VPN mit OS 10.5 Server

[werkplan]

Hallo liebe Community,

ich habe eine MAC OS 10.5. Server laufen an einem Telekom Speedport W 303V und bin irgendwie zu doof, das mit dem VPN Zugang richtig einzurichten.

Was habe ich bis jetzt gemacht ?:
- Bei DynDns einen einen account eingerichtet und einen Host bekommen
- Auf dem Router die Ports 50, 51, 500, 1701 und 4500 getriggert und Freigegeben
(kann mir jemand erklären warum es
a) Port-Weiterleitung
b) Port Umleitung
c) Port Öffnung (dyn)
gibt ?
Was muss ich hier wo freigeben ???
- Auf dem Router den server und mein Mac Book pro als zugelassene Geräte eingetragen für Port Öffnung (dyn) eingetragen
- Auf dem Server die L2TP über Ipsec Variante aktiviert
- Den Schlüssel eingetragen

Nix geht....

Was habe ich vergessen, was muss ich noch tun....
HELP
Matthjias

 

[stk]

Moin,

Du mußt Portweiterleitungen auf den UDP-Ports 500, 1701 und 4500 an den Server einrichten.

Gruß Stefan

 

[werkplan]

Hi Stefan, danke schön, das habe ich gemacht, dazu noch die Ports 50 und 51....weitergeleitet....

Geht immer noch nix...

Gruß matthias

 

[stk]

Moin,

welche Einstellungen hast Du auf dem Server getroffen? Welche auf den Clients? Ein Dump oder Screens wären hilfreich.

Gruß Stefan

 

[werkplan]

Hio Stefan,
Hier mal drei screens vom server 10.5. VPN und firewall.

Gruß Matthias

 

[stk]

Moin,

hmm, nur mal was mir spontan einfällt um die Fehlersuche weiterzutreiben: was passiert, wenn Du die Firewall mal komplett ausschaltest? Hast Du wirklich die UDP-Ports oder die TCP-Ports im Router durchgereicht?! Wo kommen die IPs für die VPN-Verbindungen her, wenn der DHCP-Server nicht eingeschaltet ist? Wer ist der DNS 192.168.2.1 - der Router? Der OS X Server ja wohl kaum. Und bist Du sicher das der OD zur Benutzerverwaltung wirklich korrekt läuft ohne DNS/DHCP?

Und was erzählt der Client beim Anmeldeversuch? Kommt er bis »Identifizieren« oder trennt er schon vorher. Und Du wirst die VPN-Verbindung auch nicht aus dem internen Netz heraus testen wollen?

Gruß Stefan

 

[werkplan]

Moin, danke erstmal....
also Du meinst ich muss die DHCP und DNS Dienste einrichten ? O.K. Ich dachte, DNS macht der Router und DHCP braucht man nicht.....? Habe zumindest irgendwo im WWW gelesen ?

192.168.2.1 ist der Router der Telekom. DNS Server Adresse habe ich dem Router entnommen.

Ich bin Neuling in sachen server und wurschtle hier rum und bin für jede Hilfe dankbar....werde sicher bald zum Experten

Wuerdest Du so nett sein und auf die Screens von den DHCP Einstellungen sehen ....o.k. so ?

Nein, ich teste die VPN Einstellungen nicht vom Netz aus.....

Grüße Matthias

 

[pepi]

Hast Du die Ports am Mac OS X Server Firewall auch freigegeben und auch das Protokoll ESP? (50, 51 haben mit VPN nichts zu tun.) Dein VPN Client muß übrigens NAT-T unterstützten, was bei Windows XP theoretisch ab Service Pack 2 funktionieren sollte, in Realität aber meist anders aussieht. Am Mac (10.4 aufwärts) und auch mit dem iPhone oder dem iPod touch ist das kein Problem.
Gruß Pepi

 

[Atelis]

Hi!
Bin nach langer Zeit auch mal wieder da. Komme auch sofort zur Sache - ich habe folgendes System:

1. Eine Fritzbox direkt an DSL (DHCP, hat die IP 10.0.8.1)
2. Eine AirPortExtreme Station, die über ein LAN-Kabel an die Fritzbox angeschlossen ist und ein WLAN-Netz erzeugt (DHCP, hat immer die IP 10.0.8.15, einigen Rechnern ist eine feste IP für Portweiterleitungen zugewiesen)
3. WLAN hat die IP-Adressen 10.0.0.1 bis 10.0.0.100, wobei 10.0.0.1 natürlich die APStation.
4. Ca. 6 Rechner (Mac und Win), die per WLAN mit der AirPortExtreme verbunden sind.

Wenn ich Dienste über das Internet verwenden will, so muss ich sie erst in der Fritzbox freigeben und dann nochmals in der APExtreme. Hat bis jetzt auch immer wunderbar funktioniert mit SSH, Web und einigen Ports, die bestimmte Programme brauchen.

Jetzt habe ich einen VPN-Server im Netzwerk (auf einem Mac OS Server 10.5), mit folgenden Einstellungen: L2TP über IPSec und Schlüssel und ich will mich erstmal nur mit Mac-Clients verbinden. IP-Adressen gehen von 10.10.0.1 bis 10.10.0.100.
Mit der lokalen Adresse "meinvpnserver.local" kann ich mich problemlos mit dem Server verbinden und alles funktioniert tadellos, aber ich will natürlich vom Internet aus auf mein lokales Netz zugreifen können.
Habe nun auf der Fritzbox die Ports 500, 1701 und 4500 (alle UDP) und das Protokoll ESP an die AirPortStation weitergeleitet. Auf der AirPortStation die gleichen Ports an die feste IP-Adresse des VPN-Servers. Habe nun im Internet gelesen, dass das Protokoll automatisch weiter gegeben wird. Stimmt das? Muss ich dafür nichts machen?

Mein Problem ist jetzt, dass ich mich nicht verbinden kann, wenn ich es über die feste IP versuche, über die wir im Internet erreichbar sind. Die Fehlermeldung auf dem Clienten sagt, dass der Server nicht anwortet - scheint also ein Problem mit den Weiterleitungen zu geben.

Kann mir jemand weiterhelfen?

 

[stk]

Moin,

Habe nun auf der Fritzbox die Ports 500, 1701 und 4500 (alle UDP) und das Protokoll ESP an die AirPortStation weitergeleitet. Auf der AirPortStation die gleichen Ports an die feste IP-Adresse des VPN-Servers.

Dein Server wird doch sicher nicht per Airport angebunden sein ?! Welche Rolle also hat in dem Kontext die APX? Wenn der Server (was ich wahlweise unterstelle oder empfehle) direkt an der FB hängt, dann sollte die Weiterleitung auf den Server zeigen, nicht auf die APX.

Gruß Stefan

 

[Atelis]

Dein Server wird doch sicher nicht per Airport angebunden sein ?!

Doch, muss er, da ich nur per WLAN zum Server komme.

 

[pepi]

Wer baut solchen Unsinn mit einem VPN Server hinter Double NAT und über WLAN?

Das kann und wird nicht gehen! Nicht wegen des WLANs, sondern wegen des doppelten NAT. Da hilft auch kein NAT-T nicht mehr.
Gruß Pepi

 

[stk]

Moin,

Wer baut solchen Unsinn mit einem VPN Server hinter Double NAT und über WLAN?

/signed - viel mehr fällt mir da auch nicht mehr zu ein, als: richte Dir ein vernünftiges Netzwerk mit stimmiger Konfiguration her.

Gruß Stefan

 

[Atelis]

Wer baut solchen Unsinn mit einem VPN Server hinter Double NAT und über WLAN?

Na ich! Ok, werde dann nochmal nach einer alternativen Lösung für das Netzwerk suchen. Wollte eigentlich nicht alles wegen meinem VPN-Server umbauen und dachte es würde reichen, wenn alle Daten an den Server durchgereicht werden. Mal sehen, was ich da mache...

 

[stk]

Moin,

die einfache (aber teure) Lösung heißt: APX als reinen Accesspoint (Bridgemode wimret) betreiben. Resp. die APX durch einen beliebigen 30 EUR Accesspoint ersetzen und gut ist.

Gruß Stefan

 

[Atelis]

Im Brigde-Modus kann ich aber keine festen IP-Adressen an bestimmte MAC-Adressen vergeben, da das die Fritzbox nicht kann, obwohl die noch recht neu ist. Woher weiß ich dann, welche IP-Adresse mein Server nach einem Router/APX-Neustart hat?

Was bedeutet "wimret"?

 

[stk]

Moin,

wimret = wenn ich mich recht erinnern tu'

Wenn Du schon einen OS X Server hast, dann laß ihn doch auch DHCP-Server spielen

Gruß Stefan

 

[Atelis]

Wenn Du schon einen OS X Server hast, dann laß ihn doch auch DHCP-Server spielen

Mmh, geht das dann auch, wenn an den LAN-Anschluss der Fritzbox noch zweites Gerät neben der APX gehängt wird? Ansonsten hört sich das gut an, außer dass das Netzwerk nicht funktioniert, wenn der Server mal down ist (Absturz, Neustart) was mir eigentlich nicht so gefällt... Was muss ich denn bei der Fritzbox statt DHCP einstellen?

 

[stk]

Moin,

Netz ist Netz - über welchen Hub/Switch/Router Du das laufen läßt ist wurscht. Server laufen. Und wenn ein Neustart ansteht, dann hilft dir die Leasetime weiter, wenn sie denn nur groß genug gewählt ist. Und DHCP in der FB wird einfach nur ausgeschaltet und fertig.

Gruß Stefan

 

[Atelis]

Moin,

Netz ist Netz - über welchen Hub/Switch/Router Du das laufen läßt ist wurscht. Server laufen. Und wenn ein Neustart ansteht, dann hilft dir die Leasetime weiter, wenn sie denn nur groß genug gewählt ist. Und DHCP in der FB wird einfach nur ausgeschaltet und fertig.

Gruß Stefan

Ok, vielen Dank. Werde das mal ausprobieren.