Hallo Forengemeinde,

ich habe mir (MSDN AA sei Dank) einen Windows Server 2003 aufgesetzt, der als VPN Gateway dienen soll, so dass man auch von unterwegs Zugriff auf die gespeicherten Daten hat.

Seit der Aktivierung des RAS/VPN-Servers verweigert der Server aber jeden Zugriff über das Netzwerk. Sei es via VNC, Remotedesktop oder ganz simpel ein Versuch, freigegebene Verzeichnisse zu öffnen. Auch ein Ping ist nicht mehr drin.

Das Einloggen via VPN geht, man bekommt auch eine gültige IP-Adresse zugewiesen, doch das Problem löst das auch nicht.

Wie gebe ich (ohne die wegen VPN deaktivierte Windows Firewall) die notwendigen Ports frei?

Danke!
TT

guck mal lieber nach der ip adresse des servers...

Das hab ich. Ich komm weder über die IP noch über den Rechnernamen drauf. Weder vom internen Netzwerk noch von extern über VPN eingeloggt.

hm, wurde ggf. an den firewall settings was verändert?
vllt. stimmt auch der port für die VPN connection nicht, ggf. port ändern.
ansonsten vllt. TC/IP Protok. neu installen.


mfg

cereal

Ob an den Firewall Settings was verändert wurde, kann ich Dir nicht sagen. Denn sobald der VPN/RAS Server installiert wird, wird ja die normale Firewall deaktiviert und die NAT/Basisfirewall verwendet. Doch selbst, wenn die Ports dort eingetragen werden, tut sich nichts.

Und wie oben schon erwähnt: Die VPN-Ports müssen passen, da ein Login via VPN ja möglich ist. Nur der Zugriff auf die Serverressourcen (Remote Control, Shares) geht nicht.

sind die ports genau für das auch wirklich offen? poste mal die ports die offen sind und ansonsten -> schalt das gelumpe ab

Nun gut.
Die NAT/Basisfirewall steht auf "An ein privates Netzwerk angeschlossene, private Schnittstelle"
Im statischen Paketfilter bei LAN-Verbindung als auch testweise bei "Intern"
z.B. Reihenfolge: Quelladresse Quellnetzwerkmaske Zieladresse Zielmaske Protokoll Quellport oder -typ Zielport oder -code
Für VPN:
Beliebig Beliebig 192.168.0.163 255.255.255.255 TCP [eingerichtet] 1723 Beliebig
Das scheint zu gehen (wenn das VPN denn was mit der Basisfirewall zu tun hat...)
Für VNC:
Beliebig Beliebig 192.168.0.163 255.255.255.255 TCP Beliebig 5900

Die Ports sind am Router zwischen DSL und LAN weitergeleitet, aber das ist ja eher unerheblich, weil ja nicht mal aus dem LAN ein Zugriff auf den Server möglich ist.

Vor allem ist mir aber ein Rätsel, was diese Basisfirewall denn genau macht. Bzw. wo die Verbindung der offenen Ports des Servers mit dem RAS/VPN-Server liegt. Warum idt kein LAN-interner Traffic mehr möglich, sobald der RAS/VPN-Server aktiv ist? Und warum deaktiviert das teil die gewöhnliche Windows Firewall???

Und zu guterletzt: Wie deaktiviert man schlussendlich das Ding? Denn eigentlich bräuchte ich es nicht. Software kommt keine drauf und für den Schutz von aussen dient die LANCOM-Routerfirewall, in der nur die Ports offen sind, die eh in den Server gehen sollen

Ich hab jetzt einfach mal den VPN/RAS Server entfernt. Damit wird die gewöhnliche Firewall wieder freigegeben.
Aber das kann ja auch nicht im Sinne des Erfinders sein... o_O

Die Frage läßt sich also drauf reduzieren: Wie kann man den VPN-Server nutzen und trotzdem die gewohnte Funktionalität von Windows erhalten?

Wofür brauchst du denn VPN auf deinem Server?

- IPSec über NAT geht sowieso nicht.
- Mit NAT geht nur billiger PPTP, was schon geknackt wurde, da RC4-Verschlüsselung

Nutzt du nur eine Netzwerkkarte in dem Server?
Denn wenn du den Assistenten zum einrichten nutzt, werden auf der NIC nur noch für VPN zulässige Pakete akzeptiert. (Evtl. von Hand ändern)

Wenn du ein sicheres VPN nutzen willst und einen Router benutzt, dann kann ich nur OpenVPN empfehlen: www.openvpn.net

Wie Koegs schon sagt, du hast aber doch sicher 2 NICs im Rechenr oder?
Wie soll sonst in dein LAN geroutet werden?

mmm...

Ich überlege gerade, wie deine IPs vergeben sind:
VPN?
192.168.0.163
255.255.255.255

Win2k3-Server?
192.168.0.163
255.255.255.255

Deine Client-IP?

Setzt deine Subnetzmaske mal auf 255.255.255.0. Einfacher ist es, wenn das VPN, das VPN- Gateway und der Roadwarrior jeweils aus einem anderen Bereich (192.168.XXX.002) kommen.

Drückst du alle ins 192.168.0.XXX- Netz, wird es komplizierter (damit hab ich gar keine Erfahrung) und trafficlastiger, da sämtliche Anfragen an einem Rechner im 192.168.0.XXX- Netz ebenfalls auch an den Roadwarrior gehen muss. Trennst du die Netze, indem der Client, der sich einwählen will, im 192.168.1.XXX- Netz rumhängt, entsteht eine einfache Route, die alle Anfrangen vom 192.168.1.XXX- Netz an das 192.168.0.XXX- Netz weiterleitet (und umgekehrt).

http://www.heise.de/ct/02/05/216/ wenn du einige ältere ct's hast, da gibs noch einige weitere Artikel über Virtual Private Network ...

Sonst noch jemand ein paar Ideen?

Ich denke mal er hat schlicht und einfach nur ein NIC im Server.

Wofür brauchst du denn VPN auf deinem Server?

- IPSec über NAT geht sowieso nicht.Doch, das geht => ESP im Tunnelmodus.Wenn du ein sicheres VPN nutzen willst und einen Router benutzt, dann kann ich nur OpenVPN empfehlen: www.openvpn.netDem kann ich mich nur anschliessen......eine kompakte und saubere Lösung (SSL/TLS basiert).

Funktioniert das ESP im Tunnelmodus auch über 2xNAT? Hab mich da nicht soo weit eingelesen.

Für die problemlose, skalierbare Lösung mit einfach Mitteln ist OpenVPN einfach nur gut. Zusammen mit IPCop hat man da ne saubere Lösung aus dem OpenSource-Bereich.

Funktioniert das ESP im Tunnelmodus auch über 2xNAT? Hab mich da nicht soo weit eingelesen.mmm...

Funzt unter Linux wunderbar :), wenn du damit meinst, 2 Standorte zu verbinden. Die Firewall muss aber ip-forwarding eingestellt haben ... MS benutzt im Normalfall GRE ...

Danke für die Tipps, Jungs!

Ja, ich hab nur eine NIC im Rechner, denn die Kiste ist ein Barebone mit nur einem PCI, und da steckt eine ander Karte drin.

OpenVPN werde ich mir mal ansehen. Das LAN hat die IPs 192.168.0.x mit 255.255.255.0, ein DHCP-Server ist im Netz unter 192.168.0.1, der ist gleichzeitig auch das Gateway (Hardware Router). Da das Barebone ohnehin dauernd läuft (u.a. als Fileserver für die d-box2), dachte ich daran, dass die Kiste auch noch VPN-Server spielen könnte, damit ich von Auswärts an meine Daten komme.

Über das DHCP-Forwarding wollte der VPN-Server gleich die 192.168.0.x-Range nutzen. Sinnvoller ist sicher die 192.168.1.x dafür.

Dann probier ich nun mal OpenVPN aus. Hauptsache es kastriert mir nicht die restlichen Zugriffsmöglichkeiten...