[Lyserc]

Hallo Gemeinschaft!

Ich bin jetzt bereits das x-te Mal dabei zu versuchen einen VPN-Server aufzubauen mit dem man sich von außen verbinden kann. Dazu habe ich schon einige Tutorials durchgearbeitet, aber letztlich scheitert es entweder an meine "Dummheit" oder an einer Einstellung, auf die in den Tutorials doch nicht eingegangen wurde
oder eben, dass ein übernatürliches Wesen einfach nicht will, dass das Ganze bei mir funktioniert.

Was will ich:
Nichts weiter als ein von überall funktionierendes VPN-System auf dessen Freigaben ich sowohl mit Smartphone (Android) als auch mit dem Windows 10 Laptop zugreifen kann.
Also ich möchte so wie zuhause all meine PC's in der Netzwerkumgebung sehen und auf deren freigegebenen Ressourcen zugreifen können.

Was ich nicht will:

• Cloudlösungen: Ach wenn es da viele einfache Möglichkeiten gibt, will ich es endlich mal hinbekommen, dass das VPN funktoniert.

• VPN über die FritzBox: Was soll ich dazu sagen? Eine VPN-Verbindung via Smartphone (Android) zur FritzBox ist einfach aufzubauen. Da finde ich es ein Unding, dass das mit windowseigenen Mitteln garnicht oder sehr kompliziert zu bewerkstelligen ist. Außerdem möchte ich es um meiner selbst Willen einfach mal einen Erfolg auf diesem Wege erleben.

Was mich ein wenig verwirrt:
Da meine nach außen gerichtete IP durch die DynDNS-Adresse immer eindeutig ist erreichbar ist, wird ja die Verbindung über die vorher konfigurierte Adresse (MeinServer.dyndns.org) hergestellt.
Wenn ich bei Windows Server 2012 den Zugriff-überall-Assistenten ausführe, wird das VPN mit der Adresse MeinServer.remotewebaccess.com konfiguriert.
Durch DynDNS ist es ja egal, wenn sich meine nach außen gerichtete IP ändert. Wie ist es denn dann bei der remotewebaccess Adresse? Hat Microsoft einen eigenen Dienst, der die gleich Funktion wie DynDNS hat?

Auch wenn es sich für die meisten von euch wie 08/15 anhört, hier erstmal das Vorhandene:

- PC mit Windows Server 2012 R2 (zwei Netzwerk-Adapter sind auf dem Board)
- Fritzbox 6360
- Clients: Windows 10

Meine Grundgedanken bzw. wie ich es bisher versucht habe:
Server:

• RAS und Routing ist installiert und (zumindest denke ich das) richtig konfiguriert

• Beide Netzwerk-Adapter sind am Switch angeschlossen.

Der Adapter für die externe Verbindung hat die IP: 192.168.0.3

Der Adapter für die interne Verbindung hat die IP: 192.168.0.5

FritzBox:

• Damit ich nicht ewig rumprobieren muss, habe ich (denke ich) alle für VPN möglichen und nötigen Ports für die IP 192.168.0.3 geöffnet. (1723, 500, ESP, GRE)

• Für die eindeutige Indentifizierung im Netz nutz ich eine DynDNS Adresse.

Jetzt mal vorausgesetzt VPN-Typ, Datenverschlüsselungsmethode und Authentifizierung sind richtig konfiguriert, sollte der Verbindungsaufbau unter diesen Umständen und mit Eingabe des angelegten Windows-Nutzers (hier : admin) und das entsprechende Passwort doch schon funktionieren, oder?

Wenn ihr bis hierhin sagt: "Ja, eigentlich sollte es funktionieren." Dann muss es wohl entweder an der Konfiguration der FritzBox und/oder des Clients liegen.
Und an der Stelle steige ich zugegebenermaßen etwas aus.

Jedenfalls habe ich Client-Seitig verschiedenste Konfigurationen ausprobiert und beim Verbindungsaufbau diverse Fehlermeldungen bekommen. Funktierniert hats bisher leider nicht.

Ich weiß gerade einfach nicht mehr, was ich noch lesen oder ausprobieren soll. Vielleicht habe ich ja auch grundsätzlich einen Denkfehler gemacht.

Ich möchte hier in erster Linie von euch keine Schritt-für-Schritt-Anleitung. Nährt mich mit Hilfen, Hinweisen und Tipps, damit es irgendwann einfach funktioniert. So schwer kann das doch einfach nicht sein.

Grüßle

Lysi

P.S. Sorry für so viel Text ... Im richtigen Leben rede ich auch wie ein Wasserfall. xD

[RalphS]

Sorry, nein, "bis hierher" geht es schonmal nicht.

Was Du möchtest, ist doch, von außen auf Dein LAN zuzugreifen. Also funktional dasselbe, wie wenn Du's auf der Fritzbox einrichten würdest... nur halt unter Windows.

Richtig?

Ergo mußt Du zumindest Deine Topologie ändern. Sonst finden sich doch die Rechner gar nicht.

In etwa so: INTERNET <> (WAN)Fritzbox(LAN: 192.168.0.0/24) <> (äußere Schnittstelle: 192.168.0.0/24)VPN-Server(innere Schnittstelle: 192.168.1.0/24) <> Switch <> Rest vom Fest.

Dann die FB so umkonfigurieren, daß die VPN-Geschichte auf das neu konfigurierte äußere Interface geleitet wird (oder halt andersherum, wenn Du lieber Dein LAN umkonfigurieren willst; mit DHCP ja nicht so das Problem).


PPTP, so wie Du's konfigurieren möchtest, ist übrigens komplett broken. Paar Minuten und das Ding ist geknackt. Schau Dir daher mal SSTP an (ein bißchen mehr Konfigurationsaufwand, aber dafür sicher und Du hast auch nicht das leidige GRE-Problem).

[Lyserc]

Vielen Dank für die Antwort.

Lass mich das bitte eben mit meinen Worten zusammenfassen um sichergehen zu können, dass ich alles verstanden habe:

Internet an FB; Server (außen) an FB; Server (innen) an Switch.

IP FB: 192.168.0.x
IP Server außen: 192.168.0.y
IP Server innen: 192.168.1.x
IP Clients: 192.168.1.y-n

Die entsprechenden Ports dann an die IP Server außen weiterleiten.

Richtig?

P.S. Das mit PPTP ist mir bewusst. Ich wollte das VPN einfach erstmal zum Laufen bringen.

Dieser Beitrag wurde von Lyserc bearbeitet: 05. September 2015 - 20:17

[RalphS]

Na, das müssen jetzt nicht zwangsweise ganz genau DIESE beiden Subnetze sein. Wichtig ist nur, daß es *zwei* Netze sind und daß diese *verschieden voneinander* sind.

Ansonsten, ja, wenn ich nix überseh müßte das so hinkommen.

[Lyserc]

Wenn ich das beispielhaft betrachte, verstehe ich es auch besser ^^

OK. Ich habe bis jetzt damit gewartet, weil ich immer wieder zwischen Keller und Wohnung switchen muss. xD

Eine Frage dazu noch:

Nach dieser Topologie läuft ja der gesamte Traffic über den Server. D.H. ich muss die IP's folgendermaßen konfigurieren, damit sowohl Server, als auch die Clients zumindest mal ins Internet kommen.

Server extern:
IP: 192.168.0.y
Gateway: 192.168.0.x (FB)
DNS: 192.168.0.x(FB)

Server intern:
IP: 192.168.1.y
Gateway: nix
DNS: nix

Clients:
IP: 192.168.1.z-n
Gateway: 192.168.1.y (Server intern)
DNS: 192.168.1.y(Server intern)

SubNetMask: überall die gleiche. ^^

[Sturmovik]

Bis auf den DNS-Server kommt das so hin. Denn mit der Konfiguration wird bei den Clients keinerlei DNS-Auflösung funktionieren, sofern der "Server" nicht selbst als DNS-Server fungiert.

Daher: Entweder bei allen die Fritzbox als DNS-Server eintragen und die DNS-Einträge fürs interne Netz manuell pflegen (die FB wird außer dem "Server" niemanden kennen). Das setzt natürlich voraus, dass der Server auch DNS (port 53) forwardet.

Oder irgendwo im internen Netz einen DNS hinstellen, das kann auch besagter Server sein. Dieser müsste dann im Zweifelsfall auf die FB forwarden, wenn er selbst nicht weiterweiß.

Oder mühsam auf allen beteiligten Rechnern die Hosts-Datei pflegen, aber das willst du nicht.

Als Subnetzmaske würde zwischen FB und "Server" auch ne /32 reichen, ist ja sonst nix los in dem Subnetz

Dieser Beitrag wurde von Sturmovik bearbeitet: 05. September 2015 - 22:14

[Lyserc]

Vielen Dank für deinen Beitrag.

OK. Das heißt also - was so betrachtet ja auch ganz logisch ist - dass entweder die FB oder der Server den DNS "spielt". Vielleicht ging das jetzt von mir etwas unter, aber ich habe nur einen Server, der letztendlich die VPN-Funktionalität gewährleisten soll. Aber ich würde an der Stelle mal das VPN vergessen und mich um eine richtig konfigurierte Netzwerkumgebung bemühen.

Tut mir Leid... Wahrscheinlich liegt es an der Uhrzeit, aber ich komme IP-mäßig gerade total ins schleudern. :/
Da gerade bei dem Server nicht mehr wirklich was funktioniert und ich ihn morgen nochmal aufspielen werde, hier die IP-Konfiguration aller beteiligten Geräte.


FritzBox (angeschlossen am Server und am Switch):

IP: 182.168.0.1
SubNetMask: 255.255.255.0


Server:

(Netzwerkadapter 1 extern angeschlossen an die FB):
IP: 192.168.0.3
SubNetMask: 255.255.255.0
Gateway: 192.168.0.1 (FB)
DNS: 192.168.0.1(FB)

(Netzwerkadapter 2 intern angeschlossen an dem Switch):
IP: 192.168.1.1
SubNetMask: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.1


Client 1 (angeschlossen am Switch):

IP: 192.168.1.2
SubNetMask: 255.255.255.0
Gateway: 192.168.0.1 (Server intern)
DNS: 192.168.0.1(Server intern)

So würde ich das konfigurieren, wenn die FB weiterhin die Rolle des DNS übernehmen soll.

Wenns soweit passt, gehe ich das morgen nochmals von grundauf an. Wenn ihr einen Fehler entdecken solltet, teilt ihn mir konkret mit. Ich greife das ganze morgen dann wieder konkret an.

In diesem Sinne, gute Nacht und vielen Dank nochmals.

[RalphS]

Mh? Was soll denn die FB am Switch? Weg da. Dann geht es nicht.

So:

<Internet> <FB> (ext)<[VPN]Server>(int) <Switch> <viele viele bunte Clients>

und dann braucht das Segment FB<>Server sein Subnetz und das interne Interface des Servers ein anderes.

Als nächstes richtest Du (soweit nicht so schon vorhanden) am VPN-Server DNS und DHCP ein:

DNS: Zone erstellen für die lokalen Rechner und einen Forwarder konfigurieren entweder auf die Fritzbox oder gleich auf die Nameserver Deines Internetdiensteanbieters. In der Zone den Server namentlich eintragen (wegen mir auch gleich die Fritzbox, dann könnte man die analog zum Rest zB unter edge.zuhause.lan erreichen).

Wenn Du DNS "extern" auch brauchst, also übers VPN, müßtest Du wie Sturmovik schon schrieb, Port 53/tcp und 53/udp an der Fritzbox auf die externe Server-IP weiterreichen.


DHCP: Eine Range erstellen fürs "innere" Netzwerk (=> für die Clients, offensichtlich) und dort DHCP-Optionen setzen:
- Routers: das INTERNE Interface des Servers
- Subnetzmaske: was immer Du den Clients halt geben willst; 255.255.255.0 paßt privat praktisch immer, ggf aber auch kleiner (... .128 oder .192 würden wohl auch genügen)
- DNS: die IP-Adresse des DNS-Servers (also ebenfalls die interne Server-IP)
- Domain Name: die Domain, die Du eben beim DNS-Server konfiguriert hast

und, optional, was immer Du noch so verteilen möchtest (und auch kannst - bekannt muß es schon sein).

Nicht vergessen, ein paar IP-Adressen unverwaltet zu lassen - insbesondere die vom Server selber.

Und ganz wichtig: den DHCP-Server ans INTERNE Interface binden (da wird er gebraucht), NICHT ans externe (da wird er nicht gebraucht, stört nur und verursacht sinnlosen Traffic).

Und zu guter Letzt dynamische DNS-Updates einrichten, damit die Clients sich auch im Netz registrieren können und du sie über ihren Namen finden kannst.

Am externen Interface, ... mh ich bin immer was vorsichtig mit den /32 Subnetzen, weil die nicht so richtig gültig sind als Subnetzmaske. Wenns geht ist es gut. Ansonsten halt ein /30er Netz (255.255.255.252) und die FB kriegt die eine freie IP statisch zugewiesen und das externe Serverinterface halt die andere und damit ist dann ja auch schon Schluß im 30er Subnetz.


An den Clients mußt Du dann gar nichts machen außer (falls das nicht eh schon die ganze Zeit so konfiguriert ist) halt IP-Adressen automatisch beziehen lassen (= den DHCP-Client anstellen).


Und nicht vergessen, daß die physikalische Topologie zur logischen passen muß. Wenn Du die FB an den Switch hängst, geht es schief.

[Lyserc]

OK, warum ich geschriebn habe, dass ich die FB an den Switch hängen wollte, weiß ich nimmer. Macht natürlich keinen Sinn.

Zum Rest:
Hartes Zeugs in das ich mich erst noch genauer reinfuchsen muss. Ich hätte nicht gedacht, dass der Aufwand ein letztlich funktionierendes VPN-System so enorm sein würde.

Jedenfalls werde ich eure Infos mal verarbeiten, etwas rumprobieren und euch hier berichten.

Nochmals vielen lieben Dank. Auch wenn ich das Gefühl habe dass ich das, was ich ursprünglich wollte, in weiter Ferne verschwinden sehe, hat mich der Ehrgeiz gepackt.