Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN (PPTP) via Routing und RAS auf Windows Server 2008 (R2)

Frage Microsoft Windows Netzwerk

Mitglied: JoyceS

JoyceS (Level 1) - Jetzt verbinden

21.08.2013 um 16:14 Uhr, 3256 Aufrufe, 10 Kommentare, 2 Danke

Hallo Leute,
ich habe einen Windows Server 2008 mit zwei Netzwerkkarten für den Einsatz von RRAS eingerichtet.
Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden. Auf dem LANCOM ist der Port 1723 auf IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.

Die Clients die sich dann einwählen sollen, sollen per RDP nur Zugriff auf unseren Terminalserver (IP: 192.168.10.yyy) haben. Die Einwahl an sich funktioniert wie sie soll, jedoch wird der Terminalserver nicht gefunden.

Was mache ich falsch?


lg Joyce

Mitglied: goscho
21.08.2013, aktualisiert um 21:16 Uhr
Zitat von JoyceS:
Hallo Leute,
Hi
ich habe einen Windows Server 2008 mit zwei Netzwerkkarten für den Einsatz von RRAS eingerichtet.
Der Server ist mit einer Netzwerkkarte an das lokale Netzwerk (IP:192.168.10.xxx) an geschlossen und Mitglied der hiesigen
Domäne.
Die andere Netzwerkkarte (IP:192.168.20.xxx) habe ich mit einem LANCOM Router verbunden.
Was hast du denn für einen Lancom Router?
Warum nutzt du denn nich diesen für das VPN?
Auf dem LANCOM ist der Port 1723 auf
IP:192.168.20.xxx weitergeleitet. RRAS wurde mit Hilfe des Assistenten als VPN Server mit LAN Routing eingerichtet.

Was mache ich falsch?
Deinerster und größter Fehler ist es, PPTP-VPN einzurichten.
Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP

Weiterhin vermute ich mal, dass die Firewall deines TS den Zugriff von außerhalb des internen Netzwerkes blockt.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen Remote-Clients erlaubt wird.
Bitte warten ..
Mitglied: JoyceS
22.08.2013 um 09:16 Uhr
Zitat von goscho:
Was hast du denn für einen Lancom Router?
Warum nutzt du denn nich diesen für das VPN?

Der LANCOM Router ist ein 1781A; aus Kostengründen wurde entschieden, dass ein Windows Server diese Aufgabe übernehmen soll.

Dein erster und größter Fehler ist es, PPTP-VPN einzurichten.
Lies mal nach, warum das heute ein NoGo ist:
Todesstoß für PPTP

Der Artikel ist mir natürlich bekannt. Die Gefahr wurde für unser Scenario als gering bis nicht vorhanden eingeschätzt und dementsprechend wurde ich mit der Umsetzung betraut.

Weiterhin vermute ich mal, dass die Firewall deines TS den Zugriff von außerhalb des internen Netzwerkes blockt.
Deaktiviere die blöde Windows Firewall zum Test und wenn es das war, dann richte diese so ein, dass RDP von deinen
Remote-Clients erlaubt wird.

Danke für den Tipp. Das werde ich überprüfen.

lg Joyce
Bitte warten ..
Mitglied: aqui
23.08.2013, aktualisiert um 10:39 Uhr
Weitere Grundlagen findest du auch hier:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html
und bei 2 NICs:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...

.. ."Der LANCOM Router ist ein 1781A; aus Kostengründen wurde entschieden, dass ein Windows Server diese Aufgabe übernehmen soll."
Spricht ja nicht gerade für Fachkompetenz....aber egal !
Bitte warten ..
Mitglied: JoyceS
26.08.2013, aktualisiert um 13:44 Uhr
Hallo aqui,
vielen Dank für die Links; ich habe sie eingehend studiert. Ich habe jedoch das Gefühl, dass das nicht meinem Anwendungsbeispiel entspricht. Oder ich kapier' das einfach nicht.

Zur Veranschaulichung meines Problems habe ich eine schematische Darstellung angefertigt. 3eef2726ec95b70beac275ed1c2ef812 - Klicke auf das Bild, um es zu vergrößern
Die VPN Verbindung von den Notebooks bis zum RRAS Server funktioniert - jedoch komme ich von dort nicht weiter. Die Benutzer mit den Notebooks sollen letztendlich nur Zugriff auf den Terminalserver haben. Vielleicht kann mir jemand helfen.
Vielen Dank.

lg Joyce
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 10:50 Uhr
Eine Bitte: lasse diese sinnlosen externen Bilderlinks hier im Forum mit Facebook Zwangswerbung usw. !
Wenn du deinen Ursprungsthread mit Klick auf Fragen -> Thread -> Bearbeiten editierst, siehst du oben eine hervorragende Bilder Upload Funktion ! (Kann man nicht übersehen !)
Den nach dem Bild Upload erscheinden URL Bilderlink kannst du mit Rechtsklick und Cut and Paste in jeglichen Text hier bringen.
Statt des URL erscheint dann immer dein hocgeladenes Bild. So haben andere Forumsteilnehmer die Chance das zu sehen und davon zu lernen auch wenn die externe Bilderquelle mal vom Netz ist.
Eigentlich kinderleicht wenn man mal die Forums FAQs liest
Kann man übrigens auch immer noch prima nachträglich machen !!

Zurück zu deinem Problem.... !
Eine Kardinalsfrage hast du nicht beantwortet:
  • Wenn du mit PPTP eingewählt bist WAS für eine IP Adresse bekommst du denn auf dem PPTP Client bzw. PPTP Netzwerk Adapter ??
Das kannst du mit ipconfig am Client rausbekommen !!

Dein ganzes Netz Design ist mit Verlaub gesagt etwas krank.
Warum routest du einmal über die 2 NICs des Servers, hast aber das 2te Segment gleichzeitig wieder direkt am Lancom dran ??
Eigentlich ein bischen blödsinning, denn so hast du 2 mögliche parallele Routing Wege was das Szenario unnötig verkompliziert !!
Die Frage ist nämlich in welchem IP Segment die PPTP Clients enden, im 10er oder 20er Segment ? (Oben gefragte Absender IP)
Das ist essentiell wichtig, denn ggf. müssen sie routen um den TS zu erreichen und dann hast du da, wie zu 98% hier bei solchen Forumsfragen, die statische Route vergessen ?!
All das steht in den o.a. Tutorials die du vermutlich wirklich nicht ganz durchdrungen bzw. kapiert hast, denn das ist ja genau dein Szenario ! Abgesehen von dem unsinnigen L3 Design.
Egal, wichtig ist jetzt erstmal die aktive IP Adresse des PPTP Clients und ggf. ein Traceroute (tracert) oder Pathping auf den TS Zielserver um hier weiterzukommen... !!
Bitte warten ..
Mitglied: JoyceS
26.08.2013, aktualisiert um 15:05 Uhr
Diese Kardinalfrage hat bisher niemand gestellt... Die IP Adressen werden aus einem im RRAS konfigurierten Bereich, welcher sich von 192.168.10.180 bis 192.168.10.240 erstreckt, vergeben. Der RRAS Server erhält dabei die 192.168.10.180.

Pathping auf den RRAS Server liefert folgendes Ergebnis:
Routenverfolgung zu "RRAS" [192.168.10.180] 
  über maximal 30 Hops: 
    0  MARLIN [192.168.10.181] 
    1  RRAS [192.168.10.180] 
  Berechnung der Statistiken dauert ca. 25 Sekunden... 
              Quelle zum Abs.    Knoten/Verbindung 
  Abs. Zeit   Verl./Ges.=   %    Verl./Ges.=   %    Adresse 
    0                                               MARLIN [192.168.10.181] 
                                    0/ 100 =  0%      | 
    1    0ms     0/ 100 =  0%       0/ 100 =  0%     RRAS [192.168.10.180]
Pathping auf den Terminalserver liefert folgendes Ergebnis:
Routenverfolgung zu "192.168.20.10" über maximal 30 Hops: 
    0  MARLIN [192.168.254.229] 
    1       *        *        * 
  Berechnung der Statistiken dauert ca. 25 Sekunden... 
              Quelle zum Abs.    Knoten/Verbindung 
  Abs. Zeit   Verl./Ges.=   %    Verl./Ges.=   %    Adresse 
    0                                               MARLIN [192.168.254.229] 
   
192.168.254.229 ist die lokale IP des Notebooks.

Die statische Route habe ich nicht nur vergessen, sondern bisher nicht eingerichtet, da das die Schwierigkeit ist, bei der ich nicht weiter komme. Routen einrichten, um von einem Subnet zu einem anderen zu kommen, ist an sich kein Problem, aber beim RRAS Server versagt meine Verkehrsregelung offensichtlich ... Ich glaube, dass ich den Wald vor lauter Bäumen nicht sehe. Ich weiß nicht wie die Routen aussehen sollen und wo ich sie eintragen soll.

lg Joyce

PS Das Netz habe ich mir nicht ausgedacht... Ich bin hier nur das Mädchen.
Bitte warten ..
Mitglied: JoyceS
26.08.2013, aktualisiert um 15:52 Uhr
Zitat von JoyceS:
...
Pathping auf den Terminalserver liefert folgendes Ergebnis:
...

Okay, das ist mir dann doch aufgefallen. Ich habe jetzt auf dem Notebook den RRAS Server als DNS Server eingetragen und eine Route vergeben.
route add 192.168.20.10 mask 255.255.255.255 192.168.10.180 
Pathping auf den Terminalserver liefert jetzt folgendes Ergebnis:
Routenverfolgung zu "ts3.domain.intern" [192.168.20.10]  
  über maximal 30 Hops:  
    0  MARLIN [192.168.10.181]  
    1  RRAS [192.168.10.180]  
    2     *        *       *  
 
  Berechnung der Statistiken dauert ca. 25 Sekunden...  
              Quelle zum Abs.    Knoten/Verbindung  
  Abs. Zeit   Verl./Ges.=   %    Verl./Ges.=   %    Adresse  
    0                                               MARLIN [192.168.10.185]  
                                    0/ 100 =  0%      |  
    1    6ms     0/ 100 =  0%       0/ 100 =  0%     RRAS [192.168.10.180]
Jedoch alle routing Versuche zum Terminalserver auf dem RRAS Server scheitern. Wenn ich eine Route in der RRAS Console auf den Terminalserver eingebe (was als cmd line
 route add 192.168.20.10 mask 255.255.255.255 192.168.20.100
entspräche), dann steht bei Ausführung von pathping ab Hop 2 bis Hop 30 RRAS [192.168.20.100].

lg Joyce
Bitte warten ..
Mitglied: JoyceS
26.08.2013 um 16:01 Uhr
Einen pahtping später ...OMG...

Vielen lieben Dank aqui...

lg Joyce
Bitte warten ..
Mitglied: aqui
26.08.2013 um 19:54 Uhr
Na ja die Route "route add 192.168.20.10 mask 255.255.255.255 192.168.20.100" ist Schwachsinn, sorry !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?

Was bedeutet denn nun die Danksagung...klappt es nun wie es soll ??
P.S. Ein route print sagt dir am Client ob er das Zielnetz wo er hinsoll auch kennt und in welche Richtung er gehen muss !
Bitte warten ..
Mitglied: JoyceS
27.08.2013 um 08:22 Uhr
Zitat von aqui:
Na ja die Route "route add 192.168.20.10 mask 255.255.255.255 192.168.20.100" ist Schwachsinn, sorry !
Wie kannst du so ein unbekanntes Zielnetz bekanntgeben und dein Gateway dahin ist aber auch in dem unbekannten Zielnetz ??
Diese Route ist also ziemlicher Blödsinn, siehst du aber selber, oder ?
Jupp...

Was bedeutet denn nun die Danksagung...klappt es nun wie es soll ??
Jupp. Es waren einfach zu viele Bäume im Weg, um den Wald zu sehen. Und um bei der Metapher zu bleiben - Du bist ein guter Parkranger.
P.S. Ein route print sagt dir am Client ob er das Zielnetz wo er hinsoll auch kennt und in welche Richtung er gehen muss !
Ja, das ist klar.

Nochmals Danke.

lg Joyce
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...