none
Welche Firewall-Regeln für PPTP-Zugriff? RRS feed

  • Frage

  • Hallo Forum,

    eine VPN-Einwahl (PPTP) von einem W7-Notebook auf einen SBS 2003 über einen DSL-Router (Draytek Vigor) mit VPN Passthrough funktioniert nur, wenn ich auf der Firewall des Routers eingehend und ausgehend sämtlichen Traffic öffne, die Öffnung des Ports 1723 per Portforwarding sowie in der Firewall des Routers als eingehender Traffic alleine reicht nicht. 

    Ich habe mit einem Syslog-Tool den Traffic mitgeschnitten und mir den geblockten Traffic anzeigen lassen. Da habe ich dann gesehen, dass es auch ausgehenden Traffic auf den Port 1723 gibt, der nicht durchging. Nach dem Setzen des Häkchens bei "Keep State" in der 1723er-Rule war dieses Problem zwar behoben, aber die VPN-Verbindung funktioniert immer noch nicht. 

    Offensichtlich gibt es für das PPTP-Handshaking noch wichtigen anderen ein- und ausgehenden Traffic. Irgendwas blockt die Firewall jedenfalls noch und eine Verbindung kommt nicht zustande. Das Syslog zeigt bei *diesem* geblockten Traffic aber leider *keine* Port- oder Protokollinformationen an, anhand derer ich eine Regel basteln könnte. 

    Hat jemand eine Idee, was ein SBS2003 für die per Wizard konfigurierte (und grundsätzlich ja funktionierende) PPTP-Einwahl für einen Traffic erzeugt bzw. erwartet, um auf dem Vigor entsprechende Firewall-Rules zu konfigurieren? Oder mache ich hier einen Denkfehler?

    Besten Dank im Voraus für einen Tipp,
    Stefano

    PS
    Der Server hat zwei Netzwerkkarten und ist komplett mit Wizard konfiguriert...
    • Bearbeitet Photogregor Mittwoch, 4. Januar 2012 15:13
    Mittwoch, 4. Januar 2012 15:13

Antworten

  • Jetzt funktioniert's. Zwar anders als gedacht, aber immerhin. Ich habe auf dem Server per Wizard RAS (und damit die interne Firewall des SBS) abgeschaltet, dann per CEICW von Zwei- auf Ein-NIC-Konfiguration umgeschaltet (und die externe NIC deaktiviert) und anschließend die VPN-Server-Funktionalität des Draytek-Routers (statt der vom SBS) konfiguriert. Jetzt klappt der PPTP-Connect und es besteht ungehinderter Remote-Zugriff auf den Server.

    Vielen Dank für eure Unterstützung!

    Beste Grüße,
    Stefano 

    • Als Antwort markiert Alex Pitulice Mittwoch, 11. Januar 2012 14:46
    Montag, 9. Januar 2012 08:55
  • Jetzt funktioniert's. Zwar anders als gedacht, aber immerhin. Ich habe auf dem Server per Wizard RAS (und damit die interne Firewall des SBS) abgeschaltet, dann per CEICW von Zwei- auf Ein-NIC-Konfiguration umgeschaltet (und die externe NIC deaktiviert) und anschließend die VPN-Server-Funktionalität des Draytek-Routers (statt der vom SBS) konfiguriert. Jetzt klappt der PPTP-Connect und es besteht ungehinderter Remote-Zugriff auf den Server.


    oder so... ;) . so umgehst Du das Problem mit dem VPN-Passthrough... jetzt musst Du Dich nur auf die Sicherheit des Routers verlassen können... ;)

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net

    Montag, 9. Januar 2012 14:57
    Moderator

Alle Antworten

  • Am 04.01.2012 schrieb Photogregor:

    eine VPN-Einwahl (PPTP) von einem W7-Notebook auf einen SBS 2003 über einen DSL-Router (Draytek Vigor) mit VPN Passthrough funktioniert nur, wenn ich auf der Firewall des Routers eingehend und ausgehend sämtlichen Traffic öffne, die Öffnung des Ports 1723 per Portforwarding sowie in der Firewall des Routers als eingehender Traffic alleine reicht nicht. 

    Ich habe mit einem Syslog-Tool den Traffic mitgeschnitten und mir den geblockten Traffic anzeigen lassen. Da habe ich dann gesehen, dass es auch ausgehenden Traffic auf den Port 1723 gibt, der nicht durchging. Nach dem Setzen des Häkchens bei "Keep State" in der 1723er-Rule war dieses Problem zwar behoben, aber die VPN-Verbindung funktioniert immer noch nicht. 

    Dir fehlt vermutlich Protokoll 47 GRE.
    http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 4. Januar 2012 19:38
  • Was genau ist das für ein Router? Evtl. musst du extra das Protokoll GRE (47) freigeben.

     

    :edit -da war ich zu spät :-)

    Nur ein Hinweis am Rande: Wenn du irgendwann zu sbs2008 oder 2011 migrieren möchtest, dann musst du aus den 2 Netzwerkkarten des SBS2003 eine machen:

    http://sbs.seandaniel.com/2008/05/preparing-your-network-for-small.html

     

    Mittwoch, 4. Januar 2012 19:41
  • Hallo Winfried, hallo Thomas,

    vielen Dank für eure Antworten. Der Router ist ein Draytek Vigor 2600, der GRE automatisch durchlässt, wenn man den Port 1723 freigibt - hätte ich wohl besser erwähnt.

    Es muss also für diese PPTP-Verbindung noch etwas anderes als Port 1723 und GRE durchgelassen werden, wie mir der mitgeloggte geblockte Verkehr während der Verbindungsphase zeigt. Aber was? Wie gesagt, wenn ich alles aufmache funktioniert es, aber das ist ja keine Alternative. Eingehend ist bislang nur 1723 und 443 (für RPC/HTTPS) geöffnet.

    Dein Link, Thomas, ist sehr interessant, davon wusste ich noch gar nichts. Ich habe schon überlegt, ob ich aus dem SBS 2003 mal eine Ein-NIC-Maschine machen sollte, was ja dank der Wizards eine Sache von wenigen Minuten ist. Aber das sollte am Typ des VPN-Traffics, der über den Router geht, ja nichts ändern...

    Beste Grüße,
    Stefano 

    Samstag, 7. Januar 2012 11:32
  • vielen Dank für eure Antworten. Der Router ist ein Draytek Vigor 2600, der GRE automatisch durchlässt, wenn man den Port 1723 freigibt - hätte ich wohl besser erwähnt.

    Es muss also für diese PPTP-Verbindung noch etwas anderes als Port 1723 und GRE durchgelassen werden, wie mir der mitgeloggte geblockte Verkehr während der Verbindungsphase zeigt. Aber was? Wie gesagt, wenn ich alles aufmache funktioniert es, aber das ist ja keine Alternative. Eingehend ist bislang nur 1723 und 443 (für RPC/HTTPS) geöffnet.

    Dein Link, Thomas, ist sehr interessant, davon wusste ich noch gar nichts. Ich habe schon überlegt, ob ich aus dem SBS 2003 mal eine Ein-NIC-Maschine machen sollte, was ja dank der Wizards eine Sache von wenigen Minuten ist. Aber das sollte am Typ des VPN-Traffics, der über den Router geht, ja nichts ändern...


    Bitte setz Dich mit dem Support des Herstellers des Routers in Verbindung um ggf. die Details oder ein nötiges Firmware-Update zu besprechen, da es ja augenscheinlich nicht an einem Problem des SBS liegt.

    Grundsätzlich sollte ein fehlerfreier Router mittels Port 1723 und Protokol-Weiterleitung für GRE (IP protocol 47 for Generic Routing Encapsulation) das VPN-Passthrough für PPTP beherrschen.

    Der SBS hält sich hierbei nach Konfiguration mittels Wizzards an die Standards:

    Using the Remote Access Wizard
    http://technet.microsoft.com/en-us/library/cc708086(WS.10).aspx


    Weitere Informationen:

    APPENDIX C Network Configuration Settings
    http://technet.microsoft.com/en-us/library/cc747257(WS.10).aspx

    Troubleshooting remote access VPNs
    http://technet.microsoft.com/en-us/library/cc772616(WS.10).aspx

    Network Ports Used by Key Microsoft Server Products
    http://technet.microsoft.com/en-us/library/cc875824.aspx

    TCP/IP Fundamentals for Microsoft Windows
    Chapter 14 - Virtual Private Networking
    http://technet.microsoft.com/en-us/library/bb727019.aspx

    Small Business - Securing Remote Access
    http://technet.microsoft.com/en-us/library/cc875831.aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Sonntag, 8. Januar 2012 10:16
    Moderator
  • Jetzt funktioniert's. Zwar anders als gedacht, aber immerhin. Ich habe auf dem Server per Wizard RAS (und damit die interne Firewall des SBS) abgeschaltet, dann per CEICW von Zwei- auf Ein-NIC-Konfiguration umgeschaltet (und die externe NIC deaktiviert) und anschließend die VPN-Server-Funktionalität des Draytek-Routers (statt der vom SBS) konfiguriert. Jetzt klappt der PPTP-Connect und es besteht ungehinderter Remote-Zugriff auf den Server.

    Vielen Dank für eure Unterstützung!

    Beste Grüße,
    Stefano 

    • Als Antwort markiert Alex Pitulice Mittwoch, 11. Januar 2012 14:46
    Montag, 9. Januar 2012 08:55
  • Jetzt funktioniert's. Zwar anders als gedacht, aber immerhin. Ich habe auf dem Server per Wizard RAS (und damit die interne Firewall des SBS) abgeschaltet, dann per CEICW von Zwei- auf Ein-NIC-Konfiguration umgeschaltet (und die externe NIC deaktiviert) und anschließend die VPN-Server-Funktionalität des Draytek-Routers (statt der vom SBS) konfiguriert. Jetzt klappt der PPTP-Connect und es besteht ungehinderter Remote-Zugriff auf den Server.


    oder so... ;) . so umgehst Du das Problem mit dem VPN-Passthrough... jetzt musst Du Dich nur auf die Sicherheit des Routers verlassen können... ;)

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net

    Montag, 9. Januar 2012 14:57
    Moderator
  • oder so... ;) . so umgehst Du das Problem mit dem VPN-Passthrough... jetzt musst Du Dich nur auf die Sicherheit des Routers verlassen können... ;)

    Ja, da muss ich mich drauf verlassen. Denke mal, bei einem Draytek-Produkt mit neuester Firmware sollte das funktionieren... :-)
    Montag, 9. Januar 2012 15:08
  •  
    >> oder so... ;) . so umgehst Du das Problem mit dem VPN-Passthrough...
    >> jetzt musst Du Dich nur auf die Sicherheit des Routers verlassen
    >> können... ;)
    >
    > Ja, da muss ich mich drauf verlassen. Denke mal, bei einem
    > Draytek-Produkt mit neuester Firmware sollte das funktionieren... :-)
     
    Man beachte: Mit der "jeweiligen" neuesten Firmware - d.h. man sollte
    regelmässig auf Updates überpüfen - Glücklich der, der (freigegebene)
    automatische Updates auf seinen Geräten implementireren kann.. :)
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Montag, 9. Januar 2012 15:18
    Moderator
  • Hallo Stefano,

    ich habe hier einige Anleitungen gefunden was zu beachten ist um einen PPTP-Tunnel durch den Vigor zu bauen:

     

    http://www.draytek.co.uk/support/kb_vigor_passthrough.html

    http://www.draytek.com/user/SupportFAQDetail.php?ID=184

     

    Ich habe auch die Erfahrung bei LANCOM gemacht, dass ich Port 500 UDP durchschleifen muss damit es funktioniert.

     

    Gruß

    Sebastian

     


    Dienstag, 10. Januar 2012 09:26