Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2012 VPN - Zugriff nur auf VPN Server

Frage Microsoft Windows Server

Mitglied: 118080

118080 (Level 2)

11.01.2015 um 15:23 Uhr, 1285 Aufrufe, 13 Kommentare

Liebe ITler

Erstmal: Ich könnte mir gut und gerne vorstellen, dass das Problem mangelnder Erfahrung/Wissen meinerseits liegt.

Ich habe heute RAS auf meinem Windows Server 2012 R2 installiert und VPN eingerichtet. Ich habe auch einen Client aus einem entfernten Netzwerk erfolgreich damit verbunden.
Ich kann auch via IP auf eine Netzwerkfreigabe auf dem VPN Server zugreifen, via Servername geht das aber nicht.
Ich kann aber nicht auf eine Netzwerkfreigabe, welche auf einem anderen Server liegt zugreifen. Weder via IP, noch über den Servernamen.

Also gibt es zwei Probleme:
- Einerseits gibt es ein DNS-Problem
- Andererseits kann ich nur auf den VPN-Server zugreifen, und nicht auf andere Server im Netzwerk

Hoffe ihr könnt mir helfen..

LG Luca
Mitglied: 114757
11.01.2015, aktualisiert um 17:15 Uhr
Hoffe ihr könnt mir helfen..
jup, hier wird dir geholfen ...
http://www.administrator.de/forum/vpn-einrchtung-unter-windows-server-2 ...

Gruß jodel32
Bitte warten ..
Mitglied: 118080
11.01.2015, aktualisiert um 18:01 Uhr
Zitat von 114757:

> Hoffe ihr könnt mir helfen..
jup, hier wird dir geholfen ...
http://www.administrator.de/forum/vpn-einrchtung-unter-windows-server-2 ...

Gruß jodel32

erstmal danke!
eigentlich brauche ich dann ja "nur" NAT.. aber dann wird ja auch der gesamte Internetverkehr über den RAS Server umgeleitet? das verlangsamt das Browsen doch auch, oder nicht?

EDIT: das DNS Problem ist irgendwie noch immer vorhanden, über die IPs funktioniert alles, aber mit den Computernamen -> no chance

LG Luca
Bitte warten ..
Mitglied: 114757
11.01.2015, aktualisiert um 19:13 Uhr
eigentlich brauche ich dann ja "nur" NAT.. aber dann wird ja auch der gesamte Internetverkehr über den RAS Server umgeleitet?
Nein, nur wenn du das Default-Gateway auf den Tunnel legst !

Die Windows Firewall ist in den meisten Fällen der Verursacher, denn die lässt Standardmäßig nur Traffc aus dem lokalen Subnetz durch.

Wie bekommen deine VPN-Clients Ihre IP ? Vom DHCP-Server des Remote-Netzes oder bekommen sie IPs aus einem anderen Bereich? Wenn es ein anderes Subnetz ist musst du entweder NAT auf dem Server machen oder wenn du hier routen willst eine statische Route auf dem Default-Gateway des Remote-Netzes für dieses VPN-Netz anlegen.

EDIT: das DNS Problem ist irgendwie noch immer vorhanden, über die IPs funktioniert alles, aber mit den Computernamen -> no chance
Dafür brauchst du entweder einen lokalen DNS-Server in deinem Netz oder du machst das mit der HOSTS-Datei.
Bitte warten ..
Mitglied: 118080
11.01.2015 um 20:12 Uhr
Zitat von 114757:

> eigentlich brauche ich dann ja "nur" NAT.. aber dann wird ja auch der gesamte Internetverkehr über den RAS
Server umgeleitet?
Nein, nur wenn du das Default-Gateway auf den Tunnel legst !
das Gateway ist bei mir 192.168.1.1 was im lokalen Netz dem Router entspricht, aber im externen Netz auch dem Router dort..
wenn ich aber im explorer auf 192.168.1.1 zugreife kommt die GUI des lokalen Routers, da der priorität hat (denke ich mal)

Wie bekommen deine VPN-Clients Ihre IP ? Vom DHCP-Server des Remote-Netzes oder bekommen sie IPs aus einem anderen Bereich? Wenn
es ein anderes Subnetz ist musst du entweder NAT auf dem Server machen oder wenn du hier routen willst eine statische Route auf
dem Default-Gateway des Remote-Netzes für dieses VPN-Netz anlegen.
die VPN-Clients bekommen ihre IPs aus einem statischen IP Pool vom RAS Service.. Subnetzt ist bei beiden 192.168.1.x

> EDIT: das DNS Problem ist irgendwie noch immer vorhanden, über die IPs funktioniert alles, aber mit den Computernamen
-> no chance
Dafür brauchst du entweder einen lokalen DNS-Server in deinem Netz oder du machst das mit der HOSTS-Datei.
der lokale DNS-Server ist hier der Router.. aber was soll ich denn da nun genau machen? für jeden computernamen im vpn-netz einen dns eintrag erstellen? geht das nicht auch einfacher?
Bitte warten ..
Mitglied: 114757
11.01.2015, aktualisiert um 20:50 Uhr
Zitat von 118080:
das Gateway ist bei mir 192.168.1.1 was im lokalen Netz dem Router entspricht, aber im externen Netz auch dem Router dort..
Kein Wunder ... Grundlegender VPN-Design-Fehler !!!!!
Die Subnetze sollten beide unterschiedlich sein ! Das ist die erste Grundregel im VPN Design, so kann das nie funktionieren, zumindest nicht mit einfachen
Mitteln.
Bitte warten ..
Mitglied: Pjordorf
11.01.2015 um 20:56 Uhr
Hallo,

Zitat von 118080:
das Gateway ist bei mir 192.168.1.1 was im lokalen Netz dem Router entspricht, aber im externen Netz auch dem Router dort.
Dann kann es nicht funktionieren. Die Netze müssen disjunkt sein - also getrennte Netze, z.B. 192.168.1.0/24 und ein 192.168.100.0/24

kommt die GUI des lokalen Routers, da der priorität hat (denke ich mal)
Quatsch mit Dunkler Soße deine Priorität....

die VPN-Clients bekommen ihre IPs aus einem statischen IP Pool vom RAS Service.
Warum nicht DHCP?

Subnetzt ist bei beiden 192.168.1.x
Darf nicht sein.... Grundlagen Routing.

der lokale DNS-Server ist hier der Router.
Und der kennt alle DNS Eintragungen am entfernten Standort - niemals kennt der die. Du musst schon den richtigen DNS anfragen, dazu gibt's es auch die Möglichkeit bei VPN einen DNS und nicht nur eine IP mitzugeben.

für jeden computernamen im vpn-netz einen dns eintrag erstellen?
Wenn du diese Namen dort brauchst - Ja.

geht das nicht auch einfacher?
Du solltest dir mal die Basics über Routing und dann über DNS anlernen. Du solltest bei korrekt gesetztem DNS am VPN Client (Ja, der kann mehrere DNS gleichzeitig und das sogar pro Schnittstelle) mal nach der richtigen FDQN anfragen z.b. mit ping meinersterserver.firmenintern.local oder was auch immer an Namen verwendet. Wenn deine IPs korrekt gesetzt sind und Routing dann funktionieren kann, und die Rückrouten ebenfalls korrekt sind, dein DNS auch diese Anfrage erhalten darf und tut und er diese somit korrekt beantwortet, sollte dein Ping erfolgreich verlaufen sofern ICMP entsprechend erlaubt ist.... Ein Wireshark an verschiedenen Stellen zeigt es dir auf wenn du für DNS nur Port 53 mitschneidest (Capture) und für ping eben ICMP....

Und ja es ist ein unterschied ob ich ein ping servername oder ein ping servername.internedomäne.local mache .... Und ja es ist entscheiden wo ich mich befinde (intern oder VPN) und welche Routen ich nutze. Windows kann dir die Routen anzeigen mit route print....

Gruß,
Peter
Bitte warten ..
Mitglied: 118080
11.01.2015 um 22:46 Uhr
Zitat von Pjordorf:

Hallo,

> Zitat von 118080:
> das Gateway ist bei mir 192.168.1.1 was im lokalen Netz dem Router entspricht, aber im externen Netz auch dem Router dort.
Dann kann es nicht funktionieren. Die Netze müssen disjunkt sein - also getrennte Netze, z.B. 192.168.1.0/24 und ein
192.168.100.0/24
habe das mal so zu Testzwecken laufen lassen.. kann es im Moment noch nicht umstellen, das muss leider noch warten..

> kommt die GUI des lokalen Routers, da der Priorität hat (denke ich mal)
Quatsch mit Dunkler Soße deine Priorität....
war ja auch nur eine dumme Vermutung ;) sonst erklär mir wie das sonst funktioniert

> die VPN-Clients bekommen ihre IPs aus einem statischen IP Pool vom RAS Service.
Warum nicht DHCP?
- die Server bekommen statische IPs, (192.168.1.2 - 192.168.1.10)
- die VPN Clients bekommen von einem statischen Pool des RAS Dienstes IPs zugewiesen (192.168.1.11 - 192.168.1.20)
- die sonstigen Geräte bekommen eine IP vom DHCP des Routers (192.168.1.21 - 192.168.1.250)

> Subnetz ist bei beiden 192.168.1.x
Darf nicht sein.... Grundlagen Routing.
akzeptiert, wird geändert sobald dies wieder möglich ist..

> der lokale DNS-Server ist hier der Router.
Und der kennt alle DNS Eintragungen am entfernten Standort - niemals kennt der die. Du musst schon den richtigen DNS anfragen,
darum habe ich mal in den Netzwerkkonfigurationen mal den entfernten DNS Server eingetragen => Ergebnis dasselbe

danke
Bitte warten ..
Mitglied: Pjordorf
12.01.2015 um 01:44 Uhr
Hallo,

Zitat von 118080:
kann es im Moment noch nicht umstellen, das muss leider noch warten..
Ist ungefähr wie die aussage "das Loch im Schiffsrumpf kann jetzt im Moment nicht geschlossen werden. Es soll ja nur getestet werden ob das Schiff Schwimmt und dicht ist"!

sonst erklär mir wie das sonst funktioniert
Da reicht ein Wort: Routing

- die Server bekommen statische IPs, (192.168.1.2 - 192.168.1.10)
- die VPN Clients bekommen von einem statischen Pool des RAS Dienstes IPs zugewiesen (192.168.1.11 - 192.168.1.20)
Und welchen DNS bekommen die per VPN?
Und welche IP hat der Client der sich einwählt?
Was sagt dann ein IPConfig /all sowie ein Route Print?

=> Ergebnis dasselbe
Das ist keine (Qualifizierte) Fehlermeldung oder etwas womit ein Fehlerverhalten beschrieben wird. Und hilfreich ist es auch nicht....

Wenn du so etwas wie VPN / RRAS / NAT / DNS /DHCP selbst machen willst, wirst du nicht umhin kommen dir die Grundlegendsten Grundlagen anzueignen und zu erlernen sowie welche Begriffe in der IT üblich sind und wie was funktioniert. das ist nicht in 2 Tagen oder 2 Monaten getan. Ansonsten bei deinen Wissensstand hol dir jemand der dir das macht und du ihm auf die Finger schauen kannst und versuchst zu lernen....

Um einen Server sowie Netze einzurichten gehört mehr als nur auf einer Setup.exe zu klicksen....

Gruß,
Peter
Bitte warten ..
Mitglied: 114757
12.01.2015, aktualisiert um 11:06 Uhr
sonst erklär mir wie das sonst funktioniert
Weil das lokale Gateway eine niedrigere Schnittstellen-Metrik hat, deshalb !! Ein route print zeigt dir das ...

Auch wenn du den anderen DNS im anderen Netz einträgst bringt dir das nichts, denn die zurückgegebenen IPs werden versucht im lokalen Netz zu finden, da ja das Remote Subnetz das selbe ist wie das lokale! Und das lokale wird eben durch die niedrigere Metrik bevorzugt.

Euer Design ist so einfach nicht tragfähig, warte also ab bis ihr es umstellen könnt.

Wenn du dich nicht belehren lässt, ist das dein Problem, aber mit hier und da rumprobieren ohne die Hintergründe zu verstehen wirst du nicht weit kommen, sorry aber das ist nun mal Realität.

Gruß jodel32
Bitte warten ..
Mitglied: 118080
18.01.2015 um 15:36 Uhr
So kleines Update:
Hatte nun gestern Abend endlich die Möglichkeit ins Büro zu fahren und alles einzurichten.
Lage ist die Folgende:

IP Struktur im Unternehmen ist 192.168.2.x
lokale Struktur ist 192.168.1.x
IPs, DNS und Standardgateway werden nun via DHCP auf Windows Server 2012 zugewiesen
VPN und NAT ist aktiviert

aber die DNS Auflösung klappt immer noch nicht...

LG und schönen Sonntag

PS: @114757 ich lasse mir gerne neue Dinge beibringen, jedoch konnte ich bis gestern einfach nichts machen...
Bitte warten ..
Mitglied: Pjordorf
18.01.2015 um 18:21 Uhr
Hallo,

Zitat von 118080:
aber die DNS Auflösung klappt immer noch nicht...
Haben wir hier schon "IPConfig /all" und "Route print" genannt?

Was genau soll von dein DNS aufgelöst werden? Netbios Namen oder FQDN?
Wie ist deine lokaler Schnittstelle eingestellt bzw. welche Optionen hast du dort ausgewählt?
Welche VPN wird überhaupt genutzt?
Hosts Datei ist Standard, also nur Localhost steht drin?

Gruß,
Peter
Bitte warten ..
Mitglied: 118080
01.02.2015 um 15:53 Uhr
Also

Erstmal habe ich andere Probleme zu bewältigen :/ (ganzes lokales Netzwerk hängt sobald VPN im Netz läuft)...
Ich wäre diesen Thread später nochmal ins Leben rufen

Vielen Dank für die Hilfe bis hierhin!

LG
Bitte warten ..
Mitglied: Pjordorf
02.02.2015 um 07:36 Uhr
Hallo,

Zitat von 118080:
Erstmal habe ich andere Probleme zu bewältigen
Dann mach diesen Thread dicht (gelöst) und wenn du mal Zeit hast, mach einen neuen Thread auf sofern dieses Problem sich nicht dann auch erledigt hat...

Den grünen Balken findest du hier http://www.administrator.de/faq/32

Gruß,
Peter
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012 - VPN Verbindung nach Update nicht mehr möglich (1)

Frage von ruNN0r zum Thema Windows Server ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Router & Routing
gelöst VPN von ZyXEL USG zu Windows Server 2012 R2 (13)

Frage von itschloegl zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...