20
Windows Server 2016 Standard - Essentials Rolle VPN
Hallo zusammen,
ich habe die Tage ein System aufgesetzt mit Windows Server 2016 Standard mit Essentials Rolle, damit ich einen gewünschten VPN Zugang habe, an dem ich eigentlich nicht mehr viel konfigurieren muss.
Der Windows Server 2016 Standard (192.168.57.11) ist auf einem Hyper-V Host.
IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
DNS-Server: 192.168.57.11
192.168.57.12
DHCP-Bereich: 192.168.60.1 - 192.168.60.200
Statischer IP-Bereich für VPN-Clients: 192.168.59.1 - 192.168.59.200
So jetzt habe ich leider das Problem, dass ich keine Verbindung in das Netz bekomme. Die VPN-Verbindung lässt sich problemlos aufbauen, aber ich bekomme keinen Zugriff in die Netzwerkstruktur, also kein Zugriff auf Server und Netzlaufwerke werden auch nicht verbunden.
Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
Ich würde mich sehr über eure Hilfe freuen.
Gruß Lukas
ich habe die Tage ein System aufgesetzt mit Windows Server 2016 Standard mit Essentials Rolle, damit ich einen gewünschten VPN Zugang habe, an dem ich eigentlich nicht mehr viel konfigurieren muss.
Der Windows Server 2016 Standard (192.168.57.11) ist auf einem Hyper-V Host.
IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
DNS-Server: 192.168.57.11
192.168.57.12
DHCP-Bereich: 192.168.60.1 - 192.168.60.200
Statischer IP-Bereich für VPN-Clients: 192.168.59.1 - 192.168.59.200
So jetzt habe ich leider das Problem, dass ich keine Verbindung in das Netz bekomme. Die VPN-Verbindung lässt sich problemlos aufbauen, aber ich bekomme keinen Zugriff in die Netzwerkstruktur, also kein Zugriff auf Server und Netzlaufwerke werden auch nicht verbunden.
Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
Ich würde mich sehr über eure Hilfe freuen.
Gruß Lukas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3110542716
Url: https://administrator.de/contentid/3110542716
Printed on: April 28, 2024 at 00:04 o'clock
20 Comments
Latest comment
Moin...
warum nutzt du deinen Router nicht als VPN Gateway!
Frank
warum nutzt du deinen Router nicht als VPN Gateway!
Frank
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
Frank
Frank
Zitat von @lukas0209:
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
... was ist daran schwer?Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
das wäre aber sicherer... was hast du den einegrichtet, PPTP, L2TP / IPsec oder SSTP?
Frank
Frank
Zitat von @Vision2015:
das wäre aber sicherer... was hast du den einegrichtet, PPTP, L2TP / IPsec oder SSTP?
Bei mir ist SSTP eingerichtetZitat von @lukas0209:
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
... was ist daran schwer?Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme. Darauf will ich nur im Ausnahmefall zurück greifen.
das wäre aber sicherer... was hast du den einegrichtet, PPTP, L2TP / IPsec oder SSTP?
Frank
Frank
Hi.
Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?
Verständnisfrage: Ist der Essentials mit AD Rolle ausgestattet? Wenn ja, warum ist dieser dann nicht auch DNS Server?
Gruß
Marc
Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?
Verständnisfrage: Ist der Essentials mit AD Rolle ausgestattet? Wenn ja, warum ist dieser dann nicht auch DNS Server?
Gruß
Marc
Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?
Frank
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?
Frank
Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme.
Eigentlich unsinnig. Zumindestens L2TP und IPsec IKEv2 bieten genügend Alternativen, denn fast alle Router und Firewalls supporten dies:PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sogar ein popeliger Raspberry Pi kann sowas:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Leider hast du ja oben nicht mitgeteilt WELCHES der Windows VPN Protokolle du verwendest. Wenn du natürlich das Windows proprietäre SSTP nutzt wird es dann schon deutlich enger mit der Router Auswahl.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Dieses Manko ist auch ein Grund warum eine zielführende Hilfe zu dem o.a. Problem in Kristallkugelei endet. Man muss ja so gut wie alles raten. ;-(
Protokoll, VPN Konfig, Firewall Konfig, VPN Log von Server und Client.
Wie bei Windows fast immer: Zu 98% ein Fehler in der lokalen Firewall Konfig. Aber auch das ist erstmal wegen fehlender Infos nur geraten.
Zitat von @radiogugu:
Hi.
Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?
Ist eine normale Fritzbox 7490Hi.
Was ist denn der geheimnisvolle Router? Wo sind denn da die Schwierigkeiten genau?
Verständnisfrage: Ist der Essentials mit AD Rolle ausgestattet? Wenn ja, warum ist dieser dann nicht auch DNS Server?
Gruß
Marc
Zitat von @Vision2015:
Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.Frank
Zitat von @aqui:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das müsste ich mir in Ruhe anschauen und die Hardware auch noch erweitern, ich würde schon gerne die integrierte Lösung nutzen.Weil ich das nicht so einfach in den Windows VPN-Client integriert bekomme.
Eigentlich unsinnig. Zumindestens L2TP und IPsec IKEv2 bieten genügend Alternativen, denn fast alle Router und Firewalls supporten dies:PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Sogar ein popeliger Raspberry Pi kann sowas:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Leider hast du ja oben nicht mitgeteilt WELCHES der Windows VPN Protokolle du verwendest. Wenn du natürlich das Windows proprietäre SSTP nutzt wird es dann schon deutlich enger mit der Router Auswahl.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Habe ich ja oben auf Nachfrage erwähnt, SSTP.IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Leider hast du ja oben nicht mitgeteilt WELCHES der Windows VPN Protokolle du verwendest. Wenn du natürlich das Windows proprietäre SSTP nutzt wird es dann schon deutlich enger mit der Router Auswahl.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Dieses Manko ist auch ein Grund warum eine zielführende Hilfe zu dem o.a. Problem in Kristallkugelei endet. Man muss ja so gut wie alles raten. ;-(
Protokoll, VPN Konfig, Firewall Konfig, VPN Log von Server und Client.
Server Log: "RoutingDomainID- {00000000-0000-0000-0000-000000000000}: CoId={CB8F2A7E-802E-0001-E62C-92CB2E80D801}: Die Verbindung des mit Port VPN2-11 verbundenen Benutzers xyz wurde getrennt, da keine Netzwerkprotokolle ausgehandelt werden konnten."
Wie bei Windows fast immer: Zu 98% ein Fehler in der lokalen Firewall Konfig. Aber auch das ist erstmal wegen fehlender Infos nur geraten.
Zitat von @lukas0209:
nun, viel ist das nicht...Zitat von @Vision2015:
Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
ja... 25/5 ist nicht vie, was hasz du erwartetl... also eigentlich fast alles richtig.mit SSTP arbeitet mit AES-256-Verschlüsselung, ist also langsam kein schnelles Protokoll für getunnelte und verschlüsselte Kommunikation.
VPN Router haben dazu besondere CPUs, die auf diese aufgaben getrimmt sind, dein server ist das nicht- und die DSL leitung ist dürftig! also eigentlich alles innerhalb der specs... kein fehler!
Frank
1Zitat von @Vision2015:
sorry, der satz gibt für mich keinen sinn... bitte was genau?
Wenn ich das Standardgateway im VPN aktiviere, geht ja der ganze E-Mail Verkehr über die VPN-Verbindung. So und wenn das jetzt alle Mitarbeiter machen könnte die Bandbreite zu gering sein und es dauert und dauert.Zitat von @lukas0209:
nun, viel ist das nicht...Zitat von @Vision2015:
Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
25 Mbit Download und 5Mbit Upload. Die mobilen Clients sind nicht das Problem.Moin...
Nachtrag... nach der Internet geschwindigkeit frage ich besser auch nicht (beide seiten)
was ist den langsam... etwa SMB über das VPN?
SMB wäre mir egal, nur wenn mehrere gleichzeitig arbeiten wird dann ggfs. der E-Mailverkehr zu hoch.Die VPN-Verbindung funktioniert nur, wenn ich den Haken bei "Standardgateway für das Remotenetzwerk verwenden" setze. Dann funktioniert alles, aber dafür ist die Internetgeschwindigkeit zu gering.
ja... 25/5 ist nicht vie, was hasz du erwartetl... also eigentlich fast alles richtig.mit SSTP arbeitet mit AES-256-Verschlüsselung, ist also langsam kein schnelles Protokoll für getunnelte und verschlüsselte Kommunikation.
VPN Router haben dazu besondere CPUs, die auf diese aufgaben getrimmt sind, dein server ist das nicht- und die DSL leitung ist dürftig! also eigentlich alles innerhalb der specs... kein fehler!
Was meinst du mit alles innerhalb der Specs?
Frank
Lukas
Moin..
hast du den keine"Host-to-Network" Verbindung eingerichtet?
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
als große lösung schlage ich einen ordentlichen VPN router vor, oder nutze von der fritte das VPN!
sach mal... was machst du mit einem /21 Netz? an deinem Serverchen wirst doch keine 2046 hosts dübeln wollen?!?!
arbeite lieber mit VLANs...
Frank
hast du den keine"Host-to-Network" Verbindung eingerichtet?
Was meinst du mit alles innerhalb der Specs?
na so wie ich das oben beschrieben habe!zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Add-VpnConnectionRoute -ConnectionName "MEIN SSTP VPN" -DestinationPrefix 192.168.57.0/24 als große lösung schlage ich einen ordentlichen VPN router vor, oder nutze von der fritte das VPN!
IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
sach mal... was machst du mit einem /21 Netz? an deinem Serverchen wirst doch keine 2046 hosts dübeln wollen?!?!
arbeite lieber mit VLANs...
Frank
2
Hallo zusammen,
mach VPN an den Router und gut ist es, das ist sauber umzusetzen und Dein Windows Server ist nicht
direkt im Internet zu erreichen.
Dobby
mach VPN an den Router und gut ist es, das ist sauber umzusetzen und Dein Windows Server ist nicht
direkt im Internet zu erreichen.
Dobby
1
Zudem SSTP ziemlich kontraproduktiv ist, da es den VPN Zugriffe einzig auf reine MS Geräte beschränkt und die VPN Nutzung unnötig einengt. Mit IPsec / L2TP wäre es zumindestens auch mit allen anderen Geräten Mac, Linux, Smartphones nutzbar.
Zu den sicherheitstechnischen Nachteilen ungeschützen Traffic ins lokale Netz auf einen Server zu leiten ist ja oben schon alles gesagt worden. Klingt wie schon die fragwürdige Subnetzmaske alles nach frickeliger Bastellösung...
da keine Netzwerkprotokolle ausgehandelt werden konnten."
Zeigt auch das der VPN Client falsch konfiguriert wurde und hier nicht SSTP als VPN Protokoll vorgegeben wurde.Zu den sicherheitstechnischen Nachteilen ungeschützen Traffic ins lokale Netz auf einen Server zu leiten ist ja oben schon alles gesagt worden. Klingt wie schon die fragwürdige Subnetzmaske alles nach frickeliger Bastellösung...
1
@Vision2015
@lukas0209
Gruß,
Dani
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Achtung. Das hängt davon ab, ob der TO noch Direct Access oder AlwaysON VPN einsetzt. Wird AON VPN eingesetzt, sollte die Route auch über dessen Konfiguration verteilt werden. Denn spätestens, wenn in einem anderen, fremende Netzwerk das gleiche der kleiner Subnetz zum Einsatz kommt und das Gerät sich dort im Netzwerk verbindet, ist das Chaos vorprogrammiert.@lukas0209
amit ich einen gewünschten VPN Zugang habe, an dem ich eigentlich nicht mehr viel konfigurieren muss.
Handelt es sich hierbei um Direct Access oder AlwaysOn VPN?Gruß,
Dani
Zitat von @Vision2015:
Moin..
hast du den keine"Host-to-Network" Verbindung eingerichtet?
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Danke, nur leider funktioniert das auch nicht immer...Moin..
hast du den keine"Host-to-Network" Verbindung eingerichtet?
Was meinst du mit alles innerhalb der Specs?
na so wie ich das oben beschrieben habe!zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Add-VpnConnectionRoute -ConnectionName "MEIN SSTP VPN" -DestinationPrefix 192.168.57.0/24 als große lösung schlage ich einen ordentlichen VPN router vor, oder nutze von der fritte das VPN!
IPv4-Maske: 192.168.56.0
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
Subnetzmaske: 255.255.248.0
Gateway: 192.168.56.1
sach mal... was machst du mit einem /21 Netz? an deinem Serverchen wirst doch keine 2046 hosts dübeln wollen?!?!
arbeite lieber mit VLANs...
Frank
Zitat von @aqui:
Zudem SSTP ziemlich kontraproduktiv ist, da es den VPN Zugriffe einzig auf reine MS Geräte beschränkt und die VPN Nutzung unnötig einengt. Mit IPsec / L2TP wäre es zumindestens auch mit allen anderen Geräten Mac, Linux, Smartphones nutzbar.
Das ist mir ziemlich egal, da sowieso nur Windows Geräte eingesetzt werden. Bisher kam noch keiner auf die Idee Linux einzusetzen.Zudem SSTP ziemlich kontraproduktiv ist, da es den VPN Zugriffe einzig auf reine MS Geräte beschränkt und die VPN Nutzung unnötig einengt. Mit IPsec / L2TP wäre es zumindestens auch mit allen anderen Geräten Mac, Linux, Smartphones nutzbar.
da keine Netzwerkprotokolle ausgehandelt werden konnten."
Zeigt auch das der VPN Client falsch konfiguriert wurde und hier nicht SSTP als VPN Protokoll vorgegeben wurde.Zu den sicherheitstechnischen Nachteilen ungeschützen Traffic ins lokale Netz auf einen Server zu leiten ist ja oben schon alles gesagt worden. Klingt wie schon die fragwürdige Subnetzmaske alles nach frickeliger Bastellösung...
Da ich das alles über den Assistenten von der Essentials Rolle einrichten lassen habe.Das Subnetz ist relativ groß, dass weiß ich.
Zitat von @Dani:
@Vision2015
Ne es wird nur ein ganz normales VPN eingesetzt. Kein Always On VPN oder DirectAccess.@Vision2015
zu deinem Problem, als kleine lösung kannst du dir ja eine route zum VPN anlegen.
Achtung. Das hängt davon ab, ob der TO noch Direct Access oder AlwaysON VPN einsetzt. Wird AON VPN eingesetzt, sollte die Route auch über dessen Konfiguration verteilt werden. Denn spätestens, wenn in einem anderen, fremende Netzwerk das gleiche der kleiner Subnetz zum Einsatz kommt und das Gerät sich dort im Netzwerk verbindet, ist das Chaos vorprogrammiert.Gruß,
Dani
Hallo zusammen,
der Großteil der VPN funktioniert nun.
Das einzige Problem was jetzt noch vorhanden ist, ist das die ersten Sekunden nachdem man sich über die Windows VPN angemeldet hat, die Domäne nicht verfügbar ist, obwohl ich die Domäne und die Domänencontroller erreichen kann.
Ich bekomme einmal die Meldung das keine Anmeldeserver erreichbar sind und dazu sind die gemappten Netzlaufwerke( mit Domänennamen) nicht erreichbar. Nach ca. 30 Sekunden geht dann alles problemlos.
Hat wer eine Idee??
Gruß Lukas
der Großteil der VPN funktioniert nun.
Das einzige Problem was jetzt noch vorhanden ist, ist das die ersten Sekunden nachdem man sich über die Windows VPN angemeldet hat, die Domäne nicht verfügbar ist, obwohl ich die Domäne und die Domänencontroller erreichen kann.
Ich bekomme einmal die Meldung das keine Anmeldeserver erreichbar sind und dazu sind die gemappten Netzlaufwerke( mit Domänennamen) nicht erreichbar. Nach ca. 30 Sekunden geht dann alles problemlos.
Hat wer eine Idee??
Gruß Lukas