[2008] Server laat filesharing niet door via VPN

Hey GoT's,

Ik ben al enige tijd bezig met het opzetten van een server. Alles lukt ongeveer wel op 1 ding na en dat is VPN.
Ik wil vanuit een extern netwerk de shares op de Windows SBS 2008 server benaderen. Om te beginnen heb ik RRAS geconfigureerd met een static addresspool. Daarnaast heb ik een PPTP verbinding opgezet met de username en password van een domeinuser. Ik krijg netjes een ip-adres van de server via VPN en kan de server zelfs pingen op het server-ipadress dat bij de VPN verbinding staat. Echter kan ik de shares van de server niet benaderen. Na 20 seconden zoeken geeft de client de melding dat er geen verbinding gemaakt kan worden.

Ik heb de firewall van de 2008 server en client al uitgezet dus daar moet het niet aan kunnen liggen.
De domeinuser waarmee ik via VPN inlog heb ik toegevoegd aan de groep VPN Gebruikers.

Iemand enig idee wat ik nog mis ?

EDIT: Ik kan nadat ik de vpn verbinding tot stand heb gebracht de server vervolgens wel benaderen via Remote Desktop. Het is dus alleen filesharing dat niet wordt toegestaan.

[ Voor 9% gewijzigd door Verwijderd op 07-04-2010 11:16 ]

LuckY schreef op woensdag 07 april 2010 @ 11:17:
Hoe benader je de share?
Via FQDN?
Via ip ?
Via Netbios?
Vraag je de directe share op of dat niet?
Kan je de share wel mounten?

Via naam: \\Fileserver (werkt niet)
Via IP: \\192.168.1.100 (server-vpn-ip) (werkt niet)
Via: \\192.168.1.100\Documenten (werkt niet)
Kan de share niet mounten.
Raar dat dit allemaal niet lukt maar ik wel gewoon bij MSTSC het IP 192.168.1.100 in vul en kan inloggen via Remote Desktop. Het zit hem dus echt in de filesharing.

LuckY schreef op woensdag 07 april 2010 @ 12:05:
Toevallig een acl op de vpn die SMB blokt?

Ik heb hem niet ingesteld maar waar kan ik zien of er een ACL op de VPN staat?

ThePrutser schreef op woensdag 07 april 2010 @ 12:07:
Iets dergelijks heb ik ook bij een klant gehad; kon geen verbinding maken met Exchange dmv Outlook 2007, drive mappings naar server werkte niet, kon de server wel pingen.

De oplossing in mijn geval vond ik enigszins vreemd. Bij de TCP/IP properties van de VPN verbinding op client, "advanced", "DNS" tab, en dan bij "DNS Suffix for this connection:" de interne domein naam invullen. Opnieuw verbinding maken en het werkte bij mij, ik had echt zoiets van

Wie weet werkt dit ook bij jou?

Ik heb het geprobeert met domein.local en zonder .local maar beide werkt niet.

ThePrutser schreef op woensdag 07 april 2010 @ 13:19:
Heb je de VPN handmatige geconfigureerd op de SBS 2008 server, of heb je de wizards van SBS gebruikt vanuit de windows sbs console?

Ik heb gedaan:
RRAS geopend
Routing en RRAS configureren en inschakelen
Klik op Volgende
Bovenste optie "Externe toegang (inbellen of VPN)
Alleen VPN aangevinkt + volgende
Interface geselecteerd die in gebruik is en aan het internet hangt + vinkje uit van interface beveiligen
Adresbereik handmatig opgeven en wizard afsluiten.
Dit alles binnen RRAS

Arcesilaus schreef op woensdag 07 april 2010 @ 13:25:
Welk OS gebruik je als client?

Heb iets soortgelijks gezien met Windows 7 en 2003 server.
Weet dus niet of dit hier ook het geval is, maar kijk eens hier.

Meer uitleg staat hier.

Als client gebruik in Windows 7 maar heb zojuist ook even een Windows XP machine en een Windows Vista machine geprobeerd. Alle machines kunnen de server na de VPN verbinding via HTTP en RDP benaderen maar niet via SMB.

ThePrutser schreef op woensdag 07 april 2010 @ 15:21:
Gebruiker moet in ieder geval lid zijn van:
Windows SBS Virtual Private Network Users

Wat eventueel nog in de weg kan zitten is NAP en dat je vpn client momenteel in een quarantine status zit en dus geen SMB verbindingen kan maken over de VPN.

Om NAP uit te schakelen moet je de VPN role van je server verwijderen en vervolgens VPN nogmaals configureren via de SBS console.

Gebruikers zijn inderdaad lid van Windows SBS VPN Gebruikers.
Dat NAP verhaal klinkt goed en wil ik proberen.
Hoe verwijder ik de VPN role ? Via serverbeheer kan ik hem niet vinden.

ThePrutser schreef op woensdag 07 april 2010 @ 15:35:
Omdat ik de gevolgen voor je SBS server niet kan overzien. Had ik deze regel net verwijdert:
Om NAP uit te schakelen moet je de "Network Policy and Access Services" role via "Remove Roles" in "Server Manager" van je server verwijderen en vervolgens VPN nogmaals configureren via de SBS console.

Is het nog een test server, dan kun je bovenstaande proberen. Bij een productie server zou ik hier wat voorzichter mee zijn...

Het is al een productieserver. Server gaat a.s. zaterdag online en dit is het laatste puntje wat nog niet werkt.

ThePrutser schreef op woensdag 07 april 2010 @ 15:54:
Je kunt natuurlijk ook de NAP policy aanpassen.
Open onder administrative tools "Network Policy Server"
Ga naar "Network Access Protection", "System Health Validators"
Dubbelklik op "windows security health validator" en klik op "configure". Nu kun je twee dingen doen, of er voor zorgen dat de clients die een VPN verbinding maken voldoen aan de gestelde opties (meest veilig) of je schakelt hier alle opties uit zodat een client (eerder) toegelaten wordt (minst veilig).

CORRECTIE
Kijk onder policies "health policies" eerst of er policy bestaat. Het nu doorgestreepte wordt namelijk gebruikt in een dergelijke policy. Sorry voor deze verwarring, zovaak heb ik NAP nog niet ingezet... (slechts 2x en niet op SBS)

AANVULLING
Controleer ook onder "Network Policies", "Virtual Private Network (VPN) Access Policy" of er bij "NAP enforcement" -> "Allow full network access" staat

Ik heb de nederlandse versie maar er staat inderdaad al NAP Afdwingen: Volledig netwerktoegang toestaan.
Zijn er misschien andere mogelijkheden om de files te benaderen voor externe VPN gebruikers, bijv. via een Remote Web Workplace ofzoiets. Heb niet echt het idee dat dit gaat werken.

Kan het nog aan het protocol liggen, oftewel dat L2TP bijv. wel werkt ?