PPtP zu einem Windows 2008 Server klappt nicht

1. offizieller Beitrag

    Hallo liebes Forum,

    da ich ein Endian-Neuling bin, bitte ich die evtl. "dumme" Frage zu entschuldigen: :oops:

    habe hier eine EFW Community Version 2.3 installiert. Die EFW hängt an einem DSL-Modem (Teledat Sinus 154 basic 3 Router - ist aber als reines Modem in Betrieb!), wählt sich also selber ins Internet ein via PPPeE.

    Nun möchte ich von extern via dyndns und PPtP-VPN auf den dahinter liegenden Windows Small Business Server 2008 zugreifen.
    Dyndns-Account besteht und wird von der EFW auch regelmäßig upgedated.

    Habe dafür also unter Firewall - Portweiterleitungen/NAT - Reiter "eingehender gerouteter Datenverkehr" Portweiterleitungen eingerichtet für:
    1. TCP - Port 1723 von Quelle (ALLE) nach int. IP des Servers
    2. GRE (keine Portangabe) von Quelle (ALLE) nach int. IP des Servers.

    Versuche ich nun, von einem WIN-CLient aus eine PPtP-Verbindung aufzubauen, kommt nach einigen Sekunden die Meldung, dass der VPN-Server nicht antwortet (Fehler 807).

    Was mir noch aufgefallen ist: wenn ich die dyndns-Adresse pingen möchte, kommt zwar "Ping wird ausgeführt für meine-adresse.dyndns.org [momentane ext. IP der Firewall]", also die Adresse wird richtig aufgelöst, aber die Firewall antwortet nicht. Dies kann aber ja daran liegen, dass die EFW standardmässig so eingestellt ist, dass sie auf Pings von extern nicht reagiert (ist das so?).

    Hänge ich statt der EFW testweise eine Fritzbox rein (mit den entsprech. Portweiterleitungen), dann klappt die Verindung tadellos. Also am W2008-Server kann es nicht liegen.

    Kann mir hier jemand von den "EFW-Insidern" weiter helfen? Das wäre super!!!


    Schöne Grüße und besten Dank im Voraus,

    Torsten

    • Offizieller Beitrag

    Hallo Torsten-s
    ich kann zur zeit nicht auf meine 2.3 zugreifen, habe hier die 2.2, bei der ist es so das du den Port für GRE angeben musst
    (ich weiß auch nicht warum die Endian den Port nicht selber kennt, so wie das bei anderen Firewalls eigentlich die Regel ist),
    also gib mal den Port 49 an und dann sollte es klappen.
    Wenn das nicht mal wieder einer der vielen Fehler in der 2.3 ist.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo Sabine,

    vielen Dank für Deinen Hinweis - werde ihn gleich mal testen und dann berichten!

    Der Ort, an dem ich das eingestellt habe (unter Firewall - Portweiterleitungen/NAT - Reiter "eingehender gerouteter Datenverkehr"), stimmt jedenfalls?! Da bin ich dann schon mal beruhigt :)

    Herzl. Grüße,


    Torsten

    Hallo,

    was sagen den die Logs in der Firewall, leiten die weiter oder blockieren sie die Anfrage von außen?

    gruß

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

    Hallo Wolfili,

    Zitat von "wolfili"

    was sagen den die Logs in der Firewall, leiten die weiter oder blockieren sie die Anfrage von außen?


    nachdem das Eintragen des Ports 49 bei GRE nichts genutzt hat, werde ich mal die Logs ansehen und mich wieder melden! Komme nicht immer an die EFW ran.

    Danke schon mal für die Hinweise!


    Schönene Abend,


    Torsten

    • Offizieller Beitrag

    Moin,
    Komme nicht immer an die EFW ran! Hört sich nicht gut an ! ! Probleme mit der Netzwerkkarte ?

    Nach dem der Port 1723 und GRE 49 offen ist, sollte es funktionieren. Oder es liegt mal wieder an der 2.3.

    Gruß Sabine

    Hallo Sabine,

    nene, das mit dem nicht ran kommen bezog sich auf den Standort der EFW: steht bei einem Kumpel, bei dem ich erst vorbei schauen muss .-)

    Nun habe ich aber die Logs ausgewertet und folgendes Ergebnis:

    Code
    Zeit               Chain  		 Iface   Proto  	 Quelle        Quellport   MAC Adresse     	 Ziel  	          Zielport
Mar 10 15:00:35 	INPUT:DROP 	ppp0 	KEY_TCP 	12.23.34.56	51523 		::::: 		        99.88.77.66        1723

    Sowohl beim Versuch, per PPtP zuzugreifen, als auch bei einem ICMP-Request (die IPs sind die öff. IPs unserer Provider, die ich natürlich unkenntlich gemacht habe ;) - aufgelöst werden diese via dyndns )
    Was mich wundert: als Ziel wird in den logs nicht der interne Server 192.168.0.10 ausgegeben, sondern die momentane öff. IP, hinter der der Server steht.

    Folg. Einstellungen habe ich unter Firewall-Portweiterleitung/NAT-eingehender gerouteter Datenverkehr getätigt:

    Code
    # Quelle Ziel            Dienst      Richtlinie  	   Anmerkung
1 <ALLE> 192.168.0.10    TCP/1723 	GESTATTEN       mit IPS PPtP an SBS-Server 	
2 <ALLE> 192.168.0.10    GRE/49/47	GESTATTEN       mit IPS GRE an SBS-Server 	
3 <ALLE> 192.168.0.10 	TCP/443  	GESTATTEN 	HTTPS 	
4 <ALLE> 192.168.0.10 	TCP/987  	GESTATTEN 	Company Web an SBS-Server 	
5 <ALLE> 192.168.0.10 	UDP/500	  GESTATTEN 	an SBS-Server 	
6 <ALLE> 192.168.0.10 	UDP/4500    GESTATTEN 	an SBS-Server

    Leite also die entsprech. Ports von der ROTEN Zone an den Server 192.168.0.10 weiter. Egal, ob mit IP oder IPS - es wird gedroppt.

    Weiss nun nicht, warum die EFW meine Anfragen droppt :oops:

    Hat das Forum eine Idee???

    Viiieeelen Dank!

    Torsten

    • Offizieller Beitrag

    Moin,
    das sieht alles soweit richtig aus, Quelle – Ziel - Port.
    Hast du mal versucht als Quelle: "Zone/Vpn/Uplink" und dann "Uplink main (Rot)" aus zu wählen ?
    Ich setze hier immer noch die 2.2 ein, irgendwie traue ich der 2.3 nicht über den Weg.

    Gruß Sabine

    • Offizieller Beitrag

    Ich habe mal im Forum gestöbert, es sieht so aus als wenn es doch einige Probleme mit der 2.3 und der PPTP Einwahl gibt.
    Vielleicht solltest du auf die 2.2 umsteigen.

    Ps. Ich weiß nicht ob das so eine gute Idee ist den Port 443 für alle zu öffnen.

    Gruß Sabine

    Hallo Sabine,

    Zitat von &quot;Sabine&quot;

    Moin,
    Hast du mal versucht als Quelle: "Zone/Vpn/Uplink" und dann "Uplink main (Rot)" aus zu wählen ?

    ja, habe ich schon - leider vergeblich :(

    Zitat

    Ich setze hier immer noch die 2.2 ein, irgendwie traue ich der 2.3 nicht über den Weg.

    So weit bin ich nun auch schon fast - wo bekomme ich den Download der V. 2.2 noch her?


    Schöne Grüße,

    Torsten

    • Offizieller Beitrag
    Zitat von &quot;Torsten-S&quot;

    - wo bekomme ich den Download der V. 2.2 noch her?


    natürlich hier das sollte klappen :) im ie und ff :)

    https://www.efw-forum.de/www/forum/view…?f=38&amp;t=260

    Nabend,

    und? Läuft's mit der 2.2er Version?
    Ich habe nämlich ein ähnliches Problem mit 2.3er.

    Ebenfalls SBS 2008 hinter efw 2.3.

    Portweiterleitung für den Exchange will um's verre**en nicht funktionieren...

    mfg

    Stefan