Es geht um o.g. Server in einem kleinen Netzwerk, Heimarbeitsplätze per RDP sollen eingerichtet werden. Der Router ist konfiguriert, d.h. der Port 1723 leitet auf den Server. Wenn ich jetzt von unserem Büro aus versuche, eine VPN-Verbindung herzustellen, wird Benutzername und Kennwort geprüft - und geprüft, und geprüft, und geprüft.... Stunden lang, wenn es sein muss (3 Stunden haben wir schon, bis wir abgebrochen haben).
Einen Schritt davor hatten wir wenigstens eine Fehlermeldung (Fehler 812), dass die Authentifizierung nicht hinhaut. Dann eine Änderung in der Windowsfirewall, Fehler weg, aber Authentifizierung geht wohl trotzdem nocht nicht. Es gibt ja einige vorkonfigurierte Regeln, die z.T. noch aktiviert werden müssen (bei denen es um RRAS geht, habe ich das auch schon gemacht), aber da mich der Server nicht durchlassen will, vermute ich, dass das Problem nach wie vor in der Firewall liegt (eigentlich ist sie ja deaktiviert, greift aber irgendwie trotzdem noch, wie es sich gezeigt hat).
Was muss ich tun? Was habe ich übersehen? Wer kann mir helfen? Ich bin langsam am verzweifeln...... Übrigens ist ein VPN-Tunnel von intern kein Problem (hab ich mal ausprobiert, ob es da auch Ärger macht).
>> Zum X-ten Mal die Ports durchgeschaut, RRAS deaktiviert und nochmal neu >> konfiguriert >> (benutzerdefiniert als VPN, Router deaktiviert) und trotzdem - Verbindung >> wird hergestellt, >> Benutzername und Kennwort wird überprüft (da bin ich doch eigentlich >> schon durch die >> Firewall durch, oder nicht?), und das steht dann da..... >> >> Im Prinzip sieht das doch vielleicht eher nach einem >> Authentifizierungsproblem aus oder lieg >> ich da falsch?!!? Im Reiter Sicherheit steht alles noch auf Standard, >> also >> Windows-Authentifizierung/Windows-Kontoführung und als Methode >> EAP/MS-CHAP v2. [..] > 1. Was sagt das Eventlog (Anwendung)? > 2. Was sagt : netstat -ano | find "1723" (am Server ausgeführt)? > 3. Hast du denn schon mal von Außen einen Portscan durchgeführt? Bevorzugt > von einem Linux-OS (z.B. mit nmap) > 4. Tauchen denn in rrasmgmt.msc unter Ports "WAN-Miniports (PPTP)" auf?
zustzlich würde ich von INTERN mal überprüfen, ob eine Verbindung zum VPN-Server funktioniert. Ist dem so, dann taugt der Router nichts, sprich, er hat ein Problem mit VPN-Passthrough -> ggf. aktuelles Firmwareupdate des Routers einspielen bzw. gegen prfoesionellen Router austauschen, der gleich als VPN-Server (ggf. mit RADIUS-Authentifizierung ans AD) fungieren kann.
Am 26.01.2010 16:37, schrieb TzBnd: > Es geht um o.g. Server in einem kleinen Netzwerk, Heimarbeitsplätze per > RDP sollen eingerichtet werden. Der Router ist konfiguriert, d.h. der > Port 1723 leitet auf den Server. [...]
und was ist mit GRE?
Der Guide sollte immer noch halbwegs stimmen: http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm
Tschö Mark -- Mark Heitbrink - MVP Windows Server - Group Policy
hast Du die Regel etwas genauer? Ich habe eine Regel, die in einer Spalte GRE stehen hatte auch aktiviert (den genauen Wortlaut habe ich nicht mehr im Kopf).
Ich schau mir den Guide mal an, besten Dank schon mal.
Am 26.01.2010 16:47, schrieb TzBnd: > hast Du die Regel etwas genauer?
Nein, denn das ist Modell abhängig, "wie" der jeweilige Router mit dem Protokoll GRE umgeht, idR reicht es aus (wenn es überhaupt angeboten wird) wenn es aktiviert ist.
Tschö Mark -- Mark Heitbrink - MVP Windows Server - Group Policy
> hast Du die Regel etwas genauer? Ich habe eine Regel, die in einer Spalte > GRE stehen hatte auch aktiviert (den genauen Wortlaut habe ich nicht mehr > im Kopf).
arbeite einmal folgende Guides durch:
Routing and Remote Access Service: Product Help for Windows Server 2008 R2 http://technet.microsoft.com/en-us/library/dd469790(WS.10).aspx
Configure a Firewall for VPN Traffic http://technet.microsoft.com/en-us/library/dd458955(WS.10).aspx
Dir ist aber schon klar, dass du PPTP-VPN Einwahl erstmal am Server konfigurieren musst : "rrasmgmt.msc" lautet hier das magische Snap-In. weitere Infos entnimmst du aus den Links, die Tobias hinterlegt hat.
Zum X-ten Mal die Ports durchgeschaut, RRAS deaktiviert und nochmal neu konfiguriert (benutzerdefiniert als VPN, Router deaktiviert) und trotzdem - Verbindung wird hergestellt, Benutzername und Kennwort wird überprüft (da bin ich doch eigentlich schon durch die Firewall durch, oder nicht?), und das steht dann da.....
Im Prinzip sieht das doch vielleicht eher nach einem Authentifizierungsproblem aus oder lieg ich da falsch?!!? Im Reiter Sicherheit steht alles noch auf Standard, also Windows-Authentifizierung/Windows-Kontoführung und als Methode EAP/MS-CHAP v2.
1. Was sagt das Eventlog (Anwendung)? 2. Was sagt : netstat -ano | find "1723" (am Server ausgeführt)? 3. Hast du denn schon mal von Außen einen Portscan durchgeführt? Bevorzugt von einem Linux-OS (z.B. mit nmap) 4. Tauchen denn in rrasmgmt.msc unter Ports "WAN-Miniports (PPTP)" auf?
>> Zum X-ten Mal die Ports durchgeschaut, RRAS deaktiviert und nochmal neu >> konfiguriert >> (benutzerdefiniert als VPN, Router deaktiviert) und trotzdem - Verbindung >> wird hergestellt, >> Benutzername und Kennwort wird überprüft (da bin ich doch eigentlich >> schon durch die >> Firewall durch, oder nicht?), und das steht dann da..... >> >> Im Prinzip sieht das doch vielleicht eher nach einem >> Authentifizierungsproblem aus oder lieg >> ich da falsch?!!? Im Reiter Sicherheit steht alles noch auf Standard, >> also >> Windows-Authentifizierung/Windows-Kontoführung und als Methode >> EAP/MS-CHAP v2. [..] > 1. Was sagt das Eventlog (Anwendung)? > 2. Was sagt : netstat -ano | find "1723" (am Server ausgeführt)? > 3. Hast du denn schon mal von Außen einen Portscan durchgeführt? Bevorzugt > von einem Linux-OS (z.B. mit nmap) > 4. Tauchen denn in rrasmgmt.msc unter Ports "WAN-Miniports (PPTP)" auf?
zustzlich würde ich von INTERN mal überprüfen, ob eine Verbindung zum VPN-Server funktioniert. Ist dem so, dann taugt der Router nichts, sprich, er hat ein Problem mit VPN-Passthrough -> ggf. aktuelles Firmwareupdate des Routers einspielen bzw. gegen prfoesionellen Router austauschen, der gleich als VPN-Server (ggf. mit RADIUS-Authentifizierung ans AD) fungieren kann.
Am 27.01.2010 12:00, schrieb TzBnd: > Zum X-ten Mal die Ports durchgeschaut, RRAS deaktiviert und nochmal neu > konfiguriert (benutzerdefiniert als VPN, Router deaktiviert) und > trotzdem - Verbindung wird hergestellt, Benutzername und Kennwort wird > überprüft[...]
Gehts denn überhaupt intern?
Tschö Mark -- Mark Heitbrink - MVP Windows Server - Group Policy
Intern geht, s.o. Ist vielleicht unter gegangen, war der letzte Satz :-)
Ich werd mir auf jeden Fall mal auch den Router nochmal anschauen. Ein professionellerer Router ist sicherlich eine Option, muss ich mal ansprechen (ist ein Neukunde von uns).
es geht/ging um einen D-Link DI-804HV, Fimrware von 1.44 auf 1.51 o.ä.
Letztendlich war es wie so oft - es hat natürlich noch nicht gleich funktioniert, die Ports nochmal neu eingerichtet und dann ging es halt plötzlich..... :-)
> es geht/ging um einen D-Link DI-804HV, Fimrware von 1.44 auf 1.51 o.ä.
Danke für's Feedback. Ggf können andere diese Informationen gebrauchen.
Jedoch empfehle ich jedem im Unternehmensumfeld professionelle Router und kein "Spielzeug" ala D-Link, Netgear, AVM usw. einzusetzen. Erspart teure
(weil Support Geld kostet, welches jedoch die eigentliche Lösung nicht qualitativ verbessert) Nacharbeit bzw. Fehlersuche und machen so anfänglich teure Anschaffungskosten schnell zu einer besseren, weil günstigeren Lösung.
Professionelle Router gibt es von Cisco, Lancom, usw.
> Letztendlich war es wie so oft - es hat natürlich noch nicht gleich > funktioniert, > die Ports nochmal neu eingerichtet und dann ging es halt plötzlich..... > :-)
Deswegen vor einem Firmware ggf. die Konfiguration exportieren bzw. notieren.
Jedoch ist es auch manchmal ratsam einen ("verkonfigurierten") Router auf Auslieferungszustand zurückzusetzen und alles nochmal von Anfang an neu zu konfigurieren.
Wir setzen Lancom ein und durchaus auch Netgear (FVS338) für dauerhafte VPN-Tunnels zwischen zwei Standorten (unsere Kunden sind "klein"). Bei diesem (Neu-) Kunden wurde der bestehende Router erstmal übernommen, bekommt aber schon noch was vernünftiges angeboten.
