[2000] Terminal server sessies over vpn worden afgebroken*

Wij hebben verschillende thuiswerkers die dmv een VPN verbinding een Terminal sessie opbouwen.
VPN aanvraag komt bij ons binnen op de firewall (astaro), deze wordt doorgezet naar een server (2k) waar een VPN host op draait, VPN verbinding maken is nooit een probleem.
Als de VPN verbinding is gemaakt is het de bedoeling dat de thuiswerkers via Terminal Server gaan werken, dit gaat weer via een andere server. Ze werken dan met Word, Exel, en outlook, ook regelmatig grote bestanden.
Nu is het zo dat als de thuiswerkers een Terminal sessie hebben opgebouwd, de Terminal sessie regelmatig wordt verbroken, worden er dus gewoon uitgeknikkerd.

We denken zelf dat dit komt doordat ze buiten terminal server om, email en/of bestanden proberen binnen te halen, zo dat de lijn dermate bezet word dat er geen bandbreedte meer beschikbaar is voor andere TS werkers.
Op het moment dat ze eruit worden geknikkerd is er namelijk bijna geen HTTP verkeer intern, maar wel enorm veel PPTP verkeer, en TS gebruikt volgens mij niet zoveel

We maken gebruik van een 1024:1024 internetlijn, zou volgens mij wel voldoende moeten zijn.

Zou het niet mogelijk zijn om bijvoorbeeld VPN gebruikers alleen maar via TS te laten werken, en nergens anders meer bij kunnen oid?

Er zijn ongeveer 5 thuiswerkers waarvan maximaal 3 actief, en nog geeft dit problemen.

Een ander advies of oplossing waarom de Terminal sessie wordt verbroken is ook welkom

Op de TS zelf is niets te vinden wat betrekking heeft tot foutmeldingen, in de eventlog oid.

Dit is niet altijd het geval, maar is wel een van de oorzaken/

Als een gebruiker een VPN verbinding gaat opbouwen met een Terminal sessie kan ik ook in een grafiekje van de firewall zien dat de verbruikte bandbreedte van PPTP verkeer het maxium is, neemt de volle bandbreedte in beslag, volgens mij zou dit niet mogen, gebruiker maakt VPN verbinding en als het goed is gelijk inloggen op terminal server, meestal lukt dit ook wel, dat is het verbruikte bandbreedte minium, maar heel vaak zit er een gigantische piek in, hoe dit kan???

Tnx voor de links, ga ze even bekijken

Verwijderd schreef op vrijdag 22 april 2005 @ 09:58:
Normaal kun je bij de router ook de bandbreedte van de VPN sessie kunnen beperken.

Zoals je zelf zegt heeft TS niet zoveel bandbreedte nodig. Echter als de gebruikers thuis via de TS-sessie printen of bestanden over de VPN kopieren zal dat de gehele beschikbare bandbreedte pakken.

Dus in de oplossing zou kunnen zijn om alles, behalve de TS te blokkeren?
VPN gebruikers kunnen dan alleen nog via terminal server werken, en geen bestanden kopieeren oid.

De VPN server staat nu zo ingesteld dat de IP adressen voor VPN worden gegeven door onze DHCP server, volgens mij kan ik dan bepaalde IP adressen voor VPN gebruikers reserveren en via IP routing oid doorsluizen naar onze TS?

Ik heb het neergezet en nu nog proberen, tnx

Ik post nog of het geluktt is.

Het werkt helaas niet, probleem blijft nog steeds hetzelfde...

Nee, nog niet geprobeerd, zal even uitzoeken hoe ik dat precies kan regelen

The Real Falcon schreef op dinsdag 26 april 2005 @ 09:33:
Topic starter heb je nu ook al geprobeerd om alleen poort 3389 open te zetten op de VPN verbinding?

Gedaan, probleem is echter nog steeds dat gebruikers regelmatig worden verbroken, al is er 1 client, 2 of 3, regelmatig wordt de verbinding verbroken, er zit echter geen enkele lijn in, wel is de bandbreedte bijna in vol gebruik, soms in HTTP, SMTP of andere protocollen.
Zodra bandbreedte (1024) bijna vol in gebruiks is wordt hun verbinding verbroken.

Nog meer nuttige tips?

richardkraal schreef op dinsdag 03 mei 2005 @ 10:01:
[...]


QoS?

Is inderdaad een oplossing, er draait ook Astaro firewall waar dat in geregeld zou moeten kunnen worden, dit werkt echter niet, VPN verkeer geef je voorang boven alles, en HTTP verkeer krimp je in en nog blijft het probleem, dan zou je zoiets moeten hebben als packeteer maar dat is erg prijzig...

Nog een kickje.
We maken gebruik van Astaro security linux firewall die fungeert als proxy, hierin zou er QOS moeten zitten.
Ik heb een service VPN aangemaakt met poort 1723 en deze volledig voorang op alles gegeven.
HTTP verkeer over poort 80 staat op lage prioriteit.
Echter, als er intern iemand gaat downloaden, wordt de volle bandbreedte getrokken, en is er geen bandbreeddte voor VPN verkeer zodat deze gebruikers worden verbroken.
Iemand een idee om dit op te lossen?

VPN:
Aanvraag komt binnen op Firewall, wordt gelijk doorgelust naar de RRAS server met win2k server, dit is een DC met AD, authenticatie loopt ook via AD, dan kan er een connectie naar onze terminal server worden gemaakt (niet dezelfde als RRAS) waar de gebruikers op kunnen werken.
De gebruikers worden echter nog steeds uit terminal server gegooid als er intern veel HTTP verkeer is.

[ Voor 30% gewijzigd door Ora et Labora op 10-06-2005 16:33 ]