[2003SBS] geen netwerkverkeer clients als via VPN

zaterdag 18 april 2015 15:59

Acties:

0 Henk 'm!

biertje ?

Topicstarter

situatie ;
Win 2003 SBS lopend op een ESX server
met enkele clients lokaal en enkele die via VPN en een laptop werken.
lokaal zijn er geen problemen, alles werkt
clients maken via VPN verbinding en kunnen dan de mail ophalen met outlook <> exchange en bij de netwerkbestanden.

dit draait zo al enkele jaren, nooit problemen.

tot afgelopen donderdag, clients kunnen de mail niet meer ophalen.
de VPN verbinding wordt zonder probleem gemaakt, alleen is er daarna geen netwerkverkeer met de server meer mogelijk vanaf die client, niets valt zelfs maar te pingen.
lokaal blijft alles het gewoon doen
dit geldt voor alle 5 de clients met allen een identieke laptop, op die clients is niets veranderd.

het enige dat ik bedenken kan dat er veranderd is, is dat de server automatische updates heeft geinstalleerd en is gereboot op woensdag.
hierbij zijn de volgende updates geinstalleerd :
KB2604121: Beveiligingsupdate voor Microsoft .NET Framework 4
KB890830: Windows-programma voor het verwijderen van schadelijke software - maart 2015
KB3045999: Beveiligingsupdate voor Windows Server 2003
KB3037578: Windows Server 2003 Beveiligingsupdate voor Microsoft .NET Framework 4
KB3037577: Windows Server 2003 Beveiligingsupdate voor Microsoft .NET Framework 2.0 SP2
KB3046306: Beveiligingsupdate voor Windows Server 2003
KB3037572: Windows Server 2003 Beveiligingsupdate voor Microsoft .NET Framework 1.1 SP1
KB3046482: Beveiligingsupdate voor Windows Server 2003
KB3038314: Beveiligingsupdate voor Internet Explorer 8 voor Windows Server 2003

de server staat op de lijst om de komende maanden gemigreerd te worden naar 2008.
door keuzes in het verleden ( systeempartitie eigenlijk wat klein ) worden nu elke keer bij een login door ccleaner bestanden weggehaald, waaronder de hotfix installers, de bovenstaande updates krijg ik dus niet zomaar weer weg ( toch ? ).

iets anders dat er foutgaat kan ik even niet verzinnen.

RAS opnieuw geconfigureerd, maar de fout blijft.
clients worden nu wat ongeduldig ( gelukkig kunnen ze bij de webmail ) ik heb geen idee waar ik het nog moet zoeken nu.

er is evt een optie om, ook op de ESX draaiende Win 7, een alternatieve VPN oplossing te installeren, voor de time being, maar welke ( zonder herconfiguratie van de client laptops ) ?

specs : wil je niet weten

zaterdag 18 april 2015 17:55

Acties:

0 Henk 'm!

CMD-Snake

Je WinSXS folder leeg gooien wordt niet ondersteund op Windows Server 2003. Microsoft raad het sterk af. Sowieso ben ik niet kapot van CCcleaner en zeker niet op een server.En hoeveel moeite is het in VMWare om wat meer ruimte toe te kennen aan de C-schijf van de VM? Alleen voor het oprekken binnen Windows heb je nog bij 2003 tooltjes nodig.

Maar indien je dus de WinSXS folder leegt dan kan je geen updates meer verwijderen.

Microsoft heeft een artikel op Technet met troubleshooting tips voor VPN problemen:
https://technet.microsoft...ry/cc772616(v=ws.10).aspx

zaterdag 18 april 2015 18:54

Acties:

0 Henk 'm!

Trommelrem

CMD-Snake schreef op zaterdag 18 april 2015 @ 17:55:
En hoeveel moeite is het in VMWare om wat meer ruimte toe te kennen aan de C-schijf van de VM? Alleen voor het oprekken binnen Windows heb je nog bij 2003 tooltjes nodig.

Vanaf WinPE 2.0 kan dit, ook als er Windows 2003 op de partitie staat.

de server staat op de lijst om de komende maanden gemigreerd te worden naar 2008

Puur benieuwd: Waarom Server 2008 en niet 2012 R2 of 2016?

Welke VPN software? Als je dan toch ESX draait, kun je dan niet een 2012 R2 ernaast zetten met RRAS erop, geconfigureerd voor SSTP?

[ Voor 28% gewijzigd door Trommelrem op 18-04-2015 18:58 ]

zaterdag 18 april 2015 19:04

Acties:

0 Henk 'm!

CMD-Snake

Trommelrem schreef op zaterdag 18 april 2015 @ 18:54:
Puur benieuwd: Waarom Server 2008 en niet 2012 R2 of 2016?

Ik vermoed ergens dat de TS wil migreren naar SBS 2011, dat is Windows Server 2008R2 Standard Edition met de gebruikelijke SBS tweaks.

Welke VPN software? Als je dan toch ESX draait, kun je dan niet een 2012 R2 ernaast zetten met RRAS erop, geconfigureerd voor SSTP?

SBS kan via een wizard VPN toegang configureren, is 100% op basis van wat die versie van Windows ondersteund. Ik geloof de SBS standaard PPTP doet, andere protocollen kunnen ook.

zaterdag 18 april 2015 19:09

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

het is fijn dat er meegedacht wordt over toekomstige keuzes ( 2008 of 2012 of nieuwer )
maar wil nu eerst even dit opgelost.
( voor de toekomst zoek ik de goedkoopste optie, incl exchange, er is weinig geld )

zomaar even een 2012 ernaast installeren om een VPN weer mogelijk te maken kan, maar dat zal toch eerst aangeschaft moeten worden.

keuzes uit het verleden kan ik nu niet meer ongedaan maken ( ja, nu cc weghalen, maar daar heb ik mn VPN niet mee terug ).

ik vermoed toch echt dat een van die updates dwarszit, maar welke en hoe haal ik m weer weg ?

specs : wil je niet weten

zaterdag 18 april 2015 19:10

Acties:

0 Henk 'm!

Trommelrem

CMD-Snake schreef op zaterdag 18 april 2015 @ 19:04:
[...]

Ik vermoed ergens dat de TS wil migreren naar SBS 2011, dat is Windows Server 2008R2 Standard Edition met de gebruikelijke SBS tweaks.

SBS 2011 zit toch al in extended support? Is dat nog wel verstandig om nieuw te installeren? Ik wist niet eens dat het nog te koop was.

zaterdag 18 april 2015 19:11

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

CMD-Snake schreef op zaterdag 18 april 2015 @ 17:55:

Microsoft heeft een artikel op Technet met troubleshooting tips voor VPN problemen:
https://technet.microsoft...ry/cc772616(v=ws.10).aspx

klopt, heb ik al gevonden en doorlopen, vooral dit stukje : VPN clients are unable to access resources beyond the VPN server maar heeft geen verandering gebracht

specs : wil je niet weten

zaterdag 18 april 2015 19:17

Acties:

0 Henk 'm!

CMD-Snake

Trommelrem schreef op zaterdag 18 april 2015 @ 19:10:
SBS 2011 zit toch al in extended support?

SBS 2011 volgt de levenscyclus van de producten die erin zitten, dus Windows Server 2008R2, Exchange 2010 Standard Edition, SharePoint 2010 Foundation, SQL Server 2008R2 Express Edition en optioneel Standard Edition.

Dus ja, het OS zit in de extended support fase nu tot 2020.

Is dat nog wel verstandig om nieuw te installeren? Ik wist niet eens dat het nog te koop was.

Via OEMs is het nog volop te koop.

Ik zou zelf overigens ook kijken naar Windows Server 2012R2 Essentials en de Exchange dan te migreren naar Exchange Online i.c.m. Office 365. Denk dat het kostentechnisch dan ook te overzien moet zijn.

dijkmane schreef op zaterdag 18 april 2015 @ 19:09:
ik vermoed toch echt dat een van die updates dwarszit, maar welke en hoe haal ik m weer weg ?

Naar mijn weten niet. Je route terug wordt bij elke login verwijderd. Je kan proberen om de patch te verwijderen, maar ik ben bang dat je gewoon een foutmelding krijgt.

dijkmane schreef op zaterdag 18 april 2015 @ 19:11:
klopt, heb ik al gevonden en doorlopen, vooral dit stukje : VPN clients are unable to access resources beyond the VPN server maar heeft geen verandering gebracht

Krijgen je VPN clients wel een IP adres? Je RAS server reserveert in je DHCP scope voor ze een aantal IP adressen.

Wat voor melding krijg je bij een ping? Timeouts of dat ze de doelhost niet kunnen vinden? Als je pingt op FQDN, krijg je dan wel antwoord?

zaterdag 18 april 2015 19:20

Acties:

0 Henk 'm!

Trommelrem

dijkmane schreef op zaterdag 18 april 2015 @ 19:09:
het is fijn dat er meegedacht wordt over toekomstige keuzes ( 2008 of 2012 of nieuwer )
maar wil nu eerst even dit opgelost.

Snapshot maken, eventlog doorspitten, updates verwijderen en wizard opnieuw uitvoeren.
Het hoeft overigens niet aan de SBS te liggen. Het kan ook aan de router liggen die plotseling geen PPTP meer routeert. PPTP vereist volgens mij niet alleen poort 1723 maar ook een ander protocol.

( voor de toekomst zoek ik de goedkoopste optie, incl exchange, er is weinig geld )

Office 365 i.c.m. Server Essentials. Is in de meeste gevallen veruit de goedkoopste oplossing en veel goedkoper dan SBS 2011 destijds was. Vaak zelfs goedkoper dan gratis oplossingen.

zaterdag 18 april 2015 19:27

Acties:

0 Henk 'm!

CMD-Snake

Trommelrem schreef op zaterdag 18 april 2015 @ 19:20:
PPTP vereist volgens mij niet alleen poort 1723 maar ook een ander protocol.

GRE 47 moet ook aanstaan op je router en/of modem. Zeker als je router ook het modem is van de internet provider kan er soms zonder dat je het weet een firmware update komen. Heb dit met een modem van XS4All gehad. Firmware update die alle instellingen ongedaan maakte. Dat gooide toen ook het netwerk even in de war.

Office 365 i.c.m. Server Essentials. Is in de meeste gevallen veruit de goedkoopste oplossing. Vaak zelfs goedkoper dan gratis oplossingen.

Microsoft adverteert dit ook als de opvolger van de SBS pakketten.

zaterdag 18 april 2015 19:50

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

CMD-Snake schreef op zaterdag 18 april 2015 @ 19:17:
[...]

Krijgen je VPN clients wel een IP adres? Je RAS server reserveert in je DHCP scope voor ze een aantal IP adressen.

Wat voor melding krijg je bij een ping? Timeouts of dat ze de doelhost niet kunnen vinden? Als je pingt op FQDN, krijg je dan wel antwoord?

dit krijgt een client toegewezen :
PPP adapter VPN Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VPN Connection
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.144(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.1.10
NetBIOS over Tcpip. . . . . . . . : Enabled

het adres van de betreffende server is 192.168.1.10
ga ik daarheen pingen, krijg ik :
Pinging 192.168.1.10 with 32 bytes of data:
Request timed out.

ook de gateway, netwerkprinter en de ESX geven een timeout, ook op FQDN, de DNS is immers ook een timeout.

ik zie in de RAS ook dat er een client connected is en welk adres deze gekregen heeft, die zie je ook in de DHCP server terug, zoals het hoort volgens mij.

zit achter een ziggo verbinding, router is niet uit geweest de afgelopen weken, als ziggo een update gedaan zou hebben, zou dat toch een reboot moeten hebben gehad.? kan m evt wel even resetten.

specs : wil je niet weten

zondag 19 april 2015 02:06

Acties:

0 Henk 'm!

Dysmael

route?
doe eens een route print op een client die is verbonden?
En let erop dat je adressen uitdeelt die mensen thuis ook vaak gebruiken.

zondag 19 april 2015 14:32

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

code:

C:\>route print
===========================================================================
Interface List
 26...........................VPN Connection
 13...00 1e 37 5e a6 df ......Bluetooth Device (Personal Area Network)
 11...00 1a 73 9b 67 60 ......Broadcom 802.11g Network Adapter
  1...........................Software Loopback Interface 1
 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.113     25
    94.215.129.77  255.255.255.255      192.168.1.1    192.168.1.113     26
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link     192.168.1.113    281
      192.168.1.0    255.255.255.0    192.168.1.152    192.168.1.141     26
    192.168.1.113  255.255.255.255         On-link     192.168.1.113    281
    192.168.1.141  255.255.255.255         On-link     192.168.1.141    281
    192.168.1.255  255.255.255.255         On-link     192.168.1.113    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.113    281
        224.0.0.0        240.0.0.0         On-link     192.168.1.141    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.113    281
  255.255.255.255  255.255.255.255         On-link     192.168.1.141    281
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 11    281 fe80::/64                On-link
 11    281 fe80::d9d8:a992:1741:3ef4/128
                                    On-link
  1    306 ff00::/8                 On-link
 11    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

klopt dat er adressen worden uitgedeeld in de 192.168.1.* reeks.

maar tot afgelopen woensdag heeft dit al een jaar of 6 gewerkt, nooit een issue geweest.

specs : wil je niet weten

zondag 19 april 2015 16:42

Acties:

0 Henk 'm!

CMD-Snake

dijkmane schreef op zaterdag 18 april 2015 @ 19:50:
zit achter een ziggo verbinding, router is niet uit geweest de afgelopen weken, als ziggo een update gedaan zou hebben, zou dat toch een reboot moeten hebben gehad.? kan m evt wel even resetten.

Mijn ervaring is dat zulke updates vaak 's nachts gedaan worden. Als je modem/router de up tijd weer kan geven kan je misschien zien of er een herstart is geweest.

Maar het klinkt mij toch ergens in de oren als een firewall die niet meer goed is afgesteld.

zondag 19 april 2015 18:21

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

heb router al uit/aan gezet, dus kan ik niet meer zien, heeft geen effect trouwens.

Firmware Build Time: May 20 14:08:19 2013

dus zo nieuw is de firmware niet.

specs : wil je niet weten

zondag 19 april 2015 20:18

Acties:

0 Henk 'm!

nielsl

zit de server in de 192.168.1.0/24 reeks? Want het lijkt erop dat je zowel lokaal als via VPN in dat subnet aan het wroeten bent. Edit: ja, 192.168.1.0, meerdere keren genoemd. Dat gezegd hebbend: Vooral dit stukje baart me zorgen:

code:

1 2	192.168.1.0 255.255.255.0 On-link 192.168.1.113 281 192.168.1.0 255.255.255.0 192.168.1.152 192.168.1.141 26

Dit is mijn route tabel, ik zit enkel via WiFi aan mn router, dus je dat de 172.20.11.0/24 niet wordt gerouteerd, terwijl ik bij jou zie dat 192.168.1.0 ook via 192.168.1.152 wordt gerouteerd.

code:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    172.20.11.254     172.20.11.11     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      172.20.11.0    255.255.255.0         On-link      172.20.11.11    281
     172.20.11.11  255.255.255.255         On-link      172.20.11.11    281
    172.20.11.255  255.255.255.255         On-link      172.20.11.11    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.20.11.11    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.20.11.11    281
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Mijn advies zou zijn om de VPN range bij de klant iets "exotischer" te kiezen, in ieder geval niet zo generiek als 192.168.1.0/24, 192.168.0.0/24 and de Ziggo ubee 192.168.178.0/24 reeks.

zondag 19 april 2015 20:42

Acties:

0 Henk 'm!

StevenK

Meest voorkomende oorzaak bij dit soort VPN problemen is client-side, doordat de client een lokaal netwerk heeft met hetzelfde subnet-id als het VPN netwerk.

Wat je zou kunnen doen om het probleem, als het server-side, te parkeren, is iets als http://virtualappliance.manthys.it/mva/vpn/default-en.htm op te zetten.

Was advocaat maar vindt het juridische nog steeds leuk

maandag 20 april 2015 09:18

Acties:

0 Henk 'm!

CMD-Snake

Ik zou de 10.xx.xx.xx range gebruiken, die heb ik zelden zien gebruikt worden in thuisnetwerken.

maandag 20 april 2015 09:21

Acties:

0 Henk 'm!

Trommelrem

CMD-Snake schreef op maandag 20 april 2015 @ 09:18:
Ik zou de 10.xx.xx.xx range gebruiken, die heb ik zelden zien gebruikt worden in thuisnetwerken.

Draaien alle routers van MxStream abonnementen niet default op 10.0.0.138/8?

maandag 20 april 2015 09:49

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Zoooow MxStream, dat is nog eens een dinosaurus opgraven

Maar ja, de Thomson Speedtouch routers van oudere generaties zaten standaard op 10.0.0.138

Echter zou zo'n iprange overlap slechts zelden een probleem moeten vormen, ik heb er maar weinig gezien door de jaren heen.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

zaterdag 25 april 2015 10:36

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

met behulp van de link van StevenK heb ik een PPTP VPN op weten te zetten met die VM oplossing.
range 172.22.x gebruikt.
het lukt alleen niet de gebruikers vanuit de AD te verrifieren, dus ik zal alle gebruikers opnieuw moeten aanmaken.

begint in elk geval ergens op te lijken nu.

begrijp alleen nog steeds niet waarom de 2003 het niet meer wil doen.?

specs : wil je niet weten

zaterdag 25 april 2015 11:11

Acties:

0 Henk 'm!

Trommelrem

dijkmane schreef op zaterdag 25 april 2015 @ 10:36:
begrijp alleen nog steeds niet waarom de 2003 het niet meer wil doen.?

nielsl schreef op zondag 19 april 2015 @ 20:18:
zit de server in de 192.168.1.0/24 reeks? Want het lijkt erop dat je zowel lokaal als via VPN in dat subnet aan het wroeten bent.

zaterdag 25 april 2015 11:56

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

192.168.1.x

maar verklaart nog steeds niet waarom dit 6 jaar probleemloos werkt en van de ene op de andere dag stopt

specs : wil je niet weten

woensdag 6 mei 2015 19:56

Acties:

0 Henk 'm!

dijkmane

biertje ?

Topicstarter

sh*t...

loop ik een partij te rommelen met die OpenVPN oplossing in een VM. ( werkt op zich wel, maar geen AD controle op de users )
bedenk ik me ineens dat er ook nog een Synology staat.!

daar de VPN oplossing op geinstalleerd en werkt perfect.
blijf dat nu als permanente oplossing gebruiken, ga geen tijd meer stoppen in het uitvinden waarom de 2003 ermee is gestopt.

iedereen bedankt voor het meedenken

specs : wil je niet weten

Onderwerpen