none
SBS 2003 nefunkcni vpn

    Dotaz

  • Zdravim,

    mám problém s rozbehanim vpn na SBS 2003. Mam jednu verejnou IP, ktera je na WAN rozhrani routeru, server je na lan a jsou na nej z routeru nasmerovany porty 500, 1723, 47 (VPN), dale pak taky 443, 80, 444, 25, 987, 4125, 3389. Nastavil jsem VPN pres wizarda v SBSku na tu verejnou adresu. Kdyz na klientovy spustim sbspackage a zadam prihlasovaci udaje (username, heslo) tak se mi to pripoji na server ale ve druhe fazi overovani hesla mi to neoveri (vzdaleny pocitac neopovedel chyba 721) a na serveru mi to pise warning v event logu:  pripojeni mezi serverem a klientem 10.233.233.254 (LAN adresa routeru) bylo navazano ale pripojeni VPN nelze dokoncit nejbeznejsi prcina je ze na brane firewall mezi serverem a klientem neni nakonfigurovana na GRE. Uzivatele jsou zalozeni jako mobile users a ve vlastostech maji povolene VPN prihlaseni, ostatne neprihlasim se ani jako administrator. Kdyz se chci podivat na nastaveni firewallu tak mi to pise ze firewall nemuze byt spusten pt sluzba nebo aplikace vyuziva soubor ipnat.sys. Ve sluzbach je firewall vypnuty a na routeru taky zadne blokovani portu nemam nastavene. JO a jeste pokud pripojim PC klienta do LAN s SBS kem (cili ve stejne siti), tak se mi ta autentizace provede v pohode a jsem jakoze pripojeny pres vpn. Takze me napada jestli to neni zakazane jeste nekde u providera ale jine vpn co tu jsou na jinych serverech pres stejneho providera tak behaji v poradku.

    Je mozne ze mi nejaka sluzba bloguje komunikaci na vpn portech? Nebo je neco zakazane v zasadach skupin (group policy)


    pátek 29. července 2011 10:39

Odpovědi

  • A podporuje vám ten router/firewall GRE? To už není o portech, ale o funkcionalitě.
    pátek 29. července 2011 13:19
  • Zdravim,

    mám problém s rozbehanim vpn na SBS 2003. Mam jednu verejnou IP, ktera je na WAN rozhrani routeru, server je na lan a jsou na nej z routeru nasmerovany porty 500, 1723, 47 (VPN), dale pak taky 443, 80, 444, 25, 987, 4125, 3389. Nastavil jsem VPN pres wizarda v SBSku na tu verejnou adresu. Kdyz na klientovy spustim sbspackage a zadam prihlasovaci udaje (username, heslo) tak se mi to pripoji na server ale ve druhe fazi overovani hesla mi to neoveri (vzdaleny pocitac neopovedel chyba 721) a na serveru mi to pise warning v event logu:  pripojeni mezi serverem a klientem 10.233.233.254 (LAN adresa routeru) bylo navazano ale pripojeni VPN nelze dokoncit nejbeznejsi prcina je ze na brane firewall mezi serverem a klientem neni nakonfigurovana na GRE. Uzivatele jsou zalozeni jako mobile users a ve vlastostech maji povolene VPN prihlaseni, ostatne neprihlasim se ani jako administrator. Kdyz se chci podivat na nastaveni firewallu tak mi to pise ze firewall nemuze byt spusten pt sluzba nebo aplikace vyuziva soubor ipnat.sys. Ve sluzbach je firewall vypnuty a na routeru taky zadne blokovani portu nemam nastavene. JO a jeste pokud pripojim PC klienta do LAN s SBS kem (cili ve stejne siti), tak se mi ta autentizace provede v pohode a jsem jakoze pripojeny pres vpn. Takze me napada jestli to neni zakazane jeste nekde u providera ale jine vpn co tu jsou na jinych serverech pres stejneho providera tak behaji v poradku.

    Je mozne ze mi nejaka sluzba bloguje komunikaci na vpn portech? Nebo je neco zakazane v zasadach skupin (group policy)


     

    Protokol GRE (http://en.wikipedia.org/wiki/Generic_Routing_Encapsulation) potrebny pre PPTP typ VPN spojenia nebezi na TCP/UDP porte 47. Protokol GRE je IP protokol cislo 47. Preto sa Vam nedari nadviazat VPN spojenie, a chyba je podla vsetkeho na routeri, kde mate nastaveny port TCP/UDP 47.

    Pozrite manual k routeru, rekonfigurujte a dajte vediet.

     

    Boris.

     

     

     

    pátek 29. července 2011 16:54
  • Prezrel som si manual a takisto ani ja som tam nenasiel prislusnu polozku. V manuali sa pise len o filtrovani na zaklade rozsahu portov TCP / UDP - to je v tomto pripade nepouzitelne. Tak ako pisete v povodnom zadani - ked sa na Vas SBS server pripojite v ramci LAN siete, vsetko funguje, problem nastava az ked sa skusat pripojit cez uvedeny router. Uvodne spojenie cez TCP 1723 sa zadari, ansledne ale spojenie cez GRE protokol uz nie, pretoze Vas router neumoznuje forwardovat ten IP protokol cislo 47.

    Ak nenexistuje update pre firmware, ktory by doplnil tuto funkcionalitu, vyzera to na vymenu routera.

     

    Boris.

     

     

    • Označen jako odpověď David Mal pondělí 1. srpna 2011 8:00
    pondělí 1. srpna 2011 7:12

Všechny reakce

  • A podporuje vám ten router/firewall GRE? To už není o portech, ale o funkcionalitě.
    pátek 29. července 2011 13:19
  • No ten router je Straight wrt-314 ( toto je on http://access-pointy.heureka.cz/straightcore-wrt-314/specifikace/), v dokumentaci jsem nenasel nic o GRE ale ja myslel ze ten GRE paket rozbaluje az ten server.
    pátek 29. července 2011 13:40
  • Zdravim,

    mám problém s rozbehanim vpn na SBS 2003. Mam jednu verejnou IP, ktera je na WAN rozhrani routeru, server je na lan a jsou na nej z routeru nasmerovany porty 500, 1723, 47 (VPN), dale pak taky 443, 80, 444, 25, 987, 4125, 3389. Nastavil jsem VPN pres wizarda v SBSku na tu verejnou adresu. Kdyz na klientovy spustim sbspackage a zadam prihlasovaci udaje (username, heslo) tak se mi to pripoji na server ale ve druhe fazi overovani hesla mi to neoveri (vzdaleny pocitac neopovedel chyba 721) a na serveru mi to pise warning v event logu:  pripojeni mezi serverem a klientem 10.233.233.254 (LAN adresa routeru) bylo navazano ale pripojeni VPN nelze dokoncit nejbeznejsi prcina je ze na brane firewall mezi serverem a klientem neni nakonfigurovana na GRE. Uzivatele jsou zalozeni jako mobile users a ve vlastostech maji povolene VPN prihlaseni, ostatne neprihlasim se ani jako administrator. Kdyz se chci podivat na nastaveni firewallu tak mi to pise ze firewall nemuze byt spusten pt sluzba nebo aplikace vyuziva soubor ipnat.sys. Ve sluzbach je firewall vypnuty a na routeru taky zadne blokovani portu nemam nastavene. JO a jeste pokud pripojim PC klienta do LAN s SBS kem (cili ve stejne siti), tak se mi ta autentizace provede v pohode a jsem jakoze pripojeny pres vpn. Takze me napada jestli to neni zakazane jeste nekde u providera ale jine vpn co tu jsou na jinych serverech pres stejneho providera tak behaji v poradku.

    Je mozne ze mi nejaka sluzba bloguje komunikaci na vpn portech? Nebo je neco zakazane v zasadach skupin (group policy)


     

    Protokol GRE (http://en.wikipedia.org/wiki/Generic_Routing_Encapsulation) potrebny pre PPTP typ VPN spojenia nebezi na TCP/UDP porte 47. Protokol GRE je IP protokol cislo 47. Preto sa Vam nedari nadviazat VPN spojenie, a chyba je podla vsetkeho na routeri, kde mate nastaveny port TCP/UDP 47.

    Pozrite manual k routeru, rekonfigurujte a dajte vediet.

     

    Boris.

     

     

     

    pátek 29. července 2011 16:54
  • Dobry den,

     tak i kdyz nenakonfiguruju ten port 47 v presmerovani tak mi to nejede, v manualu k routeru se nic o GRE nedozvim takze predpokladam ze ho vubec nepodporuje. Takze reseni asi je Router vymenit?

    pondělí 1. srpna 2011 6:55
  • Prezrel som si manual a takisto ani ja som tam nenasiel prislusnu polozku. V manuali sa pise len o filtrovani na zaklade rozsahu portov TCP / UDP - to je v tomto pripade nepouzitelne. Tak ako pisete v povodnom zadani - ked sa na Vas SBS server pripojite v ramci LAN siete, vsetko funguje, problem nastava az ked sa skusat pripojit cez uvedeny router. Uvodne spojenie cez TCP 1723 sa zadari, ansledne ale spojenie cez GRE protokol uz nie, pretoze Vas router neumoznuje forwardovat ten IP protokol cislo 47.

    Ak nenexistuje update pre firmware, ktory by doplnil tuto funkcionalitu, vyzera to na vymenu routera.

     

    Boris.

     

     

    • Označen jako odpověď David Mal pondělí 1. srpna 2011 8:00
    pondělí 1. srpna 2011 7:12
  • Diky pri pomoci nalezeni priciny, dival jsem se pres network monitor na SBSku a PPTP spojeni probehne ale GRE uz tam vubec neni, takze zrejme vymena routera.

     

    Diky moc

    pondělí 1. srpna 2011 8:00