132992
Goto Top

Strato Windows Server 2016 - VPN Verbindung einrichten

Hallo,

ich weuß es gibt schon einige Themen zu diesem Titel, aber ich habe bisher noch keine Antwort gefunden :/

Ich habe mir bei Strato einen V-Server besorgt und möchte auf diesen per VPN Zugreifen.

Ziel der ganzen Aktion: Ich möchte Freigaben auf dem VPN Server als Netzwerklaufwerk auf meinem Rechner verknüpfen.

Setting:

- Router(Modem) ist ein Speedport-Hybrid, dahinter hängt aber eine Fritz!Box 7930 über die ich mich ins Netz einwähle. (Speedport zum Modem degradiert wegen Telekom Hybrid Anschluss)
- Strato V-Server mit Windows 2016 IP: 85.214.xx.xx
- Windows 10 Client PC 192.168.12.128 (per DHCP von Fritzbox zugewiesen)

Status: Also, aktuell kann ich mich per VPN einwählen, also mein CLient PC (Windows 10) wählt sich mit Boardmitteln per VPN in den V-Server (Windows 2016) ein. Aber ich sehe den V-Server nicht in meiner Netzwerkübersicht (neben anderen PC's in meinem Netzwerk und ich kann auf keine Freigaben zugreifen).

Der V-Server selber hat eine IP (v4) die auch öffentlich über das Internet zu erreichen ist. (also ich kann sie auch ohne bestehende VPN Verbindung anpingen).
Ich habe den VPN Server So konfiguruert, das er eine IP Adresse zuweist, da der Client bei Automatik keine zugewiesen bekommt und er sonst so keine Verbindung herstellt.

Hier schonmal meine erste Frage welche IP bzw. welchen IP Adressbereich muss ich beim VPN Server eingeben?
Ich habe bereits verschiedenes probiert: IP aus dem Netzbereich des Servers, des Clients und ganz andere aber daran (allein) scheint es nicht gelegen zu haben.

Kann mir jemand Helfen?

ich wäre sehr dankbar!

Gruß
brave1978

Content-Key: 335140

Url: https://administrator.de/contentid/335140

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 13.04.2017 um 23:31:28 Uhr
Goto Top
Hallo brave,

ich würde wetten, dass mit der Konstellation irgendwie die Daten mit nacktem A... im Netz hängen. Überdenk das vorgehen bitte nochmals.

VG
Mitglied: 132992
132992 14.04.2017 um 00:03:25 Uhr
Goto Top
Also Daten sind da noch keine drauf und es ist nunmal die Adresse die nach draueßen erreichbar ist (für Remore Desktop usw.) Webserver oder so läuft nicht drauf.
Mitglied: 132992
132992 14.04.2017 um 00:03:34 Uhr
Goto Top
Ich habe die Einrichtung so wie der Typ hier gemacht:

https://www.youtube.com/watch?v=I67MD6Vjfvg&index=117&list=WL
(nur Mit dem Unterschied das ich kein AD drauf laufen habe)

Ich habe nun im VPN Server (wie im Video) einen Adress Bereich aus dem gleich Netz wie der Server gewählt.
Wenn ich mich in den Server einwähle bekomme ich als Client auch aus dem Pool eine IP Zugewiesen.

Ich kann wiegesgat die IP des Servers über das Netz anpingen. Über die gleiche IP kann ich mich auch per Remote Desktop einwhälen.
Nur auf Netzwerkfreigaben kann ich nicht Zugreifen z.B. \\84.214.xx.xx\Daten (auch nicht per "net use...." mit Angabe des Users inkl. Passwort)
Wenn ich per Remote Desktop auf dem Server bin bekomme ich bei Eingabe der Adresse "\\84.214.xx.xx\Daten" im Explorer den freigegebenen Ordner angezeigt.

Warum nur nicht auf meinem Client PC... eingewählt bin ich ja :/

jemand eine Idee?
Mitglied: 132992
132992 14.04.2017 um 00:32:32 Uhr
Goto Top
So noch ein Update:

Ich habe mir mal im Server Manager unter Remotezugriff die Ereignisse angeschaut, da kommt folgendes:

Für Port VPN3-0 konnte keine IP-Sicherheit übernommen werden, da folgender Fehler aufgetreten ist: Es konnte kein Zertifikat gefunden werden. Verbindungen, die das L2TP-Protokoll über IPsec verwenden, erfordern die Installation eines Computerzertifikats.. Auf diesem Port werden keine Anrufe angenommen.
Mitglied: tomolpi
tomolpi 14.04.2017 um 09:51:18 Uhr
Goto Top
Zitat von @132992:

So noch ein Update:

Ich habe mir mal im Server Manager unter Remotezugriff die Ereignisse angeschaut, da kommt folgendes:

Für Port VPN3-0 konnte keine IP-Sicherheit übernommen werden, da folgender Fehler aufgetreten ist: Es konnte kein Zertifikat gefunden werden. Verbindungen, die das L2TP-Protokoll über IPsec verwenden, erfordern die Installation eines Computerzertifikats.. Auf diesem Port werden keine Anrufe angenommen.
Du benutzt ja nur PPTP, von daher ist das nicht schlimm.
Aber bedenke: PPTP ist unsicher. https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...

Und das galt schon vor Jahren...
Besser wäre ein SSL-VPN (mit dem Begriff SSTP wirst du dann auch bei YouTube fündig).

LG,
tomolpi
Mitglied: 132895
132895 14.04.2017, aktualisiert am 15.04.2017 um 10:04:09 Uhr
Goto Top
Wie wärs wenn du erst mal ins Lab zurück fährst face-big-smile anstatt dich gleich aus einem Live-System auszusperren?!
Erst einmal gehört die Firewall, bis auf die VPN-Ports die du nutzt (du erzählst hier ja noch nicht mal welches VPN-Protokoll du nutzt face-sad), und einem Remote-Control Tool deine Wahl (SSH z.B. als Backup) dicht gemacht, sonst hast du sehr bald schon fremden Besuch!!
Im RRAS sollten dann nur die Protokolle aktiviert werden die du tatsächlich nutzt. Als sichere Protokolle gelten hier über die Bordmittel des Windows Servers L2TP o IPSEc, IKEv2 und SSTP. Hier musst du dich zuerst für eins entscheiden. Alle haben andere Anforderungen an die Firewall etc. L2TP o. IPSEC /IKEv2 Ports 500/4500/1701UDP + ESP Protokoll, bei SSTP = Port 443 (zwingend) Zertifikate mit gültiger und abrufbarer CRL sind hier Pflichtprogramm.
Bei einem VServer ist dann in den Eigenschaften des RRAS die Vergabe eines festen "privaten" IP-Bereichs nötig. Der Server wird dann aber nicht über seine öffentliche IP angesprochen sondern über die erste freie IP des im RRAS definierten privaten Subnetzes!
Zusätzlich musst du jetzt nur für dieses Subnetz die passenden Firewall-Regeln erstellen die SMB/CIFS ICMP etc. und was sonst noch benötigt wird. Dazu gibst du in der erweiterten Firewall in den Eigenschaften der Regeln explizit dieses Subnetz an damit diese Regel auch nur für die Daten gelten die über den VPN Tunnel laufen und nicht für das öffentliche Netz!!!
Du siehst es gibt viel zu lernen, das du das an einem Livesystem übst halte ich gelinde gesagt für sehr gewagt. Nimm dir erst mal eine VM und übe damit erst mal die Grundlagen. YouTube ersetzt niemals das Gehirn und angelesenes Wissen!! Also nochmals zurück an den Schreibtisch und fang das vernünftig an.

Viel Erfolg und frohe Ostern
Gruß
Mitglied: 132992
132992 19.04.2017 aktualisiert um 12:33:28 Uhr
Goto Top
Hallo,

erstmal Danke für die Antworten, aber ich komme immer noch nicht so recht weiter...

Also nochmal zur Ausgangslage:

ich habe einen Strato vServer mit nur 1. Netzwerkkarte (normal kenne ich das das man 2 NIC für VPN benötigt oder?)

Das mit dem Sicherheitsaspekt ist mir alles bewusst und sobald ich eine funktionieende VPN Verbindung am laufen habe kümmer ich mich auch um die Firewall / System absichern usw. Bis dahin kommt da eh nix an Daten drauf, und wenn ich nicht teste fahre ich den Server runter.

Anfangs hatte ich noch auf meinem Client PC die option aktiv das ich den standardgateway des Remotegateways benutze. Dadurch hatte ich anfangs kein Internet mehr (weil ja aller Traffic an den vServer geleitet wurde). Diese Option habe ich nun deaktiviert.

Da auf dem vServer kein DHCP läuft muss ich im VPN (Routing RAS / Windows Server) Ja einen Adressbereich vergebenb der dann denVPN Clients zugewiesen wird. Solabd ich hier eine IP eingebe klappt auch die Einwahl. Was mir hier aber immer noch nicht klar ist welchem IP Bereich ich hier verwenden muss??? (habe ja nur 1 Netzwerkkarte...)

Und ein weiteres Problem/Frage ist, das ich ja keine lokale IP des Servers habe über den ich ihn im LAN ansprechen kann um z.B. auf Freigaben zu zugreifen.

habe nur folgende Daten von Strato: (aus sicherheitsgründen durch xx etwas unkenntlich gemacht)

h26xxxxx.stratoserver.net
85.214.xx.xx (öffentliche IP)

Bei Protokollen habe ich im Client Automatisch eingestellt.

Kann mir jemand weiterhelfen?
Mitglied: 132895
132895 19.04.2017 aktualisiert um 12:58:46 Uhr
Goto Top
Was mir hier aber immer noch nicht klar ist welchem IP Bereich ich hier verwenden muss???
Ein beliebiges aus RFC1918 (private Range)!!
Und ein weiteres Problem/Frage ist, das ich ja keine lokale IP des Servers habe über den ich ihn im LAN ansprechen kann um z.B. auf Freigaben zu zugreifen.
Doch die hast du, das habe ich oben schon erzählt, diese ergibt sich automatisch wenn du den festen Bereich für die Clients vergibst!!

Anfangs hatte ich noch auf meinem Client PC die option aktiv das ich den standardgateway des Remotegateways benutze. Dadurch hatte ich anfangs kein Internet mehr (weil ja aller Traffic an den vServer geleitet wurde). Diese Option habe ich nun deaktiviert.
Auch das kann man mit einer Netzwerkkarte machen, dazu muss man nur auf dem Server den Traffic NATen.

Hier steht es komplett für Anfänger zum abgucken
VPN Einrchtung unter Windows Server 2012
Mitglied: 132992
132992 20.04.2017 um 09:32:49 Uhr
Goto Top
Hallo,

Danke ich habs hinbekommen face-wink Manchmal denkt man einfach zu kompliziert, einfach die erste IP der Range nehmen... *Kopftisch* face-wink
Mitglied: 132895
132895 20.04.2017 um 11:50:05 Uhr
Goto Top
Na also, dann bitte noch als gelöst markieren.