none
Problém s VPN - nelze se připojit do síťových složek, OWA, nesynchronizuje Outlook

    Dotaz

  • CZ: Dobrý den,

    po červencových aktualizacích Windows Serveru 2016 mi začala zlobit VPN. Na serveru je nastaveno připojení přes L2TP (sdílený klíč) , SSTP (klientské certifikáty), chvilku jsem zkusil i PPTP, pokaždé se VPN u klienta úspěšně připojí (klienti mají odškrtnuto, aby se nepoužívala výchozí brána vzdálené sítě).

    Od serveru obdržím IP adresu, pingnu na hlavní server, pingnu na jiné počítače v síti včetně terminálového virtuálního serveru (bez nutnosti zadat IP adresu), ale např. klientský Outlook přestane fungovat (hlásí úspěšné připojení k Exchange), ale nesynchronizuje žádnou poštu, nelze se ani při VPNce připojit na interní web "OWA". Stránka OWA jakoby nabíhá, ale nenačte se - jakoby se zasekne a nezobrazí údaje k přihlášení.

    Další problém je, že při VPN se zobrazí sdílené složky, ale už nelze nic ke klientovi kopírovat (průzkumník se jakoby zasekne). jediné, co funguje je RDP terminálový režim virtuálního serveru. Zkusil jsem různé režimy VPN - L2TP, SSTP, i PPTP, pokaždé to samé.

    Zkusil jsem u klienta nastavení metriky např. 15, 1.10, bez úspěchu. Vypnul jsem Firewall na serveru, odinstaloval antivirák, ale nic..Ve vnitřní síti všechno funguje bez problémů. Nestalo se někomu něco podobné od posledních červencových aktualizací? Děkuji za reakce.


    pondělí 13. srpna 2018 19:08

Odpovědi

  • Z praktickeho hlediska bych VSECHNY pocitace, tedy i server, dal do switche a ten propojil s u-tikem. Tzn. pri jakemkoliv problem s mikrotikem nepujde internet, ale server s klienty se bude bavit dal. 

    Tedy velmi nepresne receno 2x vyssi spolehlivost.

    No a adresy .101 … neco muzes nastavit v RRASu jako pool pro pridelovani VPN klientum

    MP


    úterý 11. září 2018 11:46
    Vlastník

Všechny reakce

  • Nemáš při připojení k VPN nastavené nějaké nestandardní DNS servery? Co ti vrátí nslookup dotaz na adresu poštovního serveru a co ti vrátí nslookup, když pro překlad použiješ nějaký veřejný resolver? Například nslookup posta.firma.cz a následně nslookup posta.firma.cz 1.1.1.1

    Nemáš na lokálním DNS server/resolveru vedenou veřejně routovatelnou doménu s jinými DNS záznamy, než které jsou veřejné (například u registrátora domény)? Viz ten předchozí odstavec - velmi častý problém.


    úterý 14. srpna 2018 7:34
  • Toto je ceske forum, EN verze je zbytecna.

    Pres IP adresu (kde je to relevantni) se na sluzby dostanes?
    Z prikazove radky (dir \\ipadresa\share) se stane co?

    Jinak bych to videl na:spustit wireshark a zjistit nejakou cipovinu (MTU, verze SMB …).

    MP

    úterý 14. srpna 2018 8:07
    Vlastník
  • Ahoj, provedl jsem tyto testy:

    klientská stanice bez VPN - nslookup na náš veřejný přístup k serveru "mrs.firma.cz" vrátí "neautorizovanou odpověď IP 176.12.*.* , naší veřejnou IP adresu

    Klientská stanice s připojenou VPN - nslookup na ten samý veřejný přístup k serveru "mrs.firma.cz " vrátí " IP 192.168.*.2, to je interní adresa našeho serveru, kde je spuštěna role VPN s NAT, Exchange, AD, DHCP a DNS, sdílené složky - server, pod názvem serveru např. SERVER1

    Když na serveru1 spustím nslookup "mrs.firma.cz", vrátí to interní IP adresu 192.168.*.2, pokud dám nslookup mrs.firma.cz 1.1.1.1 , vrátí to neautorizovanou odpověď z veřejné IP adresy 176.12.*.*

    Pokud zadám u klienta s připojenou VPN do prohlížeče "\\SERVER1\shared", soubory se normálně zobrazí, ale už nic nezkopíruji, průzkumník se u klienta zasekne. To samé dělá i pokud do prohlížeče zadám "\\192.168.*.2\shared", opět se složky zobrazí, ale nezkopíruji nic.

    Z příkazové řádky u klienta s připojenou VPN přes "dir \\192.168.*2\shared" mi to normálně vypíše sdílené soubory, to samé pokud zadám  "dir \\SERVER1\shared", složky se zobrazí také.

    Zjistil jsem, že pokud do prohlížeče zadám bránu RAS serveru  (jak je Směrování a vzdálený přístup - IPv4 - Obecné - rozhraní Internal (tam je adresa VPN 192.168.*.21), takže \\192.168.*.21\Shared, sdílené složky se zobrazí a lze i kopírovat. Lze se i připojit do webového rozhraní emailu ve formátu "https:\\192.168.*.21\OWA"

    .Otázkou zůstává, proč se tedy sdílené složky i přes název serveru nebo základní vnitřní ip adresu 192.168.*.2 složky zobrazí, ale nic se nezkopíruje. V interním DNS je i samozřejmě statický záznam SERVER1 na 192.168.*.2

    Nemůže dělat problém to, že na tom hlavním serveru1 v DNS mám nastavený statický záznam "mrs.firma.cz" na vnitřní ip adresu serveru 192.168.*.2 a u poskytovatele domény mám v DNS záznamech na tuto mrs adresu nastavenou pouze veřejnou IP 176.12.*.* ? 

    Nikdy jsem s tím problém neměl, to až skutečně po posledních aktualizacích Windows serveru. 

    úterý 14. srpna 2018 9:35
  • Dobrý den, tak problém s VPN se mi nepodařilo doposud vyřešit ani jsem nic nevygooglil. Zkusím napsat ještě další poznatky. Chtěl jsem poslat sreenshot ze "Směrování a vzdálený přístup", ale nechce mě to pustit, protože nemám ověření účtu a nevím, jak ho ověřit...

    Směrování a vzdálený přístup má tyto adaptéry

    WAN                       Vyhrazený        IP Adresa 192.168.1.100

    Loopback          Zpětná smyčka       IP Adresa 127.0.0.1

    LAN-Virtuální adaptér   Vyhrazený  IP Adresa 192.168.18.2 (vnitřní síť)

    Internal                 Vnitřní                 IP Adresa 192.168.18.21 

    Vnitřní síť na firmě běží bez problému s tou výchozí branou (a DNS) na 192.168.18.2 - pod SERVER1. Klienti se bez problému na VPN připojí. Pingnu na  SERVER1 i přes název a IP adresu 192.168.18.2. Na tom to serveru (SERVER1) jsou umístěny sdílené složky, Exchange apod. Do těch složek se přes VPN dostanu, ale už nic nezkopíruji. Spadne celý průzkumník a pokud se připojím na OWA..Probíhá načítání stránky, ale Exchange OWA se nenačte. 

    Pokud se ale přes VPN připojím a použiji VPN bránu (Internal) těch 192.168.18.21 - přeloží mi to také na SERVER1, a síťové složky a OWA přes VPN fungují. Chtěl jsem s tím tedy "vyčůrat" a vše nastavit na těch 192.168.18.21

    Ale zjistil jsem, že ve vnitřní síťi firmy (bez VPN) pokud se připojím na sdílené složky nebo OWA na těch 192.168.18.21, tak nastává problém uvnitř firmy - nelze nic zkopírovat ze sdílené složky, a OWA se pouze jen snaží načítat - bez úspěchu.

    Už mi jde z toho hlava kolem a nemám od čeho se už odpíchnout.

    úterý 11. září 2018 7:36
  • V kratkosti: nepises masky. Multihoned system = Windowsi smrt. Jake Sluzby / protokoly … bezi na jakem adapteru?

    MP

    úterý 11. září 2018 7:56
    Vlastník
  • Když dám ve Směrování a vzdálený přístup zobrazit IP adresy, vypíše to

    192.168.18.21   255.255.255.255  Rejstřík 36

    192.168.18.2     255.255.255.0      Rejstřík 4

    192.168.1.100     255.255.255.0  Rejstřík 10

    127.0.0.1               255.0.0.0          Rejstřík 1

    Fakt mě štve, že mi nepovolí Technet dávat sem screenshoty :-(

    Už nevím jak dál ten účet tady ověřit.

    úterý 11. září 2018 8:06
  • Kolik ma tedy server (fyzickych) sitovek? Vice nez jednu? A proc?

    MP

    úterý 11. září 2018 8:30
    Vlastník
  • Fyzicky má server 2 síťové karty. První síťovka na WAN (jsme v budově, kde je víc firem a veřejná IP adresa je od poskytovatele internetu přiřazena k té 192.168.1.100), druhá síťová karta je pro vnitřní LAN síť. Na serveru běží Hyper-V,  tu používá tedy druhou fyzickou síťovku jako "Hyper-V Extensible virtual switch" a hyper-V vytvořil z toho tedy LAN-Virtuální adaptér pro Terminál v Hyper-V + vnitřní LAN síť, která běží na těch 192.168.18.2.  

    Když jsem instaloval roli Směrování a vzdálený přístup, konfiguroval jsem server přes průvodce pro NAT - běžící na síťovce WAN + VPN přístup k síťovce LAN virtuální adaptér.

    Po konfiguraci NAT a VPN průvodce vytvořil rozhraní "Internal" s IP 192.168.18.21.

    VPN pro přístup klientů používá DHCP automaticky z role DHCP serveru - který ve vnitřní síti funguje bez problému.


    úterý 11. září 2018 9:00
  • Jak uz jsem psal: multihomed server = smrt. Tedy pokud dela COKOLIV JINEHO, nez jen RRAS.

    V serveru nech jedinou sitovku. Porid solidni router (1500 kc) a na nem nastav NAT/mapovani portu/protokolu a samozrejme firewall.

    DNS,DHCP … samozrejme na Windowsech. Osobne mam s VPN lepsi zkusenost s vyhrazenim rucniho poolu IP adres, nez s pouzivanim DHCP, ale je to vec volby.

    PPTP a SSTP nemaji s (spravne nastavenym) NATem vubec zadne problemy, pro L2TP musis jeste nastavit AssumeUDPEncapsulationContextOnSendRule

    MP

    úterý 11. září 2018 9:09
    Vlastník
  • Jak jsem tedy pochopil, znamenalo by to úplně odebrat na server1 roli Směrování a vzdálený přístup - včetně NPS serveru a DHCP, potom třeba na Mikrotiku, který je od poskytovatele internetu nastavit VPN přímo na server.

    DHCP pro vnitřní síť a VPN by teda běželo z Mikrotiku a na serveru (server1) by běželo DNS kvůli AD..

    Chápu to dobře?

    Mě prostě vážně s*re, že do červencových aktualizací všechno na tomhle serveru běželo v naprostém pořádku..Přijde jedna aktualizace a přesně ta to kompletně zavaří a musím vymýšlet takové další sebevraždy :(

     

    úterý 11. září 2018 9:21
  • ne. RRAS potrebujes kvuli VPN. DHCP na router v zadnem pripade!

    - router nech JEN ROUTOVAT / NATovat
    - Win nech delat VSE OSTATNI: VPN server, DHCP server (=> dyn registrace v DNS), DNS server (kvuli AD).

    Pak budes mit vse na jedne siti a nebudes si pridelavat dalsi level problemu se subnety … Proste K.I.S.S. 

    MP

    úterý 11. září 2018 9:28
    Vlastník
  • Takže problém asi opravdu bude v dvojitém překladu adres NAT. 

    Pro jistotu jsem to ještě nakreslil - opět mi Technet nepovoluje uploadovat obrázek, snad se zobrazí takto:

    https://social.technet.microsoft.com/Forums/getfile/1335127 

    úterý 11. září 2018 11:18
  • Z praktickeho hlediska bych VSECHNY pocitace, tedy i server, dal do switche a ten propojil s u-tikem. Tzn. pri jakemkoliv problem s mikrotikem nepujde internet, ale server s klienty se bude bavit dal. 

    Tedy velmi nepresne receno 2x vyssi spolehlivost.

    No a adresy .101 … neco muzes nastavit v RRASu jako pool pro pridelovani VPN klientum

    MP


    úterý 11. září 2018 11:46
    Vlastník
  • Jakmile bude trochu času a dostanu prostor odstavit firmu, Váš nápad vyzkouším.

    Pokud to zabere a bude to fungovat, jste BŮH :)

    úterý 11. září 2018 12:01
  • No pravda je vzdy nekde mezi. Zaklad je mit reseni:

    - jednoduche
    - bezne

    Pak je mene sanci neco po..at, a pokud uz ano, je hodne sanci najit nekoho se stejnym a VYRESENYM problemem. Proto mam mj. Windows v anglictine :)

    MP


    P.S. historicky si tu tykame. jsme si tu vsichni rovni, nikdo neni panbuh :-p
    úterý 11. září 2018 12:27
    Vlastník