[thundernail]

Hallo Zusammen

Mein Problem ist, dass ich eine VPN (pptp) Verbindung Problemlos herstellen kann, aber nichts im Netzwerk erreiche. Kein Ping geht, auch kein DNS werden aufgelöst. Es geht eigentlich gar nichts, ausser das die Verbindung steht, und im VPN (Routing und Ras) Server wird die Verbindung auch angezeigt. Auch mit dem Explorer sind die PCs nicht erreichbahr, somit wird es nicht daran liegen, dass Ping deaktiviert ist.

Mein Netz in der Firma:

Router:

Es ist ein Cisco 871 ADSL Router welcher per Telnet konfiguriert wird.
Alle erforderlichen Ports sind freigeschaltet. 1723 TCP und Protokoll 47 GRE.
Der Router leitet die VPN an unseren VPN Server weiter. Er ist selber kein VPN Server.
Der Router ist mit einder Statischen IP vom Internet erreichbahr. (also kein dyndns oder ändliches)

Der VPN Server ist ein Windows Server 2008 Standard, welcher auch als Domaincontroller, dhcp, DNS und Exchange gebraucht wird.
Der Client wählt sich mit einem Active directory Benutzer ein, welcher auch die Rechte für VPN verbindung beckommen hat.
Im Server 2008 ist das VPN als Routing Ras Dienst eingestelt. Eingehende Verbindung habe ich auch getestet und es ging auch so nicht.
Der Windows Server 2008 standard eigene Firewall ist deaktiviert. Beim Client ist der Firewall auch deaktiviert.

Netzwerk:

Der VPN Client hat in seinem lokalen Netzt die IP:192.168.1.x und subnett 255.255.255.0 Unser Netzt in der Firma hat die IP:192.168.2.x und subnett 255.255.255.0 somit ist der Client Lokal nicht im gleichen Netzt wie Unser Firmennetz. Dies ist ja wichtig, damit alles beim Client auch durch den Gateway geroutet wird. Client hat win xp (auch mit Vista probiert) jegliche Optionen beim Client habe ich ausprobiert. Auch Gateway IP usw von hand eingetragen usw. Ich möchte gerne einen XP VPN client, welcher irgenwoh steht.( Chef zu hause oder bei einer anderen Firma) mit unserem Firmennetz verbinden.

Wen der Client die Verbindung hergestellt hat, sind alle IPs Richtig eingetragen.

der VPN Client beckommt vom VPN Server die IP.

VPN Client hat in seinem lokalen Lan (Cheff zu hause) die IP 192.168.1.40
Der VPN Server in der Firma hat lokal die IP 192.168.2.4
Die für die VPN Verbindung in Routing und Ras eingestelten IPs sind:
10.168.2.0 bis 10.168.2.10 (auch schon mit 192.168.2.x probiert)

Der CPN Client hat somit in der ppp Verbindungs Status die volgenden IPs, welche er vom VPN Server bekommt.

Server IP 10.168.2.0
Client IP 10.168.2.1

Es scheint alles Richtig zu sein. Aber leider kann ich vom VPN Client (Win XP) nichts vom Firmenlan erreichen oder pingen. Auch umgekehrt nicht. Aber die VPN Verbindung steht.

Ich habe schon etliche Routing tests gemacht. (route print, tracert usw. ) um herauszufinden was das Problem sein könnte, warum die zwei Netze nicht geroutet werden. mit route Print sehe ich, dass der VPN Server die Routen gar nicht zum VPN Client übermittelt. Dort ist ein Fehler. Ich habe die Routen dann manuel im client und im Server zum testen eingefügt. (mit route add) hatt kleider auch nichts gebracht. Ich habe das Gefühl irgendetwas in der einstellung vom Routing und Ras des Servers bolckiert mir die Verbindung. Seit Server 2008 gibt es da ja so viele einstellungen, dass ich irgenwie nicht mehr durchblicke.
Windows Firewall, Netzwerkrichtlinienserver (NPS), IP Packetfilter, eingehende Filter, Ausgehende Filter, NAP Richtlinien, Active directory Benutzer eigene Richtlinien und und und. Leider habe ich keine Ahnung wo in all diesen Funktionen das Problem sein könnte und mir den Zugriff verweigert. übrigens der Windows Firewall auf dem Server 2008 wo Routing und Ras läuft ist komplet ausgeschaltet. Jedoch weiss ich nicht welche diese Richtlinien zum beispliel: Netzwerkrichtlinienserver (NPS) mir Trotzdem den Zugriff verweigern könnte.

Habt Ihr eine Idee wo man dies Einstellen muss, damit ich zugriff auf das Firmen Netzt habe?

Ich danke euch viel mal für die Hilfe.

Gruss

[thundernail]

Danke vielmals für deine Hilfe.

Diese Funktion ist bereits Aktiviert und wird weitergeleitet. Leider funktioniert es trotzdem nicht.
Die Verbindung steht, ich kann aber nichts anpingen oder sonst erreichen.

[thundernail]

Hallo

Leider konnte ich in der Ereignissanzeige nichts finden.

Dort werden leider nur fehler, bei der Anmeldung gelistet, fals mal das falsche Passwort eingegeben wurde. Aber die Verbindung besteht ja. Ansonsten konnte ich in der Ereignissanzeite bezüglich Netzwerk oder Routing Ras (VPN) nichts finden.

Vielen Dank für die Hilfe.

[tim1980]

Hallo!
Ich habe gerade dein Problem gelesen.
Da es ein Thema meiner Weiterbildung zum Microsoft zertifizierten Server Administrator unter Server 2008 ist, versuche ich dir mal zu helfen soweit ich es schon kann.

NAP sorgt dafür, dass Clients auf bestimmte Updates überprüft werden, z.B. ob die neusten Windowsupdates oder die neusten Virenscannersignaturen installiert sind.
Ist dies nicht der Fall, kommt der Rechner in ein eingeschränktes "Wartungsnetzwerk" bis der Rechner die entsprechenden Updates, die vorher durch den Systemadmin festgelegt wurden, installiert hat.
http://www.searchsecurity.de/themenbereich...rticles/155163/
http://www.central-it.de/html/internet/ser...446/index5.html

NPS: http://openbook.galileocomputing.de/window...0021946dc121c1d

Hast du den RAS Dienst nicht nur installiert, sondern auch nachträglich aktiviert?
Verwendest du evtl. eine Verschlüsselung für eine VPN Verbindung, die du beim Client noch nicht eingerichtet hast?

Der VPN Client sollte bei der Einwahl automatisch per DHCP eine Adresse aus dem internen Firmennetzwerk zugewiesen bekommen incl. Standardgateway.
Daher ist es egal, welche IP Adresse dieser hat.
Wichtig hierbei ist, dass du auch bei DHCP die Adressen von DNS und dem Standardgateway in der Firma angeben mußt, diese müssen zusätzlich dem VPN Client zugewiesen werden!

Evtl. mußt du den VPN Client als Radius Client einrichten.
http://www.testticker.de/praxis/2007/08/16...70815017.aspx/3
http://openbook.galileocomputing.de/window..._kap_19_012.htm

Anleitung VPN unter Server 2008 und Vista: http://konzertheld.de/posts/1137

Evtl. hast du IP-Sec als Verschlüsselung ausgewählt, mal überprüfen.

Es kann alles mögliche sein an Problemen, dazu mußt du mal genau überprüfen welche Rollen und Features auf dem Server installiert sind und sie hier posten.

Ich hoffe, ich konnte dir evtl. ein wenig weiter helfen.
Sonst kann ich dir sehr das Server 2008 Handbuch vom MS Press Verlag empfehlen.

Gruß
Tim

[thundernail]

Hallo Danke vielmals.

OK das ist ja supper. Dann ist hier jemand der diese Routing und Ras (VPN) Geschichte sicher gut kennt.

Der Routing und Ras ist nicht nur Installiert sondern er läuft auch. Ich kann mich erfolgreich einloggen.

Aber eben leider nichts im Netzwerk erreichen. Ich haber auch das Gefühl, dass es am NPS (NAP) liegt, ich habe da aber schon einiges rumkonfiguriert. Leider ohne Erfolg. Ich habe das Gefühl ich mache da was falsch. Eigentlich will ich, dass ein Nicht NAP fähiger client (also XP mit Servicepack 2) volle zugriffsrechte auf mein Lan hat. Aber irgendwie Krieg ich das nicht hin. Ich habe bei NPS einen Regel, welche besagt, dass der Ras Client (VPN pptp) einen Benutzer der Domain sein muss, und dort bei. Beim Active directory Benutzer habe ich auch den Hacken beim Einwählen auf "Zugriff erlauben" gesetzt. Mit diesen Zwei Regeln kann ich die VPN Verbindung herstellen. Lösche ich eine von diesen zwei, dann geht es nicht. Die Verbindung steht. Aber leider habe ich keinen Neztzugriff, obwohl ich beim NPS, in meiner VPN Regel die NAP-Erzwingung auf "Volständigen Netzwerkzugriff gewähren" eingestellt habe.

Muss ich eventuel noch an einem anderen Ort irgendetwas einstellen, damit ein "nicht NAP fähiger Client" vollen Zugriff hat?
Auch NAPfähige Clients sollen vollen Zugriff haben ohne, dass Irgendetwas auf Updates oder solche sachen überprüft wird. (wie beim Server 2003) Leider kann ich mit NAP und "nicht NAP" fähigen Clients nichts im Netzwerk erreichen. Bei Radius habe ich nichts eingestelt. Vieleicht muss ich da was einstellen? Ich habe da zwar mal versucht, ein Client reinzuschreiben, aber ich habe das gefühl dass ich dies nicht korrekt gemacht habe.

Ich habe zum Testen eingestellt, dass der DHCP Server die VPN IPs vergibt. somit sind die VPN Clients im gleichen Netz wie das Firmen LAN. Die IP wird richtig weitergegeben, aber ich habe das Gefühl die Routings und DNS Server sowie Gateway werden nicht am VPN Client weitergegeben. Ich kann auch so nichts im Lan erreichen.

Den Routing und Ras dienst (VPN) habe ich genau so, wie du beschrieben hast installiert.

So wie ich gesehen habe habe ich IP-Sec beim Server nicht Aktiviert. Aber ich bin mir auch hier nicht ganz sicher ob dies wirklich so ist. Da dieses Häcken wahrscheindlich auch an einem Anderen Ort ist wie früher.

Folgende Rollen habe ich Installiert:

Active Directory Domänendienste
Anwendungsserver
Dateidienste
DHCP-Server
DNS-Server
Druckdienste
Netzwerkrichtlinien- und Zugriffsdienste
Webserver IIS


Folgende Features habe ich Installiert:


.Net Framework 3.0 Features

Gruppenrichtlinienverwaltung

Remoteserver-Verwaltungstools (Dazu gehört: Rollenverwaltungstools, Toools für die Active Directory Domänendienste, Tools für Active Directory Domänencontroller, DHCP Servertools, DNS Servertools IIS)

Windows PowerShell

Windows Prozessaktivierungsdienst (Dazu gehört: Prozessmodell, .Net umgebung, Konfiguratins-APIs


Ansonsten ist nichts Relevantes auf dem Server, ausser noch den Exchange 2007.

Leider bin ich nicht so Satelfest was Routing und Ras sowie VPN Einstellungen angehen im Server 2008. Da hat siech Sicherheitstechnisch so einiges geändert. Ich habe deine Links angeschaut und einiges ausprobiert. Bis jetzt leider ohne Erfolg.

Ich Danke viel viel mals für die Antworten.

[tim1980]

Hallo!
Konzentriere die Fehlersuche erst einmal auf den Bereich VPN Server und DHCP Einstellungen, die der Client vom VPN Server zugewiesen bekommt.
Ich gehe stark davon aus, du hast hier im DHCP nur eingerichet, dass der Client lediglich eine IP Adresse aus dem Firmennetz zugewiesen bekommt, nicht aber auch die IP Einstellungen für DNS und Gateway.
Diese mußt du extra konfigurieren.

http://openbook.galileocomputing.de/window...c36f39b545bed7f
Abbildung 14.31

Überprüf doch mal die IP Einstellungen, ob DNS Server und Standardgatewayadresse bei der Verbindung auch zugewiesen werden.

Hier liegt sicher dein Problem.
Ich habe leider zur Zeit keinen Server bei mir installiert, dass ich nachsehen könnte.
Müßte ich machen, wenn ich wieder im Kurs bin.

Abbildung 14.11 zeigt die Radiuskonfiguration für Clients.

Probier das erst einmal aus um sicher zu sein, dass auch DNS und Gatewayadresse an den Client übertragen werden.

Gruß
Tim

PS: Falls du nicht weiter kommst, deaktiviere doch erst einmal alles im Server, was du nicht wirklich benötigst und was Probleme verursachen könnte. Vielleicht hast du beim rumkonfigurieren falsche Einstellungen irgendwo gesetzt.

Dieser Beitrag wurde von tim1980 bearbeitet: 11. August 2009 - 18:17

[thundernail]

Danke vielmals für die Antwort.

Leider bin ich momentan im Militär (WK) und kann dies mit dem Server 2008 nicht Testen. (Bei uns in der Schweiz ist Militär leider obligatorisch) Ich werde mich wieder melden, sobald ich den Dienst vertig habe. Am 07 September 09. Ich hoffe, dass ich auch dann noch auf deine Hilfe Zurückgreiffen kann. Ich danke dir vielmals für deine Kompetente Hilfe. Ich werde mich am 07 September wieder hier im Forum Melden.

Gruss