[Win2008] VPN - wel verbinden, geen toegang tot netwerk - Serversoftware en clouddiensten

donderdag 6 december 2012 13:51

Acties:

Ja, en kaal

Topicstarter

Ik heb in Windows 2008 R2 een supersimpele VPN server gebouwd. Niets speciaals aan, alle instellingen zijn default. De server heeft één netwerkkaart en poort 1723 is als enige poort naar die server geforward.

De client is Windows 7, en ik heb een nieuwe verbinding opgezet met alle settings default.
Gevolg: hij verbindt wel, maar ik kan niet bij m'n netwerk

Ok, nu wat meer details.
De server zit in 192.168.10.0, en de client krijgt ook een 192.168.10.x adres. De rest van het netwerk zit ook in 192.168.10.0. De rest van het netwerk is vanaf de server gewoon bereikbaar.

Vanaf de client pingen naar het IP-adres van de server werkt al niet (timeout). Pingen naar een ander IP-adres op het netwerk werkt ook niet. Het helpt ook niet of ik op de client het "default gateway" vinkje uitzet in de properties van de verbinding.

Ik weet eigenlijk niet hoe nu verder. Ik weet niet eens waar ik moet beginnen... Zo gedreven ben ik er ook weer niet mee. En in NPA zitten zoveel opties dat ik bang ben dat als ik daaraan ga rommelen, dan ik meer kapot maak dan dat ik fix.

Mijn doel is een simpele VPN, waar ik gewoon naartoe connect en m'n internetverkeer erdoorheen kan persen, maar óók het lokale netwerk (waar de server in hangt) kan banderen, het liefst op computernamen, maar in elk geval op IP-adres.

Wie helpt me verder?

日本！🎌

donderdag 6 december 2012 15:04

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Op mijn werk heb ik hier ook mee zitten rommelen voor een tijd. Ik zal, als ik er aan denk, vanavond even nagaan hoe ik het destijds gedaan heb. Kan je ondertussen nagaan of je de juiste rollen en eventuele features hebt toegevoegd? Dit is bij mij RRAS met NPS (voor auth), Remote Access en Routing. De wizard doorlopen en het werkte eigenlijk gelijk.

Draai je je server in een VM?

Commandline FTW | Tweakt met mate

donderdag 6 december 2012 15:26

Acties:

_Thanatos_

Ja, en kaal

Topicstarter

Ja, RRAS met NPS inderdaad, maar ik heb niet helemaal de wizard kunnen doorlopen, omdat ie dan per se twee nics nodig heeft. De server draait in VMware ESXi 5 (dus ja, een VM

) dus op zich is een tweede nic toevoegen geen enkel probleem. Alleen zag ik er niet echt het nut van in, omdat de VPN en het lokale netwerk op hetzelfde subnet zitten én de fysieke server ook maar 1 nic heeft.

Zou het zin om 2 virtuele nics te proberen? Dat ga ik dat vanavond eens uittesten.

[ Voor 3% gewijzigd door _Thanatos_ op 06-12-2012 15:27 ]

日本！🎌

donderdag 6 december 2012 16:05

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Hoe test je precies? Je geeft aan dat je wel verbindt, maar geen systemen kunt pingen. Niet toevallig gewoon de windows firewall die ICMP blokkeert?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 6 december 2012 16:09

Acties:

Hero of Time

Moderator LNX

There is only one Legend

De wizard kan je prima doorlopen, je moet alleen aangeven dat je een aangepaste configuratie wilt. Staat op Google!

En de firewall is het eerste idd. Verder kijken naar de VM tools. Ik had met XenServer dat de tools VPN routing sloopte. Een update heeft dat opgelost, anders was het iets van TCP/UDP checksum verifiy uitschakelen oid. Vond ik ook met Google.

Commandline FTW | Tweakt met mate

donderdag 6 december 2012 16:12

Acties:

Verwijderd

server 2008R2 heeft standaard "ping" geblokkeerd.
Je kunt de server dus niet pingen, en de server blokkeerd ook de andere ping verzoeken, dat moet je dus sowieso handmatig open zetten

donderdag 6 december 2012 18:22

Acties:

marc181982

zoek eens op : Server 2008 R2 PPTP VPN With 1 NIC

zie video :

YouTube: Server 2008 R2 PPTP VPN With 1 NIC

[ Voor 52% gewijzigd door marc181982 op 06-12-2012 22:22 ]

vrijdag 7 december 2012 01:34

Acties:

_Thanatos_

Ja, en kaal

Topicstarter

Hoe test je precies? Je geeft aan dat je wel verbindt, maar geen systemen kunt pingen. Niet toevallig gewoon de windows firewall die ICMP blokkeert?

Pingen leek me het meest elementaire dat moet werken, maar ik heb ook \\nas geprobeerd, wat vanaf een normale client (binnen het netwerk dus) prima werkt. Die nas is dus een andere (linux-based) bak dan de vpn-server. Niet virtueel ook.

En de firewall is het eerste idd.

Neh, ik kan de vpn-server en alle andere devices in m'n netwerk prima van binnen het netwerk pingen. Of is het de vpn-server die pings alleen blokkeert als ze door de vpn-tunnel heen komen? Nouja, dan werkt \\nas ook nog steeds niet, dus ik denk niet dat ICMP-blokkade de root van het probleem is.

server 2008R2 heeft standaard "ping" geblokkeerd.

Zelfde verhaal

zie video

Ik heb precies gedaan zoals in dat filmpje. Enige verschil is dat ik DHCP gebruik, en de maker van het filmpje een static IP-range toewijst.

/edit
Weeeeird, ik weet niet of het altijd al zo was, maar ik zie nu dat een verbonden client opeens het IP-adres van de interface "Internal" krijgt zoals die in RRAS staat, maar ook het subnetmasker 255.255.255.255 en géén default gateway

/edit2
Ok, dat zal wel zo horen dan... Ik heb nu toch maar een static IP-range opgegeven, en wel in het subnet 192.168.20.0 (m'n netwerk zit in 192.168.10.0). Het werkt nu al beter. Ik kan servers in het netwerk pingen en benaderen. Maar ik heb nu weer geen internet door de VPN heen... Hoe regel ik dat?

[ Voor 21% gewijzigd door _Thanatos_ op 07-12-2012 02:30 ]

日本！🎌

vrijdag 7 december 2012 08:47

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Je kan shares alleen benaderen via hun IP adres, niet de NETBIOS naam die je probeerde voor je NAS (\\nas).

Er moet geen verschil zijn tussen het gebruik van de DHCP role en een statisch toegewezen reeks voor de VPN clients. Nu je met een static range wat effect hebt, kan je met je DHCP range 't proberen. Je moet wel zorgen dat je ongeveer 10 adressen in je DHCP beschikbaar hebt voor RRAS.

Net even getest met een VM van kantoor naar de DC en default gateway aan in Properties > Networking > TCP/IP version 4 > Advanced > IP settings: Use Default Gateway on Remote Network. Een tracert laat zien dat 't werkt, terwijl de status niet aangeeft dat er een gateway is opgegeven, net als een ipconfig.

Commandline FTW | Tweakt met mate

vrijdag 7 december 2012 08:56

Acties:

Turdie

Als je dingen op naam wil benaderen zoals \\nas moet je ook de DNS server meegeven in de TCP properties van RRAS:
Configure TCP/IP on the RRAS Server

Maar RRAS is een beetje oud, ik zou gaan voor DirectAccess dat maakt VPN echt makkelijker voor je gebruikers. Het voordeel van DirectAccess is dat de VPN meteen opgestart is al voordat de gebruiker zijn gebruikersnaam en wachtwoord intoetst als hij een Windows systeem opstart. En gaat over SSL, geen poort 1723 meer open zetten enzo in je firewalls.

[ Voor 26% gewijzigd door Turdie op 07-12-2012 08:59 ]

vrijdag 7 december 2012 08:59

Acties:

Hero of Time

Moderator LNX

There is only one Legend

shadowman12 schreef op vrijdag 07 december 2012 @ 08:56:
Maar RRAS is een beetje oud, ik zou gaan voor DirectAccess dat maakt VPN echt makkelijker voor gebruikers. Het voordeel van DirectAccess is dat de VPN meteen opgestart als voordat de gebruiker zijn gebruikersnaam en wachtwoord intoetst als hij een Windows systeem opstart.

Leuk en aardig, maar dat is een feature van Windows Server 2012 icm Windows 8. Het gaat hier om Windows Server 2008 R2, die heeft geen DAS. De client is tevens Windows 7, dus ook geen support voor.

Commandline FTW | Tweakt met mate

vrijdag 7 december 2012 09:00

Acties:

Turdie

Hero Of Time schreef op vrijdag 07 december 2012 @ 08:59:
[...]

Leuk en aardig, maar dat is een feature van Windows Server 2012 icm Windows 8. Het gaat hier om Windows Server 2008 R2, die heeft geen DAS. De client is tevens Windows 7, dus ook geen support voor.

Windows Server 2008 R2 en Windows 7 ondersteunen ook DirectAccess:
Windows 7 DirectAccess Explained

Technical Overview
DirectAccess Technical Overview for Windows 7 and Windows Server 2008 R2

In Windows 7 en Windows Server 2008 R2 is DirectAccess geintroduceerd, en in Windows Server 2012 is het doorontwikkeld.

[ Voor 37% gewijzigd door Turdie op 07-12-2012 09:05 ]

vrijdag 7 december 2012 09:29

Acties:

alt-92

ye olde farte

*kuch*
DA in een 2008R2 netwerkje vereist wel wat meer aandacht aan je setup dan dat een korte blurb even laat doorschijnen.
Ik gebruik 2012 based DA voor downlevel clients (Win7) zelf, maar het lijstje op http://technet.microsoft.com/en-us/library/hh831416.aspx vond ik een prima reden om niet eens meer aan 2008R2 DA te beginnen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 7 december 2012 09:37

Acties:

Hero of Time

Moderator LNX

There is only one Legend

DA klinkt idd erg mooi, maar op 't linkje van alt-92 zie ik dit staan, wat mij erg tegen staat:

RRAS in Windows Server 2008 R2 cannot coexist on the same edge server with DirectAccess, and must be deployed and managed separately from DirectAccess.

Bij 2012 is dat samengevoegd en geen probleem. Voor mij is het suckage, want ik gebruik zelf Linux en dan ben ik afhankelijk van RRAS, waardoor we geen DA kunnen gebruiken. En upgraden naar 2012 doen we nog even niet (we zitten nog geen 2 jaar op R2).

Wel een mooi overzicht.

Commandline FTW | Tweakt met mate

vrijdag 7 december 2012 10:18

Acties:

Turdie

Het zal inderdaad wat meer moeite kosten om het initeel op te zetten en te installeren, maar geloof me als het eenmaal werkt, werkt het echt super in vergelijking met RRAS. Ik had bijvoorbeeld een laptop met DA, en die was domain joined, zodra ik hem opstarte vanuit huis, was ik meteen op het domein ingelogd zonder enige vpn op te starten (en ook GPO's en SCCM advertisements kwamen netjes binnen)

En inderdaad alt-92, in Windows Server 2012 zijn de handmatige configuraties die DA in Server 2008 R2 had, allemaal netjes in wizards gebouwd.

[ Voor 60% gewijzigd door Turdie op 07-12-2012 10:22 ]

vrijdag 7 december 2012 12:56

Acties:

_Thanatos_

Ja, en kaal

Topicstarter

En DirectAccess werkt niet in andere standaard VPN clients, zoals Android.

Maargoed, terug naar het probleem

shadowman12 schreef op vrijdag 07 december 2012 @ 08:56:
Als je dingen op naam wil benaderen zoals \\nas moet je ook de DNS server meegeven in de TCP properties van RRAS:
Configure TCP/IP on the RRAS Server

Dit beschrijft toch alleen maar dat je de VPN-server een statisch IP-adres moet geven? Dat heb ik. En default gateway staat gewoon goed ingesteld. Wordt gewoon niet doorgegeven.

Let wel trouwens, de IP-adressen die ik statisch heb ingevuld, zitten in 192.168.20.0, terwijl m'n netwerk in 192.168.10.0 zit. Gek genoeg werkt dat perfect ook voor name resolution maar alleen niet voor internet.

Ik ben ook heel benieuwd wat DNS ermee te maken zou hebben, want name resolution gaat helemaal niet via DNS. Ik heb geen domein server die dat afhandelt. Het is gewoon doodnormale windows name resolution. Microsoft-magie ofzo, of NetBIOS, of hoe het ook heet. Mijn DNS-server is m'n router, en dat is gewoon een forwarder. Toch werkt name resolution, ook via VPN.

Wat wel *lijkt* te werken is DNS voor internetadressen. Alleen verkeer naar die adressen stopt ergens... Ik kan wel een nslookup naar tweakers.net doen (en het juiste IP-adres terugkrijgen), maar ik kan de homepage niet openen.

[ Voor 25% gewijzigd door _Thanatos_ op 07-12-2012 13:01 ]

日本！🎌

vrijdag 7 december 2012 13:35

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Gebruik nou eens de Windows Server DHCP functie, dan gaat je internet ook werken over de VPN heen. Waar je nu tegenaan loopt, is dat je tegen je Server praat voor DNS resolving (je hebt AD ingesteld, toch?), maar je hebt geen route om alles te routeren van het ene netwerk naar het andere. Je kan alleen intern wat doen, meer niet.

De 'Name Resolution" waar je het over hebt is DNS. En anders is het NetBIOS, maar dat komt je VPN niet doorheen, dat kan ik je nu al vertellen.

Commandline FTW | Tweakt met mate

vrijdag 7 december 2012 13:38

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

shadowman12 schreef op vrijdag 07 december 2012 @ 08:56:
Het voordeel van DirectAccess is dat de VPN meteen opgestart is al voordat de gebruiker zijn gebruikersnaam en wachtwoord intoetst als hij een Windows systeem opstart.

Da's ook meteen een groot nadeel. Hier @work veel te maken met laptops met UMTS kaartjes. Erg fijn voor de rekening als die dingen altijd en overal automatisch verbinding leggen. Not...

[/offtopic]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 7 december 2012 16:35

Acties:

Turdie

_Thanatos_ schreef op vrijdag 07 december 2012 @ 12:56:
Let wel trouwens, de IP-adressen die ik statisch heb ingevuld, zitten in 192.168.20.0, terwijl m'n netwerk in 192.168.10.0 zit. Gek genoeg werkt dat perfect ook voor name resolution maar alleen niet voor internet.

Ik ben ook heel benieuwd wat DNS ermee te maken zou hebben, want name resolution gaat helemaal niet via DNS. Ik heb geen domein server die dat afhandelt. Het is gewoon doodnormale windows name resolution. Microsoft-magie ofzo, of NetBIOS, of hoe het ook heet. Mijn DNS-server is m'n router, en dat is gewoon een forwarder. Toch werkt name resolution, ook via VPN.

Wat wel *lijkt* te werken is DNS voor internetadressen. Alleen verkeer naar die adressen stopt ergens... Ik kan wel een nslookup naar tweakers.net doen (en het juiste IP-adres terugkrijgen), maar ik kan de homepage niet openen.

Meestal gaat name resolution wel over DNS, vandaar dat ik daar aan dacht.

Allereerst doe is een tracert om te kijken waar het verkeer stopt (zorg dan wel dat ICMP verkeer niet geblockt wordt, omdat tracert ICMP gebruikt).

Hero Of Time schreef op vrijdag 07 december 2012 @ 13:35:
Gebruik nou eens de Windows Server DHCP functie, dan gaat je internet ook werken over de VPN heen. Waar je nu tegenaan loopt, is dat je tegen je Server praat voor DNS resolving (je hebt AD ingesteld, toch?), maar je hebt geen route om alles te routeren van het ene netwerk naar het andere. Je kan alleen intern wat doen, meer niet.

De 'Name Resolution" waar je het over hebt is DNS. En anders is het NetBIOS, maar dat komt je VPN niet doorheen, dat kan ik je nu al vertellen.

En Netbios over een RRAS connectie kan wel:

It requires “Enable broadcast name resolution” to be enabled on RRAS based VPN server and “Enable NetBIOS over TCP/IP” setting to be enabled on VPN client.

Bron: Remote Access Design Guidelines – Part 4: IP Routing and DNS

Wat je nog is zou kunnen testen om de VPN range bijvoorbeeld 192.168.10.1 - 192.168.10.20 te maken en je interne range 192.168.10.21 - 192.168.10.50 te maken ofzo. Zodat je al het verkeer binnen dezelfde range houdt.Om even te kijken hoe de routering nu is kun je ook even een route print doen:

 route print

Want anders moet je volgens mij ook nog een statische route maken om het verkeer dat binnenkomt via 192.168.20.* door te routeren naar je 192.168.10.* netwerk waar je resources zich bevinden.

[ Voor 35% gewijzigd door Turdie op 07-12-2012 16:53 ]