Toon posts:

[2k-svr] VPN mogelijk als server geen ICS doet?

Pagina: 1

Acties:

51 views sinds 30-01-2008
Reageer

woensdag 8 oktober 2003 09:00

Acties:

Krentenboltosti

Topicstarter

(Ja, search en Google gebruikt, Help gelezen en MCSE doorgespit.)

Ik wil VPN opzetten op Windows 2000 Server. De machine is Active Directory Domain Controller. Er zijn vijf clients en het is de enige server in het domain. De internetverbinding wordt verzorgd door een Alcatel 510iv4 (ADSL over ISDN). Deze router doet DHCP en wat poortmapping, the works.

Ik heb al vaker VPN opgezet, maar alleen op een W2k-Svr die ook Internet Connection Sharing (ICS) doet. Daar was het gewoon een kwestie van de wizard in RRAS doorlopen en gaan. Doe ik het nu, dan krijg ik telkens de melding dat de RRAS-server niet bereikbaar is (error 800).

VPN-client: Win XP Pro, geen belemmeringen naar buiten (firewall laat alles door). De ISP blokkeert 100% zeker weten niets. Geen virusscanner.
VPN-server: Windows 2000 Server, default server waar de Alcatel-router alle poorten naartoe stuurt, geen virusscanner.

Nou ja.. geen virusscanner.. wél natuurlijk, maar uitgeschakeld net als de firewall zodat dat het testen niet in de weg kan zitten.

Microsoft heeft een mooi artikeltje over het opzetten van VPN, maar ze gaan er telkens vanuit dat de server waar je dat op doet, ook ICS doet, en ik wil graag weten of het ook kan zonder dat de server ICS doet.

Bloed, zweet & koffie

woensdag 8 oktober 2003 11:28

Acties:

Verwijderd

rras installen. (dat is geen ics!!!)

[ Voor 42% gewijzigd door Verwijderd op 08-10-2003 11:29 ]

woensdag 8 oktober 2003 11:30

Acties:

Verwijderd

Verwijderd schreef op 08 October 2003 @ 11:28:
rras installen. (dat is geen ics!!!)

Volgens mij is dat standaard geinstalleerd. Je kunt wel deze service resetten.

woensdag 8 oktober 2003 11:30

Acties:

Krentenboltosti

Topicstarter

Bedankt voor je reactie. Echter: als de server domain controller is, kan je niet anders dan RRAS gebruiken om je inkomende VPN-verbindingen te faciliteren.

Ik moet dus per definitie RRAS gebruiken.

Eerder heb ik VPN opgezet op een DC die ICS doet, en dat heb ik ook met RRAS gedaan. Dat was geen probleem.

[ Voor 23% gewijzigd door CmdrKeen op 08-10-2003 11:32 ]

Bloed, zweet & koffie

woensdag 8 oktober 2003 11:34

Acties:

Verwijderd

Verwijderd schreef op 08 October 2003 @ 11:30:
[...]
Volgens mij is dat standaard geinstalleerd. Je kunt wel deze service resetten.

nope

woensdag 8 oktober 2003 11:36

Acties:

Verwijderd

Verwijderd schreef op 08 October 2003 @ 11:34:
[...]

nope

Bij mij zit het er anders standaard in hoor

Vilenin schreef op 08 October 2003 @ 11:30:
Bedankt voor je reactie. Echter: als de server domain controller is, kan je niet anders dan RRAS gebruiken om je inkomende VPN-verbindingen te faciliteren.

Ik moet dus per definitie RRAS gebruiken.

Eerder heb ik VPN opgezet op een DC die ICS doet, en dat heb ik ook met RRAS gedaan. Dat was geen probleem.

Kun je de Alcatel geen VPN laten doen waarbij de DC middels RADIUS voor authenticatie zorgt?

woensdag 8 oktober 2003 11:39

Acties:

Krentenboltosti

Topicstarter

Verwijderd schreef op 08 oktober 2003 @ 11:36:
Kun je de Alcatel geen VPN laten doen waarbij de DC middels RADIUS voor authenticatie zorgt?

Nee, volgens mij zit die optie er niet in.

En iis5: RRAS is standaard geïnstalleerd in Windows 2000. Deze service is niet te installeren of de-installeren; alleen te configureren en te resetten.

/edit:
Uit "Microsoft Windows 2000 Server Training", pag. 544:

Installation and Configuration
Unlike RRAS for Windows NT 4.0 and most network services of Windows 2000, you do not elect to install or uninstall RRAS through Add/Remove Programs in Control Panel. Windows 2000 RRAS is automatically installed in a disabled state.

[ Voor 32% gewijzigd door CmdrKeen op 08-10-2003 11:42 ]

Bloed, zweet & koffie

woensdag 8 oktober 2003 11:48

Acties:

Officieel moto fan :)

De foutmelding krijg je op het moment dat je connectie probeert te maken vermoedelijk?

Het lijkt mij een probleem met je firewall - je geeft aan dat je ze op defaultserver gezet hebt. Misschien dat je kan proberen om de connectie te initieeren van 2 PC's die voor de router staan zodat je niet langs je NAT router hoeft. Hiermee sluit je enige router problemen uit, en kan je gemakkelijk zien ofdat het probleem zich ofwel op de server bevind, danwel op de router.

Zie voor de zekerheid ook even dit

woensdag 8 oktober 2003 11:59

Acties:

Krentenboltosti

Topicstarter

Elevator, bedankt voor je link. Er staat in dat L2TP niet door NAT kan. Ik heb nu aangegeven op de client om alleen PPTP te gebruiken, maar nu krijg ik foutmelding 678: De externe computer reageert niet.

Waar kan ik ook alweer instellen op in RRAS dat ik geen L2TP wil gebruiken maar alleen PPTP?

Bloed, zweet & koffie

woensdag 8 oktober 2003 12:05

Acties:

Je zult het GRE protocol (protocol nr. 47 op Linux ofzo) moeten forwarden. Blijkbaar doet de Alcatel dit niet, en ik heb eigenlijk ook geen idee of hij dit _kan_ doen.

woensdag 8 oktober 2003 12:05

Acties:

Krentenboltosti

Topicstarter

De router stuurt ALLE inkomende verkeer door naar de server.. Bovendien heb ik het eerder aan de praat gekregen achter een soortgelijke router.

Ey maar in RRAS bij Ports staan alleen poorten voor L2TP; ik kan nergens PPTP instellen

[ Voor 65% gewijzigd door CmdrKeen op 08-10-2003 12:07 ]

Bloed, zweet & koffie

woensdag 8 oktober 2003 12:08

Acties:

Voor zover ik weet kan een Alcatel (Thomson) 510 alleen TCP/IP en UDP/IP forwarden volgens de routerconfig. Ik heb werkelijk geen idee of hij GRE/IP wel zal forwarden als jij de default server instelt, maar ik heb het vermoeden dat dit niet het geval is (waarom zou je anders foutmelding 678 krijgen?)

woensdag 8 oktober 2003 12:09

Acties:

Krentenboltosti

Topicstarter

Omdat ik geen PPTP krijg ingesteld op m'n server. Zoals gezegd: ik heb het eerder aan de praat gekregen achter een dergelijke router..

Bloed, zweet & koffie

woensdag 8 oktober 2003 12:10

Acties:

Officieel moto fan :)

Als je vanaf je client telnet naar poort 1723 op de server - luistert de server dan wel? Zo nee - zit daar al je fout.

Toch zou ik je aanraden (zie ook MikeN's posts over de twijfel ofdat protocol 47 (GRE) geforward / genat wordt) om eventjes te testen zonder router - hiermee sluit je dat soort problemen uit en wordt het gemakkelijker

woensdag 8 oktober 2003 12:13

Acties:

Krentenboltosti

Topicstarter

Hmm.. kan niet telnetten naar die poort. Ik ga het idd ff aan de andere kant van de router proberen.

Begrijp me niet verkeerd: ik stel het erg op prijs dat jullie me verder helpen, maar ik begrijp niet dat het met deze router niet zou kunnen en met een router met één softwareversie lager niet.

Anyway, ik ga naar de andere kant van de router

Bloed, zweet & koffie

woensdag 8 oktober 2003 12:56

Acties:

Verwijderd

MikeN schreef op 08 oktober 2003 @ 12:05:
Je zult het GRE protocol (protocol nr. 47 op Linux ofzo) moeten forwarden. Blijkbaar doet de Alcatel dit niet, en ik heb eigenlijk ook geen idee of hij dit _kan_ doen.

forwarden van een protocol ?????? heeft verder ook niks met linux te maken. dit is gewoon een ip protocol, maar je router moet het idd wel ondersteunen.

woensdag 8 oktober 2003 13:55

Acties:

Met een Alcatel Speedtouch zou het volgens een topic wat deze week gelopen heeft, in NT dacht ik, alleen maar mogelijk zijn als je een default server ip instelt. Anders zou het niet gaan namelijk.

Ik heb het hier overigens ook alleen maar op die manier werkend gekregen.

[ Voor 17% gewijzigd door djluc op 08-10-2003 13:55 ]

woensdag 8 oktober 2003 14:00

Acties:

Verwijderd

check deze link: http://www.martijnjongen....ad/kpnadsldelenmetw2k.pdf

heb je veel aan om het van scratch op te bouwen.
beschrijft precies wat jij wilt

woensdag 8 oktober 2003 14:03

Acties:

Krentenboltosti

Topicstarter

L4m0r, ik heb een paar maanden geleden de ideeën van Martijn Jongen (die overigens heel goed werk verricht!!) geprobeerd, maar ben er niet helemaal uitgekomen.

Het liefste wil ik dat de Alcatel-router zoveel mogelijk van de routing op zich neemt en juist niet de server, om de boel zo veilig mogelijk te houden.

djluc: je zegt: "Ik heb het hier overigens ook alleen maar op die manier werkend gekregen" - welke manier bedoel je? Default server IP instellen? Dat heb ik gedaan...

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:07

Acties:

Verwijderd

edit: okee, had even niet door dat jij de topicstarter was

never mind, maarre.. modem omzetten naar pro versie (bruren.com heeft daar wel wat over geloof ik.. of hoe je het ook spelt). Default server instellen wat je wil, of niet natuurlijk.. maakt niet zoveel uit. DHCP aanzetten en gaan met die banaan

edit2: op deze manier hoef je geen vpn meer te gebruiken, en is het simpelweg instellen van 'automagisch ip ophalen' voldoende om op internet te belanden..
(handiger is gewoon een vast ip instellen zodat je default_server kan gebruiken.)

edit3: vervolgens ga je dus met rras 2 netwerken koppelen. het 10.0.0.* netwerk met je internet netwerk, dan ben je er.
(handig is ook 'always_on' aan te zetten in je modem, scheelt je een hoop kopzorgen

.

en als je je modem ombouwt naar de pro versie, wel even de gegevens goed invullen enzo (op http://10.0.0.138 als ik me niet vergis) .. anders doet ie natuurlijk vrij weinig

[ Voor 142% gewijzigd door Verwijderd op 08-10-2003 14:12 ]

woensdag 8 oktober 2003 14:14

Acties:

Verwijderd

waarom wil je eigenlijk vpn opzetten? leg eens uit, want ik begrijp je geloof ik niet helemaal

want als je modem alles route, dan hoef je op je server alleen maar ics aan te zetten

[ Voor 33% gewijzigd door Verwijderd op 08-10-2003 14:15 ]

woensdag 8 oktober 2003 14:18

Acties:

Krentenboltosti

Topicstarter

L4m0r, even wat verduidelijken.
- De site heet bruring.com.
- Ik heb al een 510-versie, dus "pro" is de lagere versie.
- DHCP staat aan op de router.
- Ik heb geen problemen met internetten.

Heb je mijn openingspost wel goed gelezen (nofi)?

Ik wil VPN opzetten omdat mijn klant mij daartoe opdracht heeft gegeven. Voor mij is daar niets te willen bij. En voordat nu iedereen gaat roepen dat ik het niet op commerciële basis mag doen als ik niet weet hoe het moet: a) de klant is op de hoogte van het feit dat dit geen dagelijkse kost is voor mij en b) het gaat me sowieso lukken, alleen hoop ik dat het me lukt op de manier die mij het beste lijkt: Alcatel-router laten routen en 2k-server de inkomende VPN-verbindingen laten afhandelen.

[ Voor 10% gewijzigd door CmdrKeen op 08-10-2003 14:19 ]

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:27

Acties:

Normaal gezien heb je zowiezo 10 LPT2 poorten en 10 PPTP poorten die geconfigureerd staan als je RRAS enabled.

Het is niet omdat je RRAS enabled dat je ineens NAT translatie opzet ofzo deze kan perfect geinstalleerd worden om enkel VPN te gebruiken!

Vergeet wel niet al de gebruikers die moeten inloggen ook daadwerkelijk het recht te geven om in te loggen!

Computers make very fast, very accurate mistakes.

woensdag 8 oktober 2003 14:29

Acties:

Krentenboltosti

Topicstarter

De gebruiker waarmee ik het test, daarvan heb ik in z'n account gespecificeerd dat-ie een dial-in-verbinding mag maken.

Ik krijg geen PPTP-poorten. Komt dat misschien omdat alle 21 IP-adressen die ik heb gespecificeerd al gebruikt worden door L2TP? (10.0.0.200-10.0.0.220)

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:30

Acties:

Wij hebben hier ook een Alcatel 510 en daarachter een SBS2000 server.
In de router staat bij Default Server het ip-adres van de externe nic.
VPN gaat perfect via PPTP (nog niet geprobeerd via L2TP).
In RRAS staan bij ports zowel L2TP als PPTP poorten.

woensdag 8 oktober 2003 14:31

Acties:

Krentenboltosti

Topicstarter

Wizzzzzz, jouw server heeft dus *twee* NICs? Da's eigenlijk een beetje waar me het om gaat.

[ Voor 35% gewijzigd door CmdrKeen op 08-10-2003 14:31 ]

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:32

Acties:

Vilenin schreef op 08 oktober 2003 @ 14:29:
Ik krijg geen PPTP-poorten. Komt dat misschien omdat alle 21 IP-adressen die ik heb gespecificeerd al gebruikt worden door L2TP? (10.0.0.200-10.0.0.220)

Wat als je geen L2TP poorten specificeert?
Zie ook http://www.zensecurity.co.uk/IMAGES/svoffofn.jpg

Vilenin schreef op 08 oktober 2003 @ 14:31:
Wizzzzzz, jouw server heeft dus *twee* NICs? Da's eigenlijk een beetje waar me het om gaat.

Jouw server heeft 1 NIC? Dat is geen probleem, heb zelf ook RRAS achter een draytek staan met 1 NIC.

[ Voor 30% gewijzigd door blackd op 08-10-2003 14:32 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 8 oktober 2003 14:33

Acties:

Krentenboltosti

Topicstarter

Ik krijg vanzelf L2TP-poorten en ik kan echt helemaal nergens in RRAS vinden waar ik PPTP-poorten kan maken...

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:34

Acties:

Kun je een screenshot plaatsen van hoe dit scherm er bij jou uitziet?
Afbeeldingslocatie: http://www.zensecurity.co.uk/IMAGES/svoffofn.jpg

Afbeeldingslocatie: http://www.zensecurity.co.uk/IMAGES/svoffofn.jpg

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 8 oktober 2003 14:41

Acties:

Krentenboltosti

Topicstarter

Afbeeldingslocatie: http://demo.beco.nl/martin/vpn1.gif

Bloed, zweet & koffie

woensdag 8 oktober 2003 14:58

Acties:

Na de wizard RRAS krijg je automatisch de WAN Miniport (L2TP) en WAN Miniport (PPTP) devices erbij, en van elk 5 poorten. Heb je misschien tijdens de RRAS wizard expliciet aangegeven dat je alleen L2TP wilde gebruiken?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 8 oktober 2003 14:59

Acties:

Krentenboltosti

Topicstarter

Nee. Ik heb die vraag ook helemaal niet gezien. Ik kan me inderdaad herinneren dat je er PPTP-poorten bij kreeg, maar ik krijg ze niet meer.... Begrijp er nu niets meer van

Bloed, zweet & koffie

woensdag 8 oktober 2003 15:07

Acties:

[knip apparaatbeheer -> view hidden devices -> zoek naar WAN Miniport PPTP ]

Doh, ik zie het al
Je kunt gewoon onder Routing Interfaces > rechtsklik een nieuwe PPTP interface aanmaken. Daarna kun je al je L2TP poorten uitzetten, en een x aantal PPTP poorten aanmaken.

[ Voor 117% gewijzigd door blackd op 08-10-2003 15:17 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 8 oktober 2003 15:16

Acties:

Krentenboltosti

Topicstarter

Ah! Die heb ik laatst uitgeschakeld omdat de computer er foutmeldingen bij gaf bij het booten!

Nu weer ge-enabled, en het werkt!

Zal je zien dat ik straks niet meer kan booten

Hey allemaal, enorm bedankt voor jullie tijd!

Bloed, zweet & koffie

woensdag 8 oktober 2003 15:17

Acties:

Vilenin schreef op 08 October 2003 @ 15:16:
Ah! Die heb ik laatst uitgeschakeld omdat de computer er foutmeldingen bij gaf bij het booten!

Oh, dat was nog op mijn vorige message

Nou, vertel ons dan even welke foutmeldingen je krijgt (eventlog is ook wel belangrijk), kunnen we je misschien ook mee helpen.

[ Voor 6% gewijzigd door blackd op 08-10-2003 15:17 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

woensdag 8 oktober 2003 15:27

Acties:

Krentenboltosti

Topicstarter

Ghehe.. daar open ik wel een ander topic voor omdat het een compleet ander probleem is. Misschien bestaat het zelfs wel helemaal niet meer, omdat het eigenlijke probleem was dat er een disk in zat met bad sectors. Voor de volledigheid post ik hier wel een linkje als het probleem nog bestaat.

[ Voor 16% gewijzigd door CmdrKeen op 08-10-2003 15:27 ]

Bloed, zweet & koffie

Pagina: 1

Reageer