Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Einrchtung unter Windows Server 2012

Frage Microsoft Windows Server

Mitglied: Christian2014

Christian2014 (Level 1) - Jetzt verbinden

01.08.2014, aktualisiert 03.08.2014, 9863 Aufrufe, 8 Kommentare, 1 Danke

Hallo,
ich versuche verzweifelt seit einigen Tagen bei mir auf meinem Windows Server einen VPN Zugang für einige Benutzeraccounts über IKEv2 oder L2TP zu erstellen.

Ich bin wie folgt vorgegangen:
Server Manager ->Feature hinzufügen ->Remote Access [Direct Acess und VPN (RAS)]
Anschließend habe ich die Konfiguration durchgeführt.
Darauf bin ich in die Computerverwaltung und habe meinem Benutzeraccount "Tommy" rausgesucht. Unter Einwählen habe ich für ihm erlaubt auf das Netzwerk zuzugreifen.

Folgende Problematiken erwiesen sich bei meinen Schritten:
Ich habe nur einen Netzwerkadapter, weshalb ich die Konfiguration unter Routing / RAS über benutzerdefiniert durchführen musste.
Ich habe nur eine IP Adresse, kann entsprechend eigentlich keine weniger bevorzugte IP angeben.

Wenn ich nun mich von meinem Computer über L2TP mit Tommy verbinde bekomme ich zwar eine Verbindung, allerdings lässt sich am Computer keine Webseite öffnen oder sonstiges im Internet erledigen.

Die Windowsfirewall habe ich "eigentlich" korrekt konfiguriert..

Hat jemand einen Rat für mich oder eine Idee wo ich mal nachschauen könnte? Die Verbindung mit anderen VPN Servern klappt ohne Probleme.

Liebe Grüße
Chris
Mitglied: colinardo
01.08.2014, aktualisiert um 17:00 Uhr
Hallo Chris,
ich vermute mal du möchtest das Internet der Clients über die VPN-Verbindung laufen lassen ?!
Wenn ja dann musst du auf dem Server im RRAS NAT auf dem Interface des Servers aktivieren damit die VPN-Clients ins Internet kommen. LAN-Routing sollte ebenfalls aktiviert werden. Dann solltest du im RRAS für die Clients einen statischen Adresspool definieren, aus dem sie Ihre IP-Adressen zugewiesen bekommen.

Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway des Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.

Grüße Uwe
Bitte warten ..
Mitglied: Christian2014
01.08.2014 um 17:42 Uhr
Hallo Uwe.
Vielen Dank für die schnelle Antwort. Deine Vermutung ist korrekt.

Ich habe nun folgendes gewählt bei der neukonfiguration im RRAS ausgewählt, Benutzerdefinierte Konfiguraiton
-VPN-Zugriff
-NAT
-LAN-Routing

Bei der statischen IP habe ich, wie schon erwähnt, das Problem das es sich um einen Server mit nur der einen IP handelt. Ich habe deshalb meine ServerIP und die darauf folgende IP eingetragen.

Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway des
Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.
Diese Einstellung finde ich gerade nicht, allerdings habe ich bis auf den Typ (L2TP/IPSec), die Datenverschlüsselung (Optional), die Protokolle (MS-Chap v2) und mein Shared-Secret nichts verändert.

Wenn ich mich nun Client seitig verbinden will erhalte ich die Meldung:
Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Liebe Grüße
Chris
Bitte warten ..
Mitglied: colinardo
01.08.2014, aktualisiert um 23:25 Uhr
Zitat von Christian2014:
Ich habe nun folgendes gewählt bei der neukonfiguration im RRAS ausgewählt, Benutzerdefinierte Konfiguraiton
-VPN-Zugriff
-NAT
-LAN-Routing
OK
Bei der statischen IP habe ich, wie schon erwähnt, das Problem das es sich um einen Server mit nur der einen IP handelt. Ich
habe deshalb meine ServerIP und die darauf folgende IP eingetragen.
wo eingetragen, und was für eine folgende IP die du nicht hast ?? Du hast mich nicht ganz korrekt verstanden, gerade weil dein Server nur eine externe IP hat, musst du in den Eigenschaften des RRAS Servers einen statischen Adresspool für die VPN-Clients konfigurieren, dieser kann z.B. folgender sein 10.10.50.10-10.10.50.30. Aus diesem privaten Adresspool bekommen die VPN Clients beim Verbinden eine IP zugewiesen. Damit diese aber mit dieser "privaten" Adresse ins Internet kommen können musst du auf der physischen Schnittstelle des Servers NAT aktivieren (nur Installieren von NAT beim Einrichten reicht nicht !!!). Dies machst du im Abschnitt NAT des RRAS.
http://technet.microsoft.com/de-de/library/dd458971.aspx
Die privaten Adressen der VPN Clients werden dann bei Internetzugriff auf die öffentliche IP des Servers umgeschrieben (Basiswissen Routing).

Ebenfalls solltest du überprüfen ob IP Forwarding im RRAS aktiviert wurde:
http://technet.microsoft.com/en-us/library/ee922620(WS.10).aspx

> Zusätzlich sollte in diesem Fall Clientseitig in den VPN-Verbindungseigenschaften das Häkchen bei "Gateway
des
> Remotenetzwerks verwenden" gesetzt sein, was standardmäßig der Fall ist.
Diese Einstellung finde ich gerade nicht, allerdings habe ich bis auf den Typ (L2TP/IPSec), die Datenverschlüsselung
(Optional), die Protokolle (MS-Chap v2) und mein Shared-Secret nichts verändert.
Findest du in den TCP/IP Settings der Verbindung.
Wenn ich mich nun Client seitig verbinden will erhalte ich die Meldung:
Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitsfehler während der ersten Sicherheitsaushandlung
mit dem Remotecomputer aufgetreten ist.
Dann stimmen noch Grundlegende Dinge bei deiner VPN Verbindung nicht. Für L2TP musst du natürlich entweder mit Zertifikaten oder via Preshared Key arbeiten, wie die Grundlegende Konfig aussieht kannst du hier nachlesen, da steht eigentlich alles dazu:
http://openbook.galileo-press.de/windows_server_2012r2/14_004.html

Grüße Uwe
Bitte warten ..
Mitglied: Christian2014
02.08.2014, aktualisiert um 11:35 Uhr
Zitat von colinardo:
wo eingetragen, und was für eine folgende IP die du nicht hast ?? Du hast mich nicht ganz korrekt verstanden, gerade weil
dein Server nur eine externe IP hat, musst du in den Eigenschaften des RRAS Servers einen statischen Adresspool für die
VPN-Clients konfigurieren, dieser kann z.B. folgender sein 10.10.50.10-10.10.50.30. Aus diesem privaten Adresspool bekommen die
VPN Clients beim Verbinden eine IP zugewiesen.
Ich habe bei RRAS meinen Server gewählt, bin auf Eigenschaften, dann auf IPv4 und habe dort die IP des Servers als Anfang eingetragen:
Y.X.214.28
Und als Ende die nächste IP
Y.X.214.29

Da dies offenbar falsch war, habe ich nun mal die Google DNS Adressen eingetragen:
8.8.4.4 bis 8.8.8.8
Oder sind die Adressen der IANA praktischer? Dann stelle ich diese sofort um.

Bei IPv6 habe ich nichts eingetragen.

Damit diese aber mit dieser "privaten" Adresse ins Internet kommen
können musst du auf der physischen Schnittstelle des Servers NAT aktivieren (nur Installieren von NAT beim Einrichten reicht
nicht !!!). Dies machst du im Abschnitt NAT des RRAS.
http://technet.microsoft.com/de-de/library/dd458971.aspx
Bis Punkt 8 komme ich mit, danach finde ich den nächsten Anfang nicht. Liegt es daran das ich die Active Directory Features nicht installiert habe?

Ich habe bei NAT neue Schnittstellen hinzugefügt. Für die Interne Schnittstelle habe ich ein Privates Netzwerk ausgewählt (etwas anderes ging nicht).
Für die Ethernet Schnittestelle ein mit dem Internet verbundenes. Dort habe ich als Dienst und Port folgendes aktiviert:
VPN-Gateway (L2TP / IPSec)
Als Private Addresse habe ich die IP meines Servers eingetragen. (Oder beser die von IANA / Google?)

Ebenfalls solltest du überprüfen ob IP Forwarding im RRAS aktiviert wurde:
http://technet.microsoft.com/en-us/library/ee922620(WS.10).aspx
Das habe ich schon aktiviert.

Dann stimmen noch Grundlegende Dinge bei deiner VPN Verbindung nicht. Für L2TP musst du natürlich entweder mit
Zertifikaten oder via Preshared Key arbeiten, wie die Grundlegende Konfig aussieht kannst du hier nachlesen, da steht eigentlich
alles dazu:
http://openbook.galileo-press.de/windows_server_2012r2/14_004.html
Ich habe einen preshared Key eingetragen. (Vorinstallierter Schlüssel)
Die Anleitung von Galileo geht, so wie viele andere Anleitungen auch davon aus das ich 2 Netzwerkadapter habe und vollzieht die reguläre Installation und Einrichtung nicht die benutzerdefinierte.

Final bleibt meine Fehlermeldung noch die gleiche.
Liebe Grüße
Chris
Bitte warten ..
Mitglied: aqui
02.08.2014 um 13:02 Uhr
Generell ist es aus Sicherheitsgründen nicht förderlich sowas auf einem Server zu installieren. Auch weil dann remote User immer vom Server abhängig sind.
Technisch sinnvoller ist es das auf einem externen Device wie einem Router oder einer kleinen Firewall zu machen wie z.B. hier beschrieben:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Nur mal so als Anregung als sinnvollere Alternative zum Server...
Bitte warten ..
Mitglied: colinardo
LÖSUNG 03.08.2014, aktualisiert um 21:38 Uhr
@aqui:
Ich vermute stark, er macht das auf einem gemieteten v-Server bei einem Hoster, da hat er sehr wahrscheinlich keine Möglichkeit einen Router hinzustellen

Zitat von Christian2014:
Ich habe bei RRAS meinen Server gewählt, bin auf Eigenschaften, dann auf IPv4 und habe dort die IP des Servers als Anfang
eingetragen:
Y.X.214.28
Und als Ende die nächste IP
Y.X.214.29
Kopfschüttel .... so kann es nicht laufen !
Da dies offenbar falsch war, habe ich nun mal die Google DNS Adressen eingetragen:
8.8.4.4 bis 8.8.8.8
Oder sind die Adressen der IANA praktischer? Dann stelle ich diese sofort um.
noch schlimmer, bloß nicht ! Hier kommt ein privates Subnetz rein, aus welchem der VPN-Server den Clients IP-Adressen zuteilt! Siehe dazu das verlinkte Video weiter unten.
Für die Ethernet Schnittestelle ein mit dem Internet verbundenes. Dort habe ich als Dienst und Port folgendes aktiviert:
VPN-Gateway (L2TP / IPSec)
Das ist ebenfalls nicht korrekt, hier darfst du nichts aktivieren, denn dies ist nur fürs Portforwarding von Diensten an andere interne Clients gedacht. Für deinen Server gilt die Windows Firewall, auf welcher Windows, bei der Einrichtung der VPN-Funktion, im RRAS entsprechend automatisch die L2TP und IPSec Ports und Protokolle (UDP:500/1701/4500 und Protokoll 50(ESP)) freigibt.

Da dir anscheinend doch noch die nötigen Grundlagen fehlen hier noch mal die RRAS-Config ausführlich in Bild und Video zusammengefasst, so sind Missverständnisse ausgeschlossen:
1. Benötigte Rollen
Zuerst sollte sichergestellt sein das folgende Rollen installiert sind (Die Routing-Rolle wird für das Funktionieren von NAT benötigt):

ec0b0e5a40adf89fc2650092fea0e58f - Klicke auf das Bild, um es zu vergrößern

2. Konfiguration von RRAS für L2TP/IPSec VPN inkl. NAT mit einem Interface:
VIDEO: RRAS für VPN-Zugriff mit NAT einrichten

3. Konfiguration der Clientverbindung für L2TP/IPSec mit Preshared Key:

de75192daa1d906022f0af574ec9d2b0 - Klicke auf das Bild, um es zu vergrößern

aee3f79528201a56683cd36fa79280f6 - Klicke auf das Bild, um es zu vergrößern

Damit kommen die VPN-Clients über die VPN-Verbindung ins Internet. Ein tracert google.de sollte dies bestätigen. Diese Konfiguration funktioniert einwandfrei und wurde hier getestet.
Ein Client bekommt in diesem Beispiel bei der Einwahl eine IP-Adresse aus dem Bereich 10.10.50.11-10.10.50.30 zugewiesen. Der Server ist dabei immer unter der 10.10.50.10 erreichbar, also der ersten Adresse aus dem statischen Adresspool.

Falls bei Dir alle Stricke reißen, nutze ein anderes VPN-Protokoll (z.B. SSTP über Port 443 wenn sich nur Windows-Clients verbinden sollen) oder installiere einen OpenVPN-Server auf der Kiste.

Und nun erfolgreiches Vernetzen
Grüße Uwe
Bitte warten ..
Mitglied: Christian2014
03.08.2014 um 21:57 Uhr
Zitat von colinardo:

@aqui:
Ich vermute stark, er macht das auf einem gemieteten v-Server bei einem Hoster, da hat er sehr wahrscheinlich keine
Möglichkeit einen Router hinzustellen
Exakt, der Server soll nur zusätzlich noch als VPN missbraucht/genutzt werden. Ich sehe einfach nicht ein unnötig Bandbreite zu haben und nicht zu benutzen.

Kopfschüttel .... so kann es nicht laufen !
Soweit war ich ja schon

Da dir anscheinend doch noch die nötigen Grundlagen fehlen hier noch mal die RRAS-Config ausführlich in Bild und Video
zusammengefasst, so sind Missverständnisse ausgeschlossen:
Dafür den besten Dank, ich war ja total auf dem Holzweg..

Falls bei Dir alle Stricke reißen, nutze ein anderes VPN-Protokoll (z.B. SSTP über Port 443 wenn sich nur
Windows-Clients verbinden sollen) oder installiere einen OpenVPN-Server auf der Kiste.
Über OpenVPN habe ich schon nachgedacht, aber ich hasse es Software zu installieren, wenn es doch auch so geht..
Bei mir läuft das ganze nun super, bei einem Clienten (der VPN ist eigentlich nur für einen Freund und mich gedacht, ich habe uns beiden getrennte Benutzeraccounts angelegt) gibt es allerdings Probleme.

Er erhält beim Verbinden über L2TP/IPSec immer wieder neue Login Fenster. Wenn er es über SSTP versucht (Port ist in der Firewall auf dem Server natürlich freigegeben) bekommt er diesen Fehlercode:
0x80072745

Liebe Grüße
Chris
Bitte warten ..
Mitglied: colinardo
03.08.2014, aktualisiert um 22:25 Uhr
Zitat von Christian2014:
Er erhält beim Verbinden über L2TP/IPSec immer wieder neue Login Fenster.
Ohne seine Config, OS und Router zu kennen schwer zu sagen woran es liegt. Die Fehlerquellen sind hier vielfältig, da bei L2TP/IPSec alle Komponenten zusammenarbeiten müssen - wenn hier ein Device nicht mitspielt ist Ende Gelände...
Auch wenn mehrere User hinter einem NAT-Device (z.B. DSL Router daheim) gleichzeitig versuchen eine Verbindung aufzubauen kommt es zu solchen Problemen:
http://www.isaserver.org/blogs/pouseele/isa-corner/multiple-l2tpipsec-v ...
Wurde denn der User überhaupt einwahlberechtigt ?
Wenn er es über SSTP versucht (Port ist
in der Firewall auf dem Server natürlich freigegeben) bekommt er diesen Fehlercode:
0x80072745
Für SSTP wird ein Server-Zertifikat benötigt das im RRAS angegeben werden muss, und zusätzlich muss der Clientrechner diesem
Zertifikat bzw. dem Aussteller dessen Vertrauen, sonst klappt die Verbindung via SSTP nicht !!

Grüße Uwe
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Router & Routing
gelöst VPN von ZyXEL USG zu Windows Server 2012 R2 (13)

Frage von itschloegl zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Windows Server 2012 - VPN Verbindung nach Update nicht mehr möglich (1)

Frage von ruNN0r zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...