VPN mit OS 10.5 Server

[Atelis]

Nun muss ich doch noch mal nerven...
Habe grade mit zwei Personen gesprochen, die da auch noch ein Wort mitzureden haben und die meinen beide, dass sie dem Server den DHCP-Dienst nicht übergeben wollen. Grund ist, dass der Server aus Kostengründen für bestimmte Zeiten (z. B. Urlaub) abgeschaltet werden soll, aber die Internetverbindung wegen einer Solaranlage (per LAN-Kabel an der FB) weiterhin gebraucht wird. Die Fritzbox mit DHCP muss also bleiben.

ABER:
Wie sicher ist die PPTP-Methode? Und wenn nicht - gibt es eine Möglichkeit sie sicherer zu machen? Die scheint nämlich durch meine aktuelle Konfiguration zu funktionieren.

 

[stk]

Moin,

was spräche dagegen die Solaranlage mit einer fixen IP und dem DNS-Eintrag der FB auszustatten? Dann hat der Server keinen Auftrag. Und bevor ich PPTP einschalte, schreib ich lieber meine Passwörter hier ins Forum.

Gruß Stefan

 

[stk]

… doppelpost, wg. Server-Lag …*sorry

 

[Atelis]

Ich/wir wissen nicht, wie wir der Solaranlage eine feste IP-Adresse zuweisen können. Scheint eine BlackBox zu sein, aus der nur ein LAN-Kabel kommt - keine weitere Beschreibung.

So, die APX hat jetzt erstmal eine feste IP-Adresse.

Was bedeutet bei den APX-Einstellungen der Punkt "Verbindung gemeinsam nutzen: IP-Adressen-Bereich verteilen"? Bedeutet das, dass ich ein DHCP-Netzwerk von der FB mit dem WLAN der APX erweitern kann? Das wäre doch super...?

 

[stk]

Moin,

Was bedeutet bei den APX-Einstellungen der Punkt "Verbindung gemeinsam nutzen: IP-Adressen-Bereich verteilen"? Bedeutet das, dass ich ein DHCP-Netzwerk von der FB mit dem WLAN der APX erweitern kann? Das wäre doch super...?

Das dürfte der NAT-Mode sein. Bridged-Mode sollte es wimret heissen. Ich habs nicht so mit den APX. Die machen für mich wirklich nur in ganz wenigen Fällen (beim WDS sind's unschlagbar einfacht) Sinn für ihr heiden Geld.

Gruß Stefan

 

[Atelis]

Das dürfte der NAT-Mode sein. Bridged-Mode sollte es wimret heissen.

Nee, der Bridge-Mode ist ein weiterer Punkt.
Wenn ich "IP-Adressen-Bereich verteilen" auswähle, wird mir die Option NAT zu aktivieren ausgeblendet und ich kann keine Port-Weiterleitungen mehr konfigurieren. Ich kann dann unter dem Reiter "DHCP" allerdings noch einen IP-Adressen-Bereich verteilen, der scheinbar auf das DHCP von der FB aufbaut (es geht also nur der gleiche IP-Adressenbereich) und ich kann feste IP-Adressen vergeben. Wenn ich es ausprobiere, muss ich der APX eine feste IP vergeben (warum eigentlich, wenn die FB doch per DHCP die Adressen vergeben soll?) und ich habe nur eine Verbindung zur FB (komme z. B. in meine FB-Einstellungen), nicht aber ins Internet.

Kannst du dir vielleicht denken, was das für ein Modus sein soll und was ich da evtl. noch falsch eingestellt habe? Weil wenn das funktioniert habe ich es ja so, wie es sein soll: FB vergibt mit DHCP Adressen und APX erweitert das Netzwerk nur und hat ein paar feste IP-Adressen.

 

[stk]

wie gesagt: ohne APX live und Farbe tue ich mich da jetzt etwas schwer dir die passende Config vorzukauen .

 

[Atelis]

Mit Live kann ich dir im Moment nicht helfen, aber in Farbe habe ich da was:

Vorher: Die Einstellungen im Moment
Modi: Die Einstellungen, die die APX bei "Verbindung gemeinsam nutzen" anzeigt
Nachher: So habe ich es eingestellt. Ergebnis: Zugriff auf FB ja - Internet nein.
Fehler: Wenn ich die Einstellungen wie bei "Nachher" habe und nur auf DHCP umgestellt habe. Verstehe nämlich die Fehlermeldung nicht: wenn ich bei der FB DHCP einschalte, soll meiner APX doch auch eine IP-Adresse zugewiesen werden? Und mit der Einstellung lege ich das doch fest, oder?

 

[stk]

Moin,

sach ich doch: AUS (Bridge-Modus) ist die richtige Wahl. Ansonsten fummelst Du immer in zwei Adressbereichen rum, selbst wenn Du versuchst die künstlich über Nummernidentität in einen Bereich zu drücken.

Gruß Stefan

 

[Atelis]

Ok, ich merke ich habe von der Materie zu wenig Ahnung. Ich werde nicht aufgeben, aber erstmal danke für deine Geduld... Würde dir gerne eine positive Bewertung geben, aber das Forum-System lässt mich nicht - habe dich letztens erst bewertet...

 

[Atelis]

So, habs geschafft. Die FritzBox arbeitet als DHCP-Server mit Adressen von x.x.x.101 bis x.x.x.200 und wenn ich eine feste IP nutzen möchte, mache ich dies einfach von x.x.x.2 bis x.x.x.100 direkt am Rechner. Die APX hängt im Bridge-Modus dahinter. Ports und Protokolle werden von der FB an die entsprechenden IP-Adressen weitergeleitet und ich kann von einem Mac aus (mit der Internet-IP) mich per VPN (L2TP mit IPsec) verbinden und bekomme eine neue bzw. zusätzliche IP-Adresse. Von einem Mac aus sollte also eigentlich alles funktionieren - werde es demnächst mal von woanders aus testen.

Wie baue ich jetzt eine Verbindung von einem Windows-Rechner aus auf? Habe es einmal mit der Anleitung probiert (http://www.netzwerktotal.de/vpnwinxp.htm): Konnte keine Verbindung aufbauen - auch nicht mit der lokalen Adresse des Servers.
Außerdem habe ich den CISCO VPN Clienten verwendet - da wusste ich nicht, wo ich den Schlüssel (Shared-Secret) eingeben sollte. Order soll ich eine andere Sicherheitsmethode verwenden und den Server anders einstellen?

Im Anhang ist noch ein Bild von meinen Einstellungen...

PS: PPTP ist abgeschaltet...


EDIT: Hier hat jemand das gleiche Problem und es gab noch keine Lösung.

 

[Atelis]

Update
Wenn ich den Server mit IPsec starte, kommt folgendes im Log des Servers:

2008-12-05 14:03:26 CET	Listening for connections...
2008-12-05 14:03:27 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:28 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:29 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:30 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:31 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:32 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:33 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:34 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:35 CET	Unable to connect racoon control socket (errno = 61)
2008-12-05 14:03:36 CET	IPSecSelfRepair

Das wiederholt sich die ganze Zeit, bis ich den Server wieder stoppe...
Was bedeutet das?


EDIT: Ok, nicht so schlimm, war nach einem kompletten Neustart vorbei...


EDIT 2: Lokale Verbindungen von Win zu Mac Server funktionieren (unter Windows mit den Onboard-Mitteln). Das ist schonmal schön... ging gestern irgendwie noch nicht, obwohl ich mir keiner Veränderung bewusst bin. Probleme habe ich noch bei Verbindungsaufbauten aus dem Internet - Windows stellt Verbindung her und bricht dann irgendwann ab und bei meinem Server scheint nichts anzukommen. Im Anhang meine Fritzbox-Weiterleitungen...

 

[Atelis]

Guten morgen!
Ich brauche jetzt doch noch mal eure Hilfe. Habe jetzt ein Netzwerk mit DHCP von x.x.x.101-200 und bei einigen Rechnern (wie z. B. dem Server) habe ich eine feste IP-Adresse eingetragen (IP-Adresse also z. B. 10.10.0.5 - letzte Zahl kleiner als 101, da ab da der DHCP-Bereich kommt).
Auf dem Server läuft VPN mit L2PT über IPsec mit Shared Secret (Konfiguration habe ich in diesem Thread schonmal gepostet). Mit meinem Mac kann ich mich sowohl über die lokale Adresse des Severs als auch über unsere Router-IP im Internet mit dem VPN-Server verbinden und nach wenigen Sekunden habe ich eine weitere (vom VPN-Server zugewiesene) IP-Adresse.
Von Windows aus (mit den Boardmitteln) klappt es nur über die lokale IP-Adresse. Wenn ich mich über unsere Internet-IP verbinden will, so bleibt WIndows bei der ersten Statusanzeige ("Verbindung wird hergestellt mit XXX ...") für ca. 20 Sek hängen und bricht dann ab. Auf dem Server gibt es kein Anzeichen davon, dass sich jemand verbinden wollte. So wie es für mich aussieht, habe ich irgendeine Kleinigkeit bei den Windows-Client-Einstellungen übersehen (irgendeine DNS-Auflösung oder so...)

Kann mir jemand weiter helfen?

Im Anhang sind die Konfigurationen, die ich unter Windows gemacht habe...

 

[Atelis]

Hey! Ich gebe nicht auf, bevor "stk" gesagt hat, dass er auch nicht weiter weiß! :-D

Habe aber noch ein Problem, wo ich denke, dass man mir weiterhelfen kann:
Wenn ich mich jetzt von einem anderen Internetanschluss aus in mein VPN einwähle, bekomme ich zwar eine IP zugewiesen, allerdings kann ich keine lokalen Webadressen wie "meinmac.local" oder freigegebene Ordner nutzen bzw. finden.
Wenn ich in den Netzwerkeinstellungen einstelle, dass der gesamte Verkehr über die VPN-Leitung gesendet werden soll, erreiche ich zwar die lokalen Adressen, kann aber ich nicht mehr im Internet surfen. Mit dem VPN in unserer Firma geht aber beides, oder hab ich das falsch in Erinnerung...? Ist das grundsätzlich möglich?

Kann mir jemand helfen?

 

[stk]

Moin,

a) Windows: keine Ahnung. Interessiert mich nicht die Bohne .
b) Durchgriff auf's komplette Netz: wenn VPN- auch DNS-Server und entsprechend in den VPN-Settings als solcher eingetragen.

Gruß Stefan

 

[Atelis]

b) Durchgriff auf's komplette Netz: wenn VPN- auch DNS-Server und entsprechend in den VPN-Settings als solcher eingetragen.

Auf Server- oder Clientseite? Oder bei beiden?

EDIT: Kann der Cisco VPN Client sich nicht mit einem Pre-Shared Key mit dem VPN-Server verbinden? Finde keine Stelle, wo ich den Key eingeben kann...?

 

[stk]

Moin,

Auf Server- oder Clientseite? Oder bei beiden?

Server - der Client kriegt's ja dann beim Einbuchen per DHCP in die Finger gedrückt.

EDIT: Kann der Cisco VPN Client sich nicht mit einem Pre-Shared Key mit dem VPN-Server verbinden? Finde keine Stelle, wo ich den Key eingeben kann...?

Der Cisco VPN Client nutzt wimret IPSec und nicht L2TP/IPSec - das sind zwei paar Stiefel!

Gruß Stefan

 

[kite54]

huhu.. ich hab da auch nochmal ne frage zu diesem thema..

am freitag so gegen 19 uhr war die vpn welt noch in ordnung.. irgendwie (und dank einer menge hilfe) hab ich es hinbekommen, von meinen laptop (10.5.1 ) auf unseren server (10.5.2) über L2TP zuzugrifen (in diesem falle waren es zwei unabhängige netzwerke mit zwei verschiedenen internetzugängen).

zuhause angekommen, konnte ich keine verbindung zum server herstellen..(( und ich hab nix an den einstellungen geändert!!!!

jetzt dachte ich mir in der firma müsste es doch wieder klappen.. aber pustekuchen!

mein client sagt: Internetverbindung: es konnte keine verbindung mit dem ppp-server hergestellt werden.. bla bla bla..

und mein server sagt: "mppe required but not available" hatten wohl schon mehrere das gleich problem.. aber ne wirkliche lösung find ich nicht! vielleicht hat einer on euch ja noch eine idee...

vor allem freitag aht alles noch gefunzt: gleicher rechner, gleicher server, gleiche verbindungen und gleiche einstellungen.. das ist doch wie verhext!?


mfg der kite

 

[pepi]

Mit Windows XP wird das nicht funtkionieren, da die NAT-T Implementation dort dermaßen broken ist, daß es das NAT nicht überlebt. MS behauptet es anders, die Realität ist aber anders anders, und es wird nicht gehen. Wenn Du es mir nicht glaubst, Stefan bitte reposte das. Wie das mit Vista aussieht weis ich nicht, aber wen interssiert überhaupt Windows?
Gruß Pepi

 

[Atelis]

Das würde erklären, warum es lokal klappt. Und ich nehme an, dass es tief im inneren von XP schon hakt und es deshalb auch keinen VPN-Clienten (also irgendein externes Programm) gibt, mit dem ich eine Verbindung aufnehmen kann. Und PPTP möchte ich nicht aktivieren...
Wie funktioniert denn der Cisco-Client? Kann ich den Mac OS Server so einrichten, sodass es mit Cisco auch funktioniert?

..., aber wen interssiert überhaupt Windows?

Leider sitze ich nicht immer an meinem Rechner, wenn ich unterwegs bin (deshalb brauche ich ja auch VPN ) und ich habe gehört, dass es da draußen noch was anderes außer dem Mac OS geben soll...