VPN Verbindungsabbruch nach ca 2-3 Minuten

[Meteoritis]

Hallo,

wir haben das Problem das VPN-Verbindungen (über Port 1723, Protokoll 47) zu einem 2k3-RRAS aufgebaut und Daten ausgetauscht werden (Mail oder auch ping -t ...), aber nach 2 - 3 Minuten bricht die Verbindung ab. Es scheint das der Server ein TCP RST sendet.

Vor dem Intranator haben wir eine Zyxel Firewall Zywall 10W benutzt ohne Probleme, auch nach dem Fallback funktioniert dies einwandfrei.

Kennt jemand dieses Problem- und vielleicht auch eine Lösung?

Besten Dank im voraus

Gruß
-M

[Thomas Jarosch]

Hallo,

könnten Sie eine Lösung für das merkwürdige Verhalten des Windows-Servers finden?

Herzliche Grüsse,
Thomas Jarosch

[Meteoritis]

Nein, konnte ich nicht.

Wohl konnte ich duch ein Fallback verifizieren das das Zusammenspiel mit einer Zyxel-Firewall ohne Probleme funktioniert, womit neben der Frage nach der Lösung auch die Frage der Kompatibilität aktuell bleibt.

MfG
-M

[Thomas Jarosch]

Guten Morgen,

soweit ich mich erinnern kann wird die PPTP-VPN-Verbindung zweifach durch ein NAT geschickt. Das könnte auf jeden Fall eine mögliche Problemursache sein.

Was halten Sie davon, den PPTP-Server mit einer offiziellen IP-Adresse zu versehen und in die DMZ zu stellen?
Sie bekommen dadurch einen deutlichen Sicherheitsgewinn in Ihrem lokalen Netz.

Herzliche Grüsse,
Thomas Jarosch

[Meteoritis]

Hallo,

nun haben wir unsere offiziellen IP's und ich versuchen nun die DMZ aufzubauen,

Also Proxy-ARP, Intranator mit IP wie in der Provider-Definition.

Nun sollen die DMZ-Rechner mit der IP unter Netzwwerk - Intranet - Rechner eingetragen werden. Versuche ich dort nun die öffentliche IP für den Rechner zu hinterlegen, erhalte ich die Fehlermeldung das diese IP nicht im gültigen Bereich ist (Intranet ist ja 192.168.0.0).

Was istb zu tun?

Danke für die Info

MfG
-M

[Thomas Jarosch]

Hallo,

eien ProxyARP-DMZ-Konfiguration über's Forum zu supporten ist zwar nicht ganz einfach, aber wir werden es probieren. Kontrollieren Sie bitte folgendes:

- Sie haben ein Providerprofil vom Typ "Router Standleitung" und dort Ihre offiziellen IP-Adressen hinterlegt.
- Unter "Netzwerk > Interfaces" haben Sie eine Netzwerkkarte auf Proxy-ARP gestellt und dort die selbe offizielle IP-Adresse des Intranators aus dem Providerprofil eingetragen.

Danach sollten Sie weitere Rechner aus dem offiziellen Netz unter "Netzwerk > Intranet > Rechner" anlegen können.
Hier ein Beispiel. Sagen wir Ihr Netz ist 55.66.77.88 bis 55.66.77.95, Netzmaske ist 255.255.255.248

Das Providerprofil sieht so aus:
Lokale IP: 55.66.77.90
Router IP: 55.66.77.89
Netmaske: 255.255.255.248

Proxy-ARP Netzwerkkarte:
Typ: Proxy ARP
IP-Adresse 55.66.77.90
Netzmaske 255.255.255.248

Der erste unter "Netzwerk > Intranet > Rechner" eintragbare Rechner wäre 55.66.77.91.

Herzliche Grüsse,
Thomas Jarosch

[Meteoritis]

Hallo,

welches ist denn die korrekte Kombination für diese VPN-Variante? Ich dachte Prot 47 und TCP 1723 wären hinreichend, aber nur damit geht es leider nicht?

Danke für die Info

Gruß
-M

[Gerd von Egidy]

Hallo,

TCP Port 1723 und IP Protokoll 47 sind für PPTP die richtigen Werte. Sonst würde es ja gar nicht funktionieren und gar keine Daten durchkommen.

Wenn ich mich richtig erinnere, war das Problem ja eher auf dem Windows-Server, der nach einiger Zeit einfach ein RST-Paket geschickt hatte und damit einfach die Verbindung dicht gemacht hat.

Herzliche Grüße,

v. Egidy

[Meteoritis]

Hallo,

wenn ich alle Dienste freigebe funktioniert es, die Abbrüche treten auch nicht mehr auf. Versuche ich die Provider-Regel zu reduzieren auf Port 1723 und Prot 47 (pptp, pptp-control, gre) kann ich keine Verbindung aufbauen.

Was fehlt da noch?

Vielen Dank

Gruß
-M

[Meteoritis]

Man muß wohl mal drüber schlafen - dann geht's auf einmal

Besten Dank!

Gruß
-M

[Gerd von Egidy]

Hallo,

nach dem Ändern der Firewall kann es einige Sekunden (je nach Auslastung und Geschwindigkeit Ihres Intranators bis zu etwa einer Minute), bevor die Änderungen wirklich aktiv werden.

Es kann natürlich gut an dieser Verzögerung gelegen haben.

Aber jetzt funktioniert es ja zum Glück.

Herzliche Grüße,

v. Egidy

[Meteoritis]

Hallo,

nun können sich die Clients zwar anmelden, aber leider nicht im lokalen Web arbeiten. Der RRAS in der DMZ weist den Clients Adressen aus einem Bereich des 192.168.0.0 zu und trägt diese Adresse auch als Gateway ein.

Gibt es hier eine Abhilfe?
Vielen Dank für die Info
Gruß
-M

[Gerd von Egidy]

Hallo,

ist 192.168.0.0 nicht Ihr lokales Netz? Dann kann es natürlich nicht funktionieren, denn IPs aus dem LAN haben in der DMZ nichts zu suchen (das weist normalerweise auf Adress-Spoofing hin und wird sofort blockiert).

Ich empfehle Ihnen folgendes: definieren Sie ein spezielles Netz für die RAS-Benutzer, z.B. 192.168.100.0/255.255.255.0. Sorgen Sie auf dem Windows-Server dafür, daß die RAS-Benutzer Adressen aus diesem Netz zugewiesen bekommen. Tragen Sie dieses Netz im Intranator unter Netzwerk > Intranet > Routing ein. Gateway sollte dabei die IP des Windows-Servers in der DMZ sein (wenn Sie Proxy-ARP benutzen also die offizielle IP).

Dann ist über die Routing-Regeln ganz klar geregelt, wo diese IPs hingehören. Außerdem können Sie dann über die Firewall des Intranators (auf der Routing-Seite) genau die Zugriffsrechte für diese IPs festlegen.

Herzliche Grüße,

v. Egidy