Hallo,
habe folgendes Problem und weiß echt nimmer weiter:
Ich möchte einen Windwos 2003 Server als VPN Server hinter einem Lancom 1711 einsetzen. Der Server scheint richtig zu konfiguriert sein.
Der 1711 ist erstmal ganz normal Router für Internetzugriff vom lokalen Netzwerk aus (lokale IP: 192.168.10.x). Das funktioniert auch alles schon seit Jahren. An diesem Netzwerk hängt u.a. auch der Server (192.168.10.200).
Das Netzwerk ist am Router am LAN-Port 1 angeschlossen.
Nun habe ich den Win2003 Server, der über Routing & Ras als VPN Server fungieren soll. Dazu habe ich eine 2. Netzwerkkarte am Server eingebaut und diese direkt mit dem LC1711 LAN-port 4 verbunden. Diese Netzwerkkarte hat die IP 192.168.9.200.
Am LC1711 habe ich dem LAN-Port 4 die IP 192.168.9.201 zugewiesen.
Nun soll Internet-mäßig alles so laufen wie vorher (über LAN-Port 1 an Switch und restliches Netzwerk).
Wenn sich allerdings ein VPN Client von außen (über DYNDNS) verbinden will, sollen die Daten durch den Router an LAN-Port 4 geleitet werden, der Server soll als VPN Gegenstelle dienen und die Verbindung (Routing) zum lokalen Netz herstellen.
Am LC1711 ist ein Port-Mapping für TCP Port 1723 auf die IP 192.168.9.200 eingestellt.
Die Verbindung hat lange nicht geklappt. Als ich aber testweise die Firewall deaktiviert habe konnte ich eine Verbindung herstellen!
Dann habe ich weiter geforscht und herausgefunden das die Verbindung nur zustande kommt wenn ich im LC1711 einstelle, daß IDS-Packete übertragen werden (statt verworfen). (Firewall/QoS -> IDS)
Die Firewall selbst (Regeln) hat damit scheinbar nichts zu tun, den es funnktioniert ohne die IDS Einstellung auch nicht wenn ich die Deny-All Regel deaktiviere.
Soweit ich weiß (und ich bin da kein Fachmann) hat IDS etwas mit Angriffen von außen zu tun und die Packete sollten normalerweise abgewiesen oder verworfen werden.
Was läuft da bei mir falsch?
Es kann ja nur eine Kleinigkeit sein, denn wenn die IDS Packete übertragen werden funktioniert die VPN Verbindung einwandfrei!
VPN am LC1711 ist natürlich deaktiviert.
Verwendet wird PPTP.
Die Konfiguration habe ich nach Lancom KB gemacht:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... enDocument
Weiß hier jemand ne Lösung?
Vielen Dank schonmal im voraus!
Idel
VPN auf Windwos Server durch LC1711
Moderator: Lancom-Systems Moderatoren
Hi Idel
Gruß
Backslash
Also normalerweise funktioneirt das Problemlos - und natürlich *ohne* das IDS zu deaktivieren. Laß dir mal vom IDS eine Mail schicken - da steht dan genauer drin, warum das Paket abgelehnt wurde.Dann habe ich weiter geforscht und herausgefunden das die Verbindung nur zustande kommt wenn ich im LC1711 einstelle, daß IDS-Packete übertragen werden (statt verworfen). (Firewall/QoS -> IDS)
Die Firewall selbst (Regeln) hat damit scheinbar nichts zu tun, den es funnktioniert ohne die IDS Einstellung auch nicht wenn ich die Deny-All Regel deaktiviere.
Gruß
Backslash
Hallo Backslah!
Das Problem hat sich durch deinen Tipp Lancom-mäßig erledigt / verlagert...
Vielen Dank erstmal!
Fehlermeldung war folgende:
Also der Router hat die VPN Anfrage richtig an den Server weitergeleitet auf die 2. Netzwerkkkarte (192.168.9.x im Router LAN-4).
Die Antwort vom Server kam aber auf der 1. Netzwerkkarte (192.168.10.x im Router LAN-1) zurück. Das hat der LC1711 nicht zugelassen, was ja auch OK ist.
Am MAC-Header kann man auch erkennen, das die Nachricht von der ersten Netzwerkkarte kam: Quell-MAC: 00-0F-1F-F9-FB-3E
Irgendwo ist es auch logisch, denn diese 1. Netzwerkkarte hat den Gateway (Router) eingetragen, über den er die Daten raus ins Internet schicken muss.
Daraufhin habe ich die Weiterleitung der VPN Packete (Port 1723) auf LAN-1 (192.168.10.x) im Router umgestellt und die 2. Netzwerkkarte im Server deaktiviert. Nun läuft die VPN Verbindung...
Gibt es eine Möglichkeit dem Win2003 Server zu sagen das er die Antworten zu den VPN Anfragen an eine bestimmte IP schicken soll (so ne Art 2. Gateway nur für VPN)?
Macht das überhaupt Sinn?
Was ich auch noch nicht wirklich verstehe:
Einerseitz konnte ich am Win2003 Server die VPN Sache mit 1 Netzwerkkarte garnicht konfigurieren.
Andererseitz läuft jetzt die VPN Sache mit nur 1 Karte (2 sind eingebaut, aber die 2. ist deaktiviert).
Hat jemand noch nen schlauen Tipp bzw. kann mir auf die Sprünge helfen?
Gruß
Idel
Das Problem hat sich durch deinen Tipp Lancom-mäßig erledigt / verlagert...
Vielen Dank erstmal!
Fehlermeldung war folgende:
Code: Alles auswählen
Date: 11/6/2008 22:48:15
The packet below
Src: 192.168.9.200:1723 Dst: 84.172.123.111:1164 (TCP)
MAC-Header (14 Bytes)
00 a0 57 10 cc e2 00 0f 1f f9 fb 3e 08 00 | ..W..... ...>..
IP-Packet (60 Bytes):
45 00 00 3c 4e 63 00 00 80 06 51 cd c0 a8 09 c8 | E..
54 ac 7b 6f 06 bb 04 8c ef 7d 21 2b fc cd 3d b8 | T.{o.... .}!+..=.
a0 12 40 00 19 f6 00 00 02 04 05 b4 01 03 03 00 | ..@..... ........
01 01 08 0a 00 00 00 00 00 00 00 00 | ........ ....
matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1
because of this the actions below were performed:
reject
send SNMP trap
send email to administrator Die Antwort vom Server kam aber auf der 1. Netzwerkkarte (192.168.10.x im Router LAN-1) zurück. Das hat der LC1711 nicht zugelassen, was ja auch OK ist.
Am MAC-Header kann man auch erkennen, das die Nachricht von der ersten Netzwerkkarte kam: Quell-MAC: 00-0F-1F-F9-FB-3E
Irgendwo ist es auch logisch, denn diese 1. Netzwerkkarte hat den Gateway (Router) eingetragen, über den er die Daten raus ins Internet schicken muss.
Daraufhin habe ich die Weiterleitung der VPN Packete (Port 1723) auf LAN-1 (192.168.10.x) im Router umgestellt und die 2. Netzwerkkarte im Server deaktiviert. Nun läuft die VPN Verbindung...
Gibt es eine Möglichkeit dem Win2003 Server zu sagen das er die Antworten zu den VPN Anfragen an eine bestimmte IP schicken soll (so ne Art 2. Gateway nur für VPN)?
Macht das überhaupt Sinn?
Was ich auch noch nicht wirklich verstehe:
Einerseitz konnte ich am Win2003 Server die VPN Sache mit 1 Netzwerkkarte garnicht konfigurieren.
Andererseitz läuft jetzt die VPN Sache mit nur 1 Karte (2 sind eingebaut, aber die 2. ist deaktiviert).
Hat jemand noch nen schlauen Tipp bzw. kann mir auf die Sprünge helfen?
Gruß
Idel
Hi Idel
Gruß
Backslash
Wieso stellst du nicht einfach die Defaultroute im Server auf die 2. Netzwerkkarte um? Denn schließlich ist es ihm doch egal, über welche Karte er seine Daten ins Internet schickt. Desweiteren kannst du darüber auch (im LANCOM) besser kontrollieren, was der Server überhaupt im Internet macht - er sollte ja eigentlich nur PPTP machen und alles andere kannst du dann in der Firewall des LANCOMs blockenGibt es eine Möglichkeit dem Win2003 Server zu sagen das er die Antworten zu den VPN Anfragen an eine bestimmte IP schicken soll (so ne Art 2. Gateway nur für VPN)?
Macht das überhaupt Sinn?
Blöse gesagt, liegt das daran, daß eine Firma die ein Homeuser-Betriebssytem gebastelt hat, meint, sie könne Server bauen... Daß der IP-Stack von Windows nicht mit mehr als einer Netzwerkkarte korrekt umgehen kann ist ein altbekanntes ProblemWas ich auch noch nicht wirklich verstehe:
Einerseitz konnte ich am Win2003 Server die VPN Sache mit 1 Netzwerkkarte garnicht konfigurieren.
Andererseitz läuft jetzt die VPN Sache mit nur 1 Karte (2 sind eingebaut, aber die 2. ist deaktiviert).
Gruß
Backslash