VPN einrichten - Fehler 800, RasClient Fehler
#16
geschrieben 16. Januar 2014 - 14:50
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
Anzeige
#17
geschrieben 16. Januar 2014 - 14:51
#18
geschrieben 16. Januar 2014 - 15:05
#19
geschrieben 16. Januar 2014 - 15:07
Dummer Weise gibt es bei den Client Systemen keine richte Tracing Möglichkeit, um Verbindungsproblemen auf die Spur zu kommen. Die Fehlermeldungen sind teilweise sehr oberflächlicher Natur.
Kann natürlich auch am Router liegen, so wie es Grenor meint. Kann man auch nicht ausschließen.
Wenn alles wirklich richtig eingerichtet ist, sollte es klappen. Ansonsten müsste man eventuell mit z.B. Wireshark mal nachschauen, was da währen des Verbindungsversuches überhaupt über die Netzwerkkarte kommt und so dann daraus schließen, ob das Problem vor oder nach dem Router liegt.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#20
geschrieben 16. Januar 2014 - 15:23
Naja ich hab bei den Netzwerkverbindungen eine Eingehene Verbindung erstellt. Dort hab ich nur den User angegeben der zugriff hat. mehr nicht.
Client:
Sicherheit
VPN-Typ Automatisch
Datenverschlüsselung
Erforderlich
Authentifizierung ist nichts angehackt
Netzwerk
IPv4 automatisch beziehen
Ich schaus mir mal mit whireshark an was da ankommt - und ob was ankommt hab in der arbeit einen router, den werd ich mal mitnehmen und ausprobieren, da ist das vpn passthrough schön zum aktivieren usw.
Dieser Beitrag wurde von HansLBua bearbeitet: 16. Januar 2014 - 15:38
#21
geschrieben 16. Januar 2014 - 15:28
Zitat (DK2000: 16. Januar 2014 - 14:26)
10.0.0.0/8 (Class A)
172.16.0.0/12 (Class B)
192.168.0.0/16 (Class C)
Das Problem ist das 10.0.0.0/8 Netz. Das ist eigentlich nur ein einziges Netz ohne Unterteilung. Die Maske ist eigentlich 255.0.0.0. Alles andere ist da nicht so wirklich Konform.
Persönlich würde ich zu Hause das Netz 192.168.0.0/16 verwenden und aus diesem Bereich mir eine Adresse raussuchen, z.B. 192.168.0.1 (255.255.255.0).
Daher ist für ein 10er Netz keine /8 Subnetzmaske mehr vorgeschrieben
Zitat (HansLBua: 16. Januar 2014 - 14:13)
Arbeit 10.1.1.100 - 255.255.255.0
Bei der Subnetzmaske sind alle Rechner im selben Netz.
Entweder änderst du die Subnetzmaske auf was kleineres oder du schiebst die eine Partei in ein anderes Netz.
Beispiel:
Zuhause 10.1.1.1 - 255.255.255.0
Arbeit 10.1.2.1 - 255.255.255.0
Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.
True Cloudstorage
#22
geschrieben 16. Januar 2014 - 15:34
2 2.877094000 **.**.**.** 192.168.0.10 TCP 66 [TCP Retransmission] 39651 > pptp [SYN] Seq=0 Win=8192 Len=0 MSS=1420 WS=256 SACK_PERM=1
3 8.875411000 **.**.**.** 192.168.0.10 TCP 62 [TCP Retransmission] 39651 > pptp [SYN] Seq=0 Win=8192 Len=0 MSS=1420 SACK_PERM=1
das ist die ausgabe von whireshark beim verbindungsversuch
#23
geschrieben 16. Januar 2014 - 16:06
Man kanns gar nicht laut genug sagen.
Der VPN-Server steht bei Dir zuhause, richtig? Dann nimm was anderes, idealerweise SSTP (dann Port 443/tcp eingehend aufmachen, das reicht schon). Und natürlich den bzw die Client(s) anpassen.
Da wird GRE nicht funktionieren, entweder bei Dir zu Hause oder irgendwo unterwegs.
#24
geschrieben 16. Januar 2014 - 16:18
jetzt kommt
Fehler 0X800B0109: Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.
... oh da brauch ich ein zertifkat ...
hab aber gerade gelesen, dass bei den leuten die SSTP verwenden PPTP einwandfrei funktioniert. und wenn das schon nicht geht? oder liegt ich da falsch?
lg
Dieser Beitrag wurde von HansLBua bearbeitet: 16. Januar 2014 - 16:25
#25
geschrieben 16. Januar 2014 - 16:42
#26
geschrieben 16. Januar 2014 - 16:48
jetzt ist nur die frage, wie erstelle ich unter win 8 das zertifikat, für win serv hab ich paar anleitungen gefunden. habt ihr da vielleicht was passendes für mich?
lg
#27
geschrieben 16. Januar 2014 - 18:26
Der einfachste Weg wäre der, daß Du das fragliche Zertifikat in eine Datei exportierst (OHNE den privaten Schlüssel!) und dann auf dem Client wieder importierst (auch wieder in die Trusted CAs). Dann müßte das gehen. Besonders sauber ist das allerdings nicht.
Besser wäre der Weg über die PKI, also eine Stammzertifizierungsstelle (Zertifikatsdienste unter Windows Server), und wenn eine PKI bereits implementiert ist, wäre das der einzig richtige Weg. Notwendiger Verwendungszweck wäre die Clientauthentifizierung, mit dem jeweiligen Hostnamen als Common Name (CN).
EDIT, weil ich grad meine Finger nicht an den Windows Server krieg und daher nicht nochmal gucken kann: Schau auch noch mal bei den SSTP-Einstellungen selber nach, wie das mit den Authentifizierungs-Anforderungen aussieht. Mir war ja so, als könnte man da nochwas drehen... müßte man, genaugenommen, sogar; denn wenn die Clientauthentifizierung angeschaltet ist, würde der export des self-signed Zertifikates nichts bringen (da dort keine Clientinfos drinstecken, die zum Client passen würden - die sind ja vom Servercomputer).
Dieser Beitrag wurde von RalphS bearbeitet: 16. Januar 2014 - 18:30
#28
geschrieben 16. Januar 2014 - 18:31
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#29
geschrieben 16. Januar 2014 - 18:42
... Halt, moment. Da läuft ein SSTP-Serverdienst auf Windows 8? Wußt ich ja noch gar nicht, daß das auch geht.
Oder haben wir da aneinander vorbeigeredet? An den Clients "SSTP" einstellen bringt gar nix, wenn der Server auf PPTP läuft. Das geht schief. Der Server muß SSTP liefern, und der Client muß SSTP empfangen.
... Glaub ich bin da grad etwas verwirrt.
Dieser Beitrag wurde von RalphS bearbeitet: 16. Januar 2014 - 18:44
#30
geschrieben 16. Januar 2014 - 21:36
Die anfängliche SSTP-Anforderung konnte nicht erfolgreich an den Server gesendet werden. Dies kann auf Netzwerkverbindungsprobleme oder auf Zertifikatprobleme (Vertrauensstellung) zurückzuführen sein.
Wenn ich die Einwahl auf Automatik stelle, dann geht es sofort. Allerdings ist es dann PPTP.
Wüsste jetzt aber auch nicht, wie ich auf einen Client ein passendes vertrauenswürdiges Zertifikat dafür erstellen könnte.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.