SnakeSanders Geschrieben 20. Oktober 2004 Geschrieben 20. Oktober 2004 Hallo. Ich will mich per VPN mit einem Netzwerk verbinden. Das Netzwerk hat einen W2K3-Server und ist über einen D-Link DI-604 mit dem Internet verbunden. Auf dem Server ist ein VPN-Server eingerichtet (Windows-Bordmittel). Auf dem Router werden die Ports 1723 und 500 zum Windos-Server durchgeleitet. Innerhalb des Netzwerkes kann ich eine VPN-Verbindung zum Server herstellen, von ausserhalb funktioniert es nicht. Wenn ich die VPN-Verbindung extern starte, erscheint ganz kurz 'Verbindung wird hergestellt ...' aber dann bleibt er bei 'Benutzername und Kennwort werden verifiziert ...' hängen. Anschliessend erscheint die Meldung 'Der Remotecomputer antwortet nicht (Fehler 721)'. Beim Einrichten des VPN-Servers kann man bestehenden Windows- Benutzern die Erlaubnis zum Zugriff zuteilen. Ich habe dem Domänen- admin Zugriff gestattet. Könnte das evtl. ein Problem sein (beim internen Zugriff klappt es mit ihm)? Sollte ich evtl. einen separaten VPN-User einrichten? Muss ich im Router, ausser den beiden Ports noch etwas aktivieren? Da 'Verbindung wird hergestellt ...' beim Einwählen sofort verschwindet, denke ich, dass er den Router erreicht, aber dann nicht zum Server weitergeleitet wird. Jemand eine Idee? :confused: Snake Zitieren
janlutmeh Geschrieben 20. Oktober 2004 Geschrieben 20. Oktober 2004 AFAIK unterstützt der DI-604 kein VPN-Passtrough. So, nochmal editiert. Dafür machste ja die Ports auf. Wie läuft denn die Anmeldung/Authentifizierung? Da scheint er ja das Problem zu haben. Ansonsten gibts hier vielleicht auch noch ein paar kleine infos. Zitieren
SnakeSanders Geschrieben 20. Oktober 2004 Autor Geschrieben 20. Oktober 2004 Auszug aus dem datasheet: ... Network Security The DI-604 provides NAT protection for your office and home users from Internet intruders and hacker attacks, plus VPN pass-through for extra security. It blocks and re-directs certain ports to limit the services that outside users can access your network. Virtual Server Mapping is used to re-task services to multiple servers. The DI-604 can be set to allow separate FTP, Web, ... Muss man evtl. den passthrough im Router separat aktivieren oder reicht es die ports durchzuleiten? Zitieren
janlutmeh Geschrieben 20. Oktober 2004 Geschrieben 20. Oktober 2004 Eigentlich sollte er für passthrough konfiguriert werden. Das Portforwarding nutzt man ja normal wenn er das passthrough nicht unterstützt. Zitieren
D-Styles Geschrieben 20. Oktober 2004 Geschrieben 20. Oktober 2004 soweit ich weiß, muss dein Router das gre protokoll routen können. Der Control channel ist eine standard TCP Verbindung zum Port 1723 auf dem Server. Der data channel nutzt GRE (General Route Encapsulation) auf Port 47 vpn fähig heißt bei routern auch oft, daß der server in einer dmz stehen muss. allerdings steht er dann halt völlig ungeschützt im internet. Zitieren
hades Geschrieben 20. Oktober 2004 Geschrieben 20. Oktober 2004 VPN mit PPTP: Port 1723 TCP GRE VPN mit L2TP: 500 UDP 1701 UDP 4500 UDP Zitieren
SnakeSanders Geschrieben 21. Oktober 2004 Autor Geschrieben 21. Oktober 2004 Danke für die Hinweise! Mein Problem ist, dass der DI-604 keinerlei Einstellungsmöglichkeiten für das GRE-Protokoll bietet. Ich könnte zwar den Port 47 durchleiten, aber das würde sich nur auf TCP/UDP beziehen. Zitieren
hades Geschrieben 21. Oktober 2004 Geschrieben 21. Oktober 2004 GRE hat keine Portnummern! GRE ist wie TCP und UDP ein Protokoll, was mit IP transportiert werden kann, und hat die Protokoll-Nr. 47. D.h. wenn Du VPN mit PPTP nutzen willst, schalte den Port 1723 TCP frei und such nach der Einstellung GRE oder, wenn GRE nicht namentlich aufgefuehrt ist, in den Einstellungen bei other Protocols. Dort dann die Protokoll-Nr. 47 eingeben. siehe auch http://www.iana.org/assignments/protocol-numbers (Protokoll-Nummern) siehe auch http://www.iana.org/assignments/port-numbers (Port-Nummern) Zitieren
SnakeSanders Geschrieben 25. Oktober 2004 Autor Geschrieben 25. Oktober 2004 Hi. Mit dem Di-604 ist es meines Erachtens nicht möglich eine VPN-Verbindung aufzubauen. Anscheinend lässt der Router die Anmeldeinformationen nicht korrekt durch, so dass keine Anmeldung am VPN-Server möglich ist. Falls irgendjemand es schon einmal geschafft hat mit dem DI-604 eine Verbindung aufzubauen, wäre ich sehr an einer Anleitung interessiert. Ansonsten schönen Dank für Eure Hilfe! Snake Zitieren
dieterds Geschrieben 25. Oktober 2004 Geschrieben 25. Oktober 2004 Na aber sicher ist das möglich. Jedoch musste ich 2 Ports manuell weiterleiten auf den entsprechenden PC. Den einen TCP, den anderen UDP. 1723 TCP 500 UDP 4500 UDP waren das glaube ich. Zitieren
SnakeSanders Geschrieben 25. Oktober 2004 Autor Geschrieben 25. Oktober 2004 Mann Dieter, Du meinst ich soll die Leiche noch einmal ausbuddeln :marine Die Ports habe ich natürlich durchgeleitet, allerdings kann ich das GRE- Protokoll nicht explizit auswählen (UDP und TCP übrigens auch nicht). Ich habe einen DI-604/B2 mit Firmware 1.82b. Mit anderen Modellen (u.a. DI-604/D1) hat man mehr Konfigurationsmöglichkeiten. Hast Du evtl. ein D-Modell (steht unten drunter). Wenn auch Du ein B-Modell hast: - Was für einen VPN-Server nimmst Du? - Auf welchem OS läuft der VPN-Server? - Welche Art VPN ist eingerichtet (IPSEC oder PPTP)? - Hast Du einen eigenen VPN-Benutzer angelegt? - Kannst Du mir einen Screenshot der VirtualServer- Einstellungen im Router schicken? mfG Snake Zitieren
D-Styles Geschrieben 26. Oktober 2004 Geschrieben 26. Oktober 2004 ipcop (router ähnlich dem fli4l) kann gre routen für fli4l gibt es übrigens auch ein opt paket um gre zu routen. Zitieren
SnakeSanders Geschrieben 26. Oktober 2004 Autor Geschrieben 26. Oktober 2004 Hi D-Styles. Klar könnte ich meinen Router wegtun, einen Rechner aufstellen, Linux-Routersoftware aufspielen, das Ding Tag und Nacht ballern lassen, mir einen zusätzlichen Switch kaufen und auch evtl. damit glücklich werden. Will ich aber doch gar nicht! Nicht falsch verstehen, aber nur Schlagwörter hier reinzurufen bringt uns auch nicht weiter. :floet: Trotzdem Danke. Snake :floet: Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.