19.09.2007 um 15:49 Uhr
wenn ich die IP adresse am TS ändere
komme ich hin ! wenn diese dann wieder auf
die vorherige ändere gehts auch noch...
Nur so einen Tag später gehts wieder
nicht mehr.

die fw läuft hoffentlich nicht auf dem ts. kenne zwar deine fw nicht, aber bei softwarefw gibt es immer das problem, dass bei einem zugriff von irgendwoher ein fenster aufgeht, wo man den zugriff bestätigen kann. nicht, dass ein benutzer, der gerade am ts angemeldet ist die nachtricht bekommt und dann den zugriff sperrt. ist zwar weit hergeholt, wollte es aber trotzdem ausschließen

Auch wenn es am VPN Server der FW liegen
würde, ihn welche Richtung soll ich
suchen?


das problem ist, dass der client keine antwort vom vpn-server erhält, wenn du dich von außen einwählst. deswegen ja mein vorschlag, dich intern mal mit dem vpn-server zu verbinden (also anstelle der öffentlichen ip, die interne ip des vpn-servers). wenn das klappt, funktioniert schonmal der vpn-server und du weißt, dass etwas an der fw nicht stimmt.

MAC-Adressen aufösung ? es sind ja zb.
beim TS (arp cache)unterschiedliche IP
adressen zu gleicht MAC adressen drinnen, da
ja das interne Interface die Anforderungen
auf den TS weitergibt... könnte hier ein
Problem bestehen ????

glaube ich nicht.
Bitte warten ..
Mitglied: rene46
19.09.2007 um 15:57 Uhr
Werd das morgen früh gleich probieren! Und dann posten

Schönen Dank vorerst mal.
Bitte warten ..
Mitglied: rene46
20.09.2007 um 10:15 Uhr
Hallo,

Hab das grad probiert, also wenn ich im lokalen Netz bin und eine VPN PPTP aufbaue zur FW dann funktioniert es!
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 10:23 Uhr
dann wissen wir schon mal, dass der vpn-server funktioniert. wir können also das problem auf die fw eingrenzen.

1. schritt wäre für den moment die fw komplett zu deaktivieren. wenn der zugriff von außen jetzt klappt, sind die port weiterleitungen von außen nach innen falsch.

edit: muss mir mal dazu ein paar gedanken machen
Bitte warten ..
Mitglied: rene46
20.09.2007 um 10:27 Uhr
Ja Ok,

Hab jetzt nochmal das Regelwerk gecheckt... müsste eigentlich passen.

Internet => FW-Extern => PPTP
PPTP Remote Netz => PPTP Local Netz => ANY
PPTP Local Netz => PPTP Remote Netz => ANY

Stimmt doch so oder ?
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 10:30 Uhr
bist du nach dieser anleitung vorgegangen?

securepoint vpn mit fw
Bitte warten ..
Mitglied: rene46
20.09.2007 um 10:33 Uhr
Natürlich
Habe das schon x mal gemacht.

Bin auch Zertifiziert für diese Dinger.... drum bin ich mir ja ziemlich sicher das es nicht am Regelwerk liegt... außer ich hab wirklich einen dummen Fehler übersehen ??!!
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 11:05 Uhr
mal auf dem client die fw deaktiviert?
Bitte warten ..
Mitglied: rene46
20.09.2007 um 11:07 Uhr
Beim Client istdie FW deaktiviert
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 11:31 Uhr
dann kann es nur noch an einem obligatorischen haken liegen, der gesetzt oder nicht gesetzt ist.

hat die vpn-verbindung von außen überhaupt schon mal funktioniert?
Bitte warten ..
Mitglied: rene46
20.09.2007 um 11:33 Uhr
Wäre froh wenns so wäre ...

Die VPN funktioniert schon Jahre,... hald nur auf diesen sch TS nicht
Bitte warten ..
Mitglied: rene46
20.09.2007 um 12:35 Uhr
Änderung:

wenn ich mich intern über pptp an VPN-Server anmelde geht es NICHT !!

habe mir das nochmal angeschaut, ist nämlich zuerst normal über die Netzwerkkarte gegangen und nicht über das angelegte PPTP-Interface.

habe im einfache eine Route hinzugefügt um in über das PPTP Gateway zu schicken und siehe da es geht nicht mehr!!

Also scheint da doch etwas mit dem VPN-Server zu sein !!
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 12:42 Uhr
läuft auf dem ts noch irgendeine fw?
Bitte warten ..
Mitglied: rene46
20.09.2007 um 12:43 Uhr
Nein auf dem TS ist alles abgedreht
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 13:53 Uhr
langsam gehen mir die ideen aus. gibts auf dem vpn-server irgendwelche logs, die eventuell aufschluss geben können? auf welchem host läuft denn vmware?
Bitte warten ..
Mitglied: rene46
20.09.2007 um 14:02 Uhr
PROBLEM GELÖST !!

Yupi!

Habe jetzt nochmal mit der Securepoint telefoniert, wir sind uns drauf gekommen das die Firewall die Pakete vom TS nicht fragmentieren kann, aus welchem Grund wird noch abgeklärt.

Auf jeden Fall habe ich dann die MTU beim TS auf 1300 verringert und es funktioniert!!

Auf jeden Fall schönen Dank nochmal, für deine Hilfe das Problem zu lokalisieren, besonders der Tip mit der PPTP Verbindung von Intern war sehr aufschlussreich!!

Danke!

Lg
Rene
Bitte warten ..
Mitglied: einwegglas
20.09.2007 um 14:20 Uhr
alles klar. dann wäre ja mal ein howto fällig, für alle, die das gleiche problem haben
Bitte warten ..
Mitglied: rene46
20.09.2007 um 14:37 Uhr
Kann man sich ein Tool runterladen, Dr.TCP heißt das mit dem kann man auf die Schnelle die MTU auf dem Interface verändern. Wie gesagt für mein Problem war die Einstellung 1300, kann aber je nach Firewall oder VPN-Server variieren.

Hier der Link zum Tool:
http://www.wintotal.de/softw/index.php?rb=13&id=1078
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
SMIME verschlüsselte Mails auf Terminal Server (5)

Frage von Mun-dee zum Thema Windows Netzwerk ...

Datenbanken
MS-SQL-Server + T-SQL+Batch (4)

Frage von kallewirsch zum Thema Datenbanken ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...