Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN (PPTP) mit einer NIC ohne AD funktioniert nicht

Frage Netzwerke

Mitglied: hr1179

hr1179 (Level 1) - Jetzt verbinden

07.04.2011, aktualisiert 18.10.2012, 4328 Aufrufe, 7 Kommentare

Hallo,

ich habe ein Problem mit dem Einrichten von VPN (PPTP) auf einem Windows SBS 2003 (nicht R2).

Der Server ist hinter einem Router (Bintec X1200) und hat auch nur eine NIC mit dem der Server über einen Switch am Router hängt.
Auf dem Server habe ich über den Wizard den RAS Server eingerichtet und dieser lässt sich auch starten.
Lokal auf dem Server ist eine VPN-Verbindung möglich.

Auf dem Router ist NAT eingeschaltet und ich habe Portforwarding TCP 1723 und GRE 47 auf die Server Adresse eingerichtet.
Um sicher zu gehen das die Weiterleitung funktioniert habe ich die Tools PPTPclnt.exe (auf einem Client außerhalb des Netzwerkes) und PPTPsrv.exe (auf dem Server)
gestartet und dabei festgestellt, dass die Pakete auch über WAN richtig ausgetauscht werden.
Auch im Log des Routers sind zumindest eingehende Verbindungen sichtbar.

Leider funktioniert jedoch die Verbindung über den VPN Client (Window7 oder Android) nicht.
Im RAS Log ist auch kein Verbindungseintrag vorhanden.
Allerdings erscheint in der Ereignisanzeige eine Warning mit der EventID 20209 (ROUTERLOG_VPN_GRE_BLOCKED) was ja darauf hindeutet das die GRE Packete nicht ankommen.

Seltsamerweise sehe ich im Routerlog auch keine eingehenden GRE Pakete (obwohl das ja bei den Testtools der Fall war).

Momentan hab ich überhaupt keine Idee an was es liegen könnte.
Vielleicht kann mir hier jemand helfen?

Viele Dank schon mal im Voraus.
Mitglied: Arch-Stanton
07.04.2011 um 10:05 Uhr
Warum nutzt Du nicht den Router als VPN-Gateway?!? Schaue mal hier.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: hr1179
07.04.2011 um 10:12 Uhr
Weil ich keine VPN Lizenz für den Router habe und es, soweit ich weiß, die Lizenz auch nicht mehr zu kaufen gibt.
Bitte warten ..
Mitglied: aqui
07.04.2011, aktualisiert 18.10.2012
Wäre in der tat die technisch sinnvollere Lösung als die Frickelei hinter dem NAT Router. Nundenn....
Vermutlich schlägt die Server interne Firewall zu wie immer in solchen Fällen wenn IP Pakete von fremden Netzen (Internet, remote) reinkommen.
Du solltest also für den PPTP Dienst diese IP Netze freischalten.
Ansonsten steht alles relevante was du dazu wissen musst in diesem Tutorial:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
...auch ein HowTo für Windows PPTP Knechte....
Bitte warten ..
Mitglied: hr1179
07.04.2011 um 12:01 Uhr
Die Serverfirewall ist aus.
Daran kann es ja auch nicht liegen, sonst würde ja die Pakete der Testtools gar nicht durchkommen, oder?
Bitte warten ..
Mitglied: aqui
09.04.2011 um 13:36 Uhr
Das behaupten immer alle das sie aus ist. Die "GRE Blocked" Message oben beweist dir ja das genaue Gegenteil und nährt eher den Verdacht das die PPTP Session gar nicht zustandekommt, was die fehlenden Log Einträge auch eher noch verhärten...
Nimm dir also am besten einen Wireshark Sniffer oder den MS NetMonitor und prüfe ob wirklich alle Sessions der PPTP Verbindung (GRE mit IP Prot.Nummer 47 und TCP 1723) wirklich auf den VPN Server durchkommen.
Sehr wahrscheinlich liegt hier den Problem.
Noch besser ist du investierst ein paar Euro für die VPN Lizenz auf dem Router !!
Bitte warten ..
Mitglied: hr1179
11.04.2011 um 12:26 Uhr
Also jetzt hab ich mal auf dem Server und auf dem Client den Wireshark Sniffer laufen lassen.
Mit dem Testtool kommen GRE Pakete beim Server an.

Mit dem Windows 7 PPTP Client kommen jedoch keine GRE Pakete an.
Am Client sieht man, das GRE 47 Pakete rausgehen und ICMP Pakete vom Server mit zurückkommen.
ICMP ist aber am Client (oder eher am Router) nicht offen (Destination unreachable). Könnte das der Grund sein?

Etwas seltsam ist, dass die Checksumme der ausgehenden GRE 47 Pakete immer 0x0000 ist und damit nicht korrekt.

Wegen der VPN Lizenz frag ich nochmal bei Bintect bzw. Funkwerk nach. Soweit ich weiß ist die aber nicht mehr verfügbar.
Bitte warten ..
Mitglied: aqui
11.04.2011 um 12:34 Uhr
OK, dann ist die Sache eindeutig, denn dann ist irgendwo im Pfad des Clients zum Server eine Firewall oder ein NAT Router oder was auch immer was GRE Pakete filtert.
Logisch das die GRE Pakete des Clients auch ankommen müssen, denn sonst kann das VPN natürlich nicht funktionieren !!
ICMP ist dazu (PPTP VPN) nicht zwingend erforderlich wäre aber zum Management der Sessiosn hilfreich. Redirect, Unreachable usw. also generell Typ 0 bis 9 ICMPs sollte man immer besser passieren lassen...
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Netzwerke
LAN2LAN Verbindung sehr langsam flaschenhals gesucht (27)

Frage von PixL86 zum Thema Netzwerke ...

LAN, WAN, Wireless
Rogue Access Point (20)

Frage von Axel90 zum Thema LAN, WAN, Wireless ...

Webbrowser
Windows 7 unbeliebte Internetseite sperren (13)

Frage von Daoudi1973 zum Thema Webbrowser ...

E-Mail
Fake E-Mail in Outlook für Demonstartionszwecke (12)

Frage von sascha382 zum Thema E-Mail ...