VPN-Verbindung kommt nicht zustande

[Fireblade]

Hi zusammen

Es besteht folgendes Problem: Ich möchte mich mit einem Kollegen per VPN Verbinden und dieses klappt nicht.

Mein Rechner (Win XP, SP1a) soll als Server fungieren. Ich befinde mich hinter einem Router (Trendnet TW100-S4W1CA). Folgendes habe ich gemacht: Habe mit dem Win-assistent einen neuen Benutzer sprich Account mit passwort und Rechten angelegt. Dabei habe ich den IP-Bereich (Range) so eingestellt, das er vom DHCP vergeben wird.

Soweit ich weis, muss der Server und Teilnehmer im gleichen Subnetz liegen. Soweit so gut.

Routerseitig habe ich nicht sehr viele Einstellmöglichkeiten zur Verfügung. Er bietet im Menü "Virtual Server" den Punkt "IP-sec Pass trough auf UDP 500". Habe ich eingestellt.

Desweiteren habe ich den Port 1723 TCP und UDP geforwardet. Ansonsten sind keine Filterregeln oder sonstiges im Router aktiv, was eine Verbindung blocken könnte.

Keine Verbindung der beiden Rechner möglich. Fehlermeldung Code 800 oder ähnlich.

Dann habe ich meinen Rechner (Server) als DMZ eingerichtet im Router.

Keine Verbindung der beiden Rechner möglich. Fehlermeldung Code 800 oder ähnlich.

Nun habe ich mal den Router getrennt( um ihn als Fehlerquelle auszuschließen) und bin über die Direkt-Verbindung im Netz. Firewalls öder ähnliches sind abgeschaltet.

Es kommt ums Verrecken keine Verb. zustande. Hab echt keine Ahnung mehr warum.

Als Alternative habe ich mir Open-VPN 1.6.0 installiert, aber das ist für meine Begriffe sehr kompliziert.

Es muss doch möglich sein sich ünter Windows mit einer Person zu verbinden.

Hat da jemand einen Rat?

Grüsse

 

[scanni39]

Hi zusammen

Es besteht folgendes Problem: Ich möchte mich mit einem Kollegen per VPN Verbinden und dieses klappt nicht.

Mein Rechner (Win XP, SP1a) soll als Server fungieren. Ich befinde mich hinter einem Router (Trendnet TW100-S4W1CA). Folgendes habe ich gemacht: Habe mit dem Win-assistent einen neuen Benutzer sprich Account mit passwort und Rechten angelegt. Dabei habe ich den IP-Bereich (Range) so eingestellt, das er vom DHCP vergeben wird.

Soweit ich weis, muss der Server und Teilnehmer im gleichen Subnetz liegen. Soweit so gut.

Routerseitig habe ich nicht sehr viele Einstellmöglichkeiten zur Verfügung. Er bietet im Menü "Virtual Server" den Punkt "IP-sec Pass trough auf UDP 500". Habe ich eingestellt.

Desweiteren habe ich den Port 1723 TCP und UDP geforwardet. Ansonsten sind keine Filterregeln oder sonstiges im Router aktiv, was eine Verbindung blocken könnte.

Keine Verbindung der beiden Rechner möglich. Fehlermeldung Code 800 oder ähnlich.

Dann habe ich meinen Rechner (Server) als DMZ eingerichtet im Router.

Keine Verbindung der beiden Rechner möglich. Fehlermeldung Code 800 oder ähnlich.

Nun habe ich mal den Router getrennt( um ihn als Fehlerquelle auszuschließen) und bin über die Direkt-Verbindung im Netz. Firewalls öder ähnliches sind abgeschaltet.

Es kommt ums Verrecken keine Verb. zustande. Hab echt keine Ahnung mehr warum.

Als Alternative habe ich mir Open-VPN 1.6.0 installiert, aber das ist für meine Begriffe sehr kompliziert.

Es muss doch möglich sein sich ünter Windows mit einer Person zu verbinden.

Hat da jemand einen Rat?

Grüsse

Schau mal hier rein:

http://www.ordix.de/onews2/3_2001/siteengine/artikel/sundn_1.html

ansonsten versucht's hier:

http://www.wer-weiss-was.de/theme13/article340876.html#340876

 

[scanni39]

PS:

Gibts bei Symantec: http://nct.symantecstore.com/0001/index.html#pca

 

[Fireblade]

@ scanni39

Äähm..Du hast mein Problem nicht verstanden.

Ich versuche keinen Remotezugriff mit VNC oder R-Admin, sondern eine VPN-Verbindung zu etablieren. Das ist etwas anderes.

Grüsse

 

[[Moepi]1]

Welche Software verwendest Du serverseitig, also auf Deinem Computer? Windows XP lässt nativ keine eingehenden VPN Verbindungen zu - nur Ausgehende. Für eingehende Verbindungen brauchste den RRAS Dienst von Windows Server 2003 (oder 2000, aber damit hab ich nie gearbeitet).

PS: UDP 1723 ist irrelevant, PPTP Datenverkehr geht nur über TCP.

PPS: Vergiss IPSec - das ist zu komplex. Mit windowsinternen Mitteln würdest Du nur mit nem Preshared Key auf nen grünen Zwei kommen. Das klappt aber nur, wenn Server und Client Windows Server 2003 verwenden. Alles andere benötigt Zertifikate. Abgesehen davon wäre das dann ein L2TP VPN und da müsstest Du den UDP 500 und 4500 aufmachen. Bleib bei PPTP.

 

[Fireblade]

@ Moepi

Ich verwende keine zusätzliche Software, weil ich kann doch unter Windows "eigehende VPN-Verbindung zulassen" auswählen und daraufhin auch einen neuen Benutzer anlegen kann.

Warum sollte Win XP dieses Feature anbieten wenn es nur ausgeh. Verb. zulassen würde?

Grüsse

Welche Software würdest Du denn empfehlen ?

 

[Simon]

Hast du schonmal dieses Tut gelesen:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php

Gibt dein Kollege denn auch immer die korrekte WAN-IP von deinem Router als VPN Server ein, oder arbeitet ihr mit dynamischen DNS Diensten?

mfg Simon

 

[Fireblade]

@ Simon

Das Tut von Wintotal ist mir bekannt soweit. Ich sag mal: Nix neues
So wie die Jungs das beschreiben, habe ich es ja eh schon gemacht. Aber danke für den Tipp.

Zur zweiten Frage: Dyndns existiert nicht, und der Kollege gibt auch meine WAN-IP ein, ja.

Ja selbst ohne Router, wie oben beschrieben, funzt es nicht.

Bin echt ein stückweit Ratlos!

Grüsse

 

[Simon]

Arbeitet ihr nur mit PPTP oder mit IPSec?
Weil du oben geschrieben hast, dass du im Virtual Server "IPSec Passtrough" freigeschaltet hast.

Nur mal mit PPTP probieren und PPTP im Router "passthrough" lassen und nicht IPSec.

mfg Simon

 

[[Moepi]1]

@ Moepi

Ich verwende keine zusätzliche Software, weil ich kann doch unter Windows "eigehende VPN-Verbindung zulassen" auswählen und daraufhin auch einen neuen Benutzer anlegen kann.

Warum sollte Win XP dieses Feature anbieten wenn es nur ausgeh. Verb. zulassen würde?

Grüsse

Welche Software würdest Du denn empfehlen ?

Das find ich sehr interessant. Ich hätte vor einiger Zeit schwören können, dass ich es mal geschafft hab, genau wie Du es beschreibst, ne eingehende VPN Verbindung mit XP zuzulassen. Allerdings hab ich das vor einiger Zeit auf nem XP Rechner wieder probiert und wenn ich dann sage "Erweiterte Verbindung" und dann "Eingehende Verbindung zulassen", habe ich nur den LPT Port zur Auswahl. Bei meinen beiden XP Rechnern hier ist es dasselbe. Ich hatte dann angenommen, dass ich das damals nicht mit XP sondern mit ner Serverversion gemacht hatte. Aber offensichtlich hab ich mich da wieder getäuscht...
Hab ich ein Brett vorm Kopf? Kanns sein, dass sich da was mim SP2 geändert hat? Oder hast Du vielleicht XP Home?


/Edit:
Ich Depp hätte bei der LPT Verbindung nur einmal auf "Weiter" klicken müssen, dann kommts mit den VPNs! Shame on me... *malwiederindieeckestell*

 

[Fireblade]

@ Simon

Habe "IPSsec passtrough" einfach dazu genommen, obwohl es nicht richtig ist. Ich weiss das hört sich dumm an. Mein Router bietet jedoch nicht expliziet "PPTP passtrough" an. Was tun ?

@ Moepi

Ich verwende XP Prof.mit Service Pack 1a. Bei mir wird auch nur der LPT Port als Auswahl angeboten. In diesem Tut von wintotal sagen die auch das wäre egal und könnte übergangen werden.
Ist das evtl. der Fehler ?

Grüsse

 

[Simon]

Setz den Virtual Server einfach mal direkt auf Port 1723 TCP/UDP frei, wenn PPTP-passthrough nicht anwählbar ist.

mfg Simon

 

[Fireblade]

@ Simon

Gerade gemacht: 1723TCP/UDP. Keine Wirkung.

Was soll das? Was sagst Du überhaupt zu der Tatsache das es ohne Router auch nicht geht ?

Grüsse

 

[[Moepi]1]

Ich hab es mit XP nie realisiert, ich kann Dir nur sagen wie es prinzipiell unter Win2k3 funktioniert:

1) Dafür sorgen, dass der TCP 1723 weitergeleitet wird. (hast Du gemacht)
2) RRAS aktivieren und als VPN Server konfigurieren. (macht Windows, kannst Du kaum eingreifen)
3) Benutzeraccount erstellen (hast Du gemacht)
4) Über Accounteigenschaften oder Einwahlrichtlinien dafür sorgen, dass der Benutzer Einwahlrechte hat (wenn einstellbar, dann ggf. in der Gruppenrichtlinie; funktioniert in Win2k3 völlig anders)
5) Dafür sorgen, dass Server und Client mind. ein gemeinsames Authentifizierungsprotokoll (für PPTP MSCHAPv2) und mind. eine gemeinsame Schlüsselstärke (für PPTP MPPE, bei XP 128bit) unterstützen

Versuch mal am Router zusätzlich den TCP 47 weiterzuleiten. Als Du den Router weggelassen hast, hattest Du da noch ne FW an oder war der Computer nackt im Netz?

 

[Fireblade]

@ Moepi

Soweit alles verstanden, was Du aufgelistet hast.

Als der Router weg war, habe ich natürlich erstmal nur für den Einwahlversuch vom Kollegen die Firewall runtergefahren, sprich ausgestellt. Hat nicht gefunzt.

Ich werde es nochmal mit dem Port 47 TCP zusätzlich versuchen.

Ich bedanke mich ganz herzlich bei Euch beiden, Simon und Moepi.

Wenn es klappt, bringe ich einen abschließenden Post, ansonsten bin ich mit meinen bescheidenen Weißheiten am Ende.

Grüsse

 

[dw1dml]

Tja da kann ich nur eines sagen, nimm mindestens eine Zyxel Zywall, wenn du nur einen IPsec terminieren möchtest, dann reicht schon die kleinste (serverseitig), lade dir dazu von der draytek seite den gratis smart vpn client runter(clientseitig - geht für w2k,w2k3,winXP auch home), konfiguriere wie in der beschreibung und du hast deinen tunnel, installationszeit max 5 min pro seite !! LG TOm

 

[[Moepi]1]

Also das mim TCP 47 wiederrufe ich hiermit. Es handelt sich dabei nicht um den TCP Port 47 sondern um die Protokollnummer 47 des GRE Headers für PPTP Verbindungen. Wieder was gelernt...