Hi

Ich habe mir ein VPN gateway anhand des Windows 2003 Server Routing und RAS Dienstes installiert.

Allerdings bekomme ich bei der Einwahl folgenden Fehler:




Ich habe folgende Ports am Router offen:
SPI ist selbstverständlich auch deaktiviert.



Die Umgebung:


Es befinden sich zwei Windows 2003 Server hinter einem Router ( Netgear WGT 624 ).
1. PDC Active Directory
2. VPN Routing und RAS Dienstag

Im Active Directory wurde eine neue Globale Sicherheitsgruppe namens VPN angelegt.


Ein Benutzer „VPNUser1“ wurde erstellt
Im Reiter „Einwählen“ habe ich die Option „Zugriff über RAS Richtlinien steuern“ aktiviert



Die aktuelle Netzwerkkonfiguration sieht wie folgt aus:
- Der VPN Windows 2003 Server verfügt nur über eine einzige Netzwerkkarte (192.168.0.10)
- Der Internet Zugang wird über einen DSL Router (192.168.0.1) geregelt.
- Der PDC Windows 2003 Server ist der DHCP, DNS und WINS Server für das Netzwerk
(192.168.0.2)
- Der Adressbereich des DHCP Server erstreckt sich von 192.168.0.10 bis 192.168.0.254
- Der DHCP Server ist mit folgenden Bereichsoptionen konfiguriert:
o 003 Router 192.168.0.1
o 006 DNS 192.168.0.2
o 044 WINS 192.168.0.2
o 045 NetBIOS over TCP/IP 192.168.0.2
o 046 WINS/NBT Knotentyp 0x8

… So nun bin ich wie folgt vorgegangen … (stammt aus einem Howto nur irgenwas muss ich falsch gemacht haben).

a.) Aufruf der MMC Routing und RAS

Routing und Ras konfigurieren und aktivieren
b.) Benutzerdefinierte Konfiguration





f.) Konfiguration der Eigenschaften des Servers.

1. Reiter „Allgemein“, der Server ist nur RAS Server, da er über keine 2te NIC verfügt.





2. Reiter „Sicherheit“ bleibt erst einmal so wie sie aktuell eingestellt ist auf „Windows-Authentifizierung“ und „Windows-Kontoführung“ stehen. Diese Einstellung würde sich ändern, wenn man zur Authentifizierung einen RADIUS Server einsetzen würde.




3. Alles auf Standard gelassen. Client soll eine DHCP IP Adresse vom PDC bekommen.

10 PPTP Ports und 10 L2TP Ports






h.) DHCP Relay Agents IP Adresse von PDC (DHCP-Server)



1. Richtlinien Name „Einwahl zu meinen Bedingungen“ (oder jeder andere beliebige Name)
2. diese gilt für VPN
3. Als erlaubte Gruppe tragen wir die „VPNUser“ ein
4. wählen MS-Chap V2 für die Authentifizierung
5. als einzige zugelassene Verschlüsselungsstärke benutzen wir „Stärkste Verschlüsselung (Ipsec dreifach DES oder MPPE 128Bit)

Jetzt müssen noch 2 kleine Änderungen durchgeführt werden. Die Eigenschaften der Richtlinie aufrufen und über „Profil bearbeiten“ konfigurieren

Als erstes werden die Uhrzeiten festgelegt, zu denen man sich einwählen darf und danach der NAS Typ, der den Zugriff nur über VPN erlaubt.



Der Zugriff von außen über eine Microsoft VPN/DFÜ Verbindung auf Basis von Benutzername und Kennwort über das Internet ist jetzt fertig eingerichtet.

Eigentlich wollte ich das ganze mit L2TP mit IPSEC machen aber bisher geht ja noch nicht einmal PP2TP. 

Ist ne Weile her, da hab ich VPN mit Win2000 Server gemacht. Auch PPTP Port 1723. Ich habe damals allerdings einen privaten IP Adressenpool aus dem 10.0.0.0 er Bereich definiert. Das LAN hatte IPs aus dem
192.168.0.0er Bereich. Beim Versuch, aus dem LAN IP-
Adressenbereich für VPN IPs zu verwenden, scheiterte ich (weshalb auch immer). Erst als ich einen eigenen Pool auf dem VPN Server definierte, der sich vom LAN IP-Pool unterschied, war ich erfolgreich.

Ein anderes Problem war ein Bug in der Firmware des Routers (SMC) der verhinderte dass Port1723 weitergeleitet werden konnte. Nach Firmwareupdate war alles ok.

Hoffe das hilft dir weiter?

Auf jeden Fall kriegst du den Pokal in der Rubrik

"Die professionellste Art, im informatikboard eine
Frage zu stellen".

Mit screenshots und very detailverliebt. SOWAS WÜRD ICH GERN ÖFTER SEHEN!


GRATULIERE HERZLICHST ZUM POKAL!!!!!!!!!!!!!!!!!!!!!!

Router Firmware ist die aktuellste installiert.

hab das mit der Statischen IP zuweisung für 10.0.0.10 - 10.0.0.20 aber hat leider auch nichts gebracht

Hi

Haste mal das RRAS-Log angeschaut? Dadurch ist sofort ersichtlich, ob die Verbindungsanfrage überhaupt bis zum Server kommt. Eingerichtet ist anhand der Screenshots eigentlich alles richtig (mal abgesehen von Relay-Agents der auf dem Netzwerk "Internal" aktiviert werden müsste, damit Clients die korrekten DHCP-Optionen erhalten. Aber das hat nichts mit Deinem Problem zu tun).

Gruss Marcel

So ich hab mir mal das Log hier angeschaut allerdings weiss nicht kann ich irgendwie nichts damit anfangen.

Allerdings habe ich mal versucht von meinem PDC und VPN Server direkt eine Verbindung aufzubauen weil ich gerade Zuhause war.
Nun habe ich 2 verschiedene Fehlermeldungen erhalten.

Am VPN SERVER gab es folgende Meldung:


Am PDC gab es diese


die letzte Fehlermeldung ist ja recht aussagekräftig wie ich finde.

liegt wohl an dem 47 GRE Protokoll.

allerdings kann ich damit nichts anfange.
Ich dachte wenn ich VPN passtrouh hab kann ich ein VPN Server betreiben.
Könnte mir jemand evtl. erklären was es mit dem 47 GRE Protokoll auf sich hat, bzw was ich machen muss ?

muss ich mir n anderen Router zulegen ?