none
IP VPN Server festlegen bei Zugriff von außen RRS feed

  • Frage

  • Guten Morgen an alle Leser und Helfer,

    ich hoffe, dass alle Beteiligten einen guten Start in die Woche hatten.

    Seit ca. 1 Monat haben wir einen neuen Server mit Windows 2012 Server Essentials eingerichtet. Soweit funktioniert auch alles tadelos.

    Das einzige Problem im Moment ist, dass im Moment die IP Adresse des Servers im VPN anders ist:

    Intern: 192.168.117.5

    Via VPN: 192.168.117.6

    Wieso unterscheidet sich die IP Addresse im VPN Netzwerk und lässt sich das irgendwie ändern?

    Besten Dank

    Dennis

    Dienstag, 25. Februar 2014 10:52

Antworten

  • Hallo Dennis,

    ich glaube, jetzt benötige ich mehr Informationen über Deine Infrastruktur um das Problem besser erfassen zu können.

    Grundsätzlich sollte man folgendes machen:
    1. Man nutzt für alle Dienste (Router, SQL, Exchange, Intranet etc.) einen IP Bereich, versieht die Systeme mit festen IP-Adressen und reserviert diese auf dem DHCP.

    2. Den Bereich wo die Dienste sich befinden, schließt man im DHCP aus, so dass der DHCP aus diesem Bereich keine Adressen vergibt.

    3. Den RAS Server (VPN-Server) konfiguriert man so, dass dieser seine IP-Adressen vom selben DHCP holt, der auch im Netz genutzt wird. So kann man IP Konflikte vermeiden.

    Beispiel:

    Du nutzt ein Subnetz 192.168.2.0/24 Den Bereich 1-20 reservierst Du für Netzwerkkomponenten (Router WLAN etc). Den Bereich 21-40 für Dienste (SQL, DC, Sharepoint, Exchange). Ab 41- gestattest Du DHCP, Adressen zu vergeben. Der VPN-Server ist so konfiguriert, dass er den selben DHCP verwendet.

    In dieser Konfiguration, behalten alle Deine Dienste eine feste IP. Den VPN wird sich für seine interne Schnittstelle, eine Adresse vom DHCP holen, die oberhalb von der Adresse 40 liegt. Alle VPN-Clients bekommen auch aus diesem Scope eine Adresse. Somit hast Du sichergestellt, dass Deine Dienste weiterhin auch von extern erreichbar sind.

    Ich hoffe, das hilf Dir ein wenig.

    Grüße
    Klaus

    • Als Antwort vorgeschlagen Klaus Kroenert Dienstag, 25. Februar 2014 22:14
    • Als Antwort markiert Alex Pitulice Montag, 3. März 2014 08:45
    Dienstag, 25. Februar 2014 12:29
  • Hi,

    ich habe selber herausgefunden, dass die interne AdapterIP des virtuellen Adapters, ebenfalls über DHCP kommt.
    Beim RAS, kann man einstellen, wo dieser seine Adresse herbekommen soll.
    1. vom internen (RAS eigenen) DHCP oder
    2. den Unternehmens DHCP
    Client, damit dieser das interne Netz erreichen kann. Umgekehrt natürlich auch.

    Wenn Du Dir die Eigenschaften vom RAS aufrufst, findest Du im Reiter "IPV4" die Einstellung für den DHCP. Aus meiner Sicht und nach meiner Erfahrung, kann nur dort der Fehler entstehen. Für Änderungen der Einstellungen ist ggf. ein Diensteneustart zu empfehlen.

    Die Einstellungen solltest Du aber nicht im RAS selber durchführen, sondern über die Remoteverbindungsverwaltungskonsole, da sonst ggf. diese Einstellungen wieder überschrieben werden.

    Grüße
    Klaus.

    
    • Als Antwort vorgeschlagen Klaus Kroenert Dienstag, 25. Februar 2014 22:14
    • Als Antwort markiert Alex Pitulice Montag, 3. März 2014 08:45
    Dienstag, 25. Februar 2014 13:54

Alle Antworten

  • Hallo Denis,

    der VPN wird über RAS bereitgestellt. RAS nutzt eine weitere virtuelle Schnittstelle. Diese ist für das Routing und NAT notwendig. Zusätzlich dient diese als Gateway für den RAS und den VPN Client, damit überhaupt eine Kommunikation von extern/intern möglich ist.

    Der RAS vergibt diese IP automatisch und holt sich diese, sofern eingestellt, über DHCP. Ändern kann man diese Adresse nicht. Wüsste jetzt auch nicht so ganz genau, wozu das gut sein soll?

    Vielleicht kannst Du ja noch einmal genau schildern, was Du vor hast.

    Grüße
    Klaus

    Dienstag, 25. Februar 2014 11:29
  • Hallo Klaus,

    gut, dem kann ich soweit folgen. Das Ganze "Problem" ist folgendes:

    Es gibt ein Zeiterfassungstool, welches auf den SQL-Server Zugreift (z.B. 192.168.117.5). Will ich das gleiche Zeiterfassungstool nutzen über den VPN, bekomme ich Probleme, da die IP eine andere ist (z.B. 192.168.117.6).

    Das gleiche Problem beim Zugriff über NEtzwerkfreigaben: \\19.2168.117.5\Ordner funktioniert bei Zugriff über VPN nicht mehr, da die IP ja eine andere ist.

    Gibt es da elegante Lösungsmöglichkeiten? Vielleicht über die Firewall konfigurieren, war noch eine Idee, die mir im Kopf rumschwirrte.

    Besten Dank

    Dennis


    Dienstag, 25. Februar 2014 12:17
  • Hallo Dennis,

    ich glaube, jetzt benötige ich mehr Informationen über Deine Infrastruktur um das Problem besser erfassen zu können.

    Grundsätzlich sollte man folgendes machen:
    1. Man nutzt für alle Dienste (Router, SQL, Exchange, Intranet etc.) einen IP Bereich, versieht die Systeme mit festen IP-Adressen und reserviert diese auf dem DHCP.

    2. Den Bereich wo die Dienste sich befinden, schließt man im DHCP aus, so dass der DHCP aus diesem Bereich keine Adressen vergibt.

    3. Den RAS Server (VPN-Server) konfiguriert man so, dass dieser seine IP-Adressen vom selben DHCP holt, der auch im Netz genutzt wird. So kann man IP Konflikte vermeiden.

    Beispiel:

    Du nutzt ein Subnetz 192.168.2.0/24 Den Bereich 1-20 reservierst Du für Netzwerkkomponenten (Router WLAN etc). Den Bereich 21-40 für Dienste (SQL, DC, Sharepoint, Exchange). Ab 41- gestattest Du DHCP, Adressen zu vergeben. Der VPN-Server ist so konfiguriert, dass er den selben DHCP verwendet.

    In dieser Konfiguration, behalten alle Deine Dienste eine feste IP. Den VPN wird sich für seine interne Schnittstelle, eine Adresse vom DHCP holen, die oberhalb von der Adresse 40 liegt. Alle VPN-Clients bekommen auch aus diesem Scope eine Adresse. Somit hast Du sichergestellt, dass Deine Dienste weiterhin auch von extern erreichbar sind.

    Ich hoffe, das hilf Dir ein wenig.

    Grüße
    Klaus

    • Als Antwort vorgeschlagen Klaus Kroenert Dienstag, 25. Februar 2014 22:14
    • Als Antwort markiert Alex Pitulice Montag, 3. März 2014 08:45
    Dienstag, 25. Februar 2014 12:29
  • Hallo Klaus,

    danke für deine detaillierte Antwort. Deinen Rat mit festen IP Bereichen für den DHCP haben wir bereits umgesetzt. Auf meiner Suche nach dem Ursprung des IP Ärgers bin ich auf das hier gestoßen:

    ht tp://imag eshack.com/a/im g191/6631/pyy0.jpg

    Sorry, ich darf mit diesem Account keine Bilder oder Links anheften.

    Da scheint des Pudels Kern zu sein. LEider habe ich keine Ahnung, wieso genau diese IP "intern" vergeben wurde. Hast du eine Idee?

    Edit:

    http://www.mcseboard.de/topic/193364-ip-adresse-des-ras/ der letzte Eintrag scheint eventuell die Lösung zu sein. Da möchte ich mich aber nur bedingt dran trauen. Gibt's alternativen?

    Dienstag, 25. Februar 2014 13:35
  • Hi,

    ich habe selber herausgefunden, dass die interne AdapterIP des virtuellen Adapters, ebenfalls über DHCP kommt.
    Beim RAS, kann man einstellen, wo dieser seine Adresse herbekommen soll.
    1. vom internen (RAS eigenen) DHCP oder
    2. den Unternehmens DHCP
    Client, damit dieser das interne Netz erreichen kann. Umgekehrt natürlich auch.

    Wenn Du Dir die Eigenschaften vom RAS aufrufst, findest Du im Reiter "IPV4" die Einstellung für den DHCP. Aus meiner Sicht und nach meiner Erfahrung, kann nur dort der Fehler entstehen. Für Änderungen der Einstellungen ist ggf. ein Diensteneustart zu empfehlen.

    Die Einstellungen solltest Du aber nicht im RAS selber durchführen, sondern über die Remoteverbindungsverwaltungskonsole, da sonst ggf. diese Einstellungen wieder überschrieben werden.

    Grüße
    Klaus.

    
    • Als Antwort vorgeschlagen Klaus Kroenert Dienstag, 25. Februar 2014 22:14
    • Als Antwort markiert Alex Pitulice Montag, 3. März 2014 08:45
    Dienstag, 25. Februar 2014 13:54
  • Hm, meine Einstellungen sind da recht beschränkt. Werde mir das Mal genauer ansehen!

    Danke Dir schon Mal!

    Dienstag, 25. Februar 2014 14:08
  • Sag bescheid, wenn Du da noch Unterstützung benötigst.
    Dienstag, 25. Februar 2014 22:13