1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

VPN über Airport Extreme

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von mcgruenigen, 29.04.08.

  1. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Hallo,

    Bekomme auf meinem Leopard Server (10.5.2) den VPN Dienst nicht zum Laufen. Der Server hängt an einer Airport Extreme Station (neuste Firmware).
    Die Verbindung scheitert sowohl mit PPTP als auch mit L2TP.
    Port 1723 für PPTP ist offen und wird zur IP des Servers geroutet.


    Jemand eine Idee?

    Log:
     
  2. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Was für eine AirPort Extreme Station genau? Da gab es ein paar Modelle die sich so genannt haben. Welche Firmware ist lt. Deiner Meinung nach "die Neueste"?

    Für PPTP VPN mußt Du Port 1723/tcp und Protocol GRE zum Server forwarden.

    Für L2TP mußt Du die Ports 500, 1701, 4500 alle udp sowie das Protocol ESP zum Server forwarden.


    Mehr Details zur Serverkoniguration und dessen Firewall Einstellungen sind notwendig. Mit welchem Client hast Du versucht Dich zu verbinden? Wir können nicht alles erraten was für Dich "eh klar" ist weil Du Deine Konfiguration kennst und davor sitzt. Mehr Details bitte!
    Gruß Pepi
     
  3. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Hallo,
    Die, die aktuell im Apple Store angeboten wird.

    Die letze, die Apple über das Airport Dienstprogramm anbietet, 7.3.1
    Ich habe probeweise auch 7.2.1 installiert.

    TCP 1723 für PPTP ist wetergeleitet, die Airport-Station bietet soweit ich sehe keine Möglichkeit, GRE zu fowarden.

    Der Server läuft unter erweiterter Konfiguration. Aktuell ist am Server kein Firewall-Dienst konfiguriert. Ich habe eine Verbindung von 2 Clients von extern versucht, von 3 verschiedenen Standorten. Beide Clients laufen unter 10.5.2.

    Der Server übernimmt DNS, die Airport Station DHCP.
    VPN Dienst ist gestartet, PPTP eingeschaltet und eine Port-Range konfiguriert (192.168.1.80 bis. 90), als DNS Sevrer ist dort die Server-IP eingetragen.

    Wie ich die Logs verstehe, bekommt der Server vom Client keine Antwort auf Anfragen, was bisschen nach Firewall/NAT-konfiguratonsfehler aussieht. Sowohl Server als auch Clients sind aber nicht hinter einer Firewall und der Port für PPTP ist wie gesagt zum Server geforwarded. Gibt es bei der Airport Extreme Konfiguration noch etwas zu beachten?
     
    #3 mcgruenigen, 29.04.08
    Zuletzt bearbeitet: 29.04.08
  4. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Ich bin wirklich positiv überrascht! Endlich jemand der es schafft gestellte Fragen auch tatsächlich zu beantworten! :) So macht das Spaß!


    Die aktuelle AirPort Extreme 802.11n Station ist in der Lage GRE und ESP automatisch weiterzuleiten. Du kannst dies, wie Du schon festgestellt hast tatsächlich nicht manuell einstellen. Das ist in diesem Fall auch nicht notwendig. (Ich habs nur so explizit dazugeschrieben, weil es öfter passiert, daß jemand ähnliches dann auf einem anderen Router analog anzuwenden versucht.)

    192.168.1..0/24 ist zwar eine mehr als nicht ideale IP-Range für ein LAN, aber dies zu ändern ist am Server etwas aufwändig und je nach restlicher Infrastruktur des Netzwerkes unter Umständen garnicht oder nur mit sehr viel Aufwand möglich. Solange Dein Client nicht die selbe IP Range im entfernten LAN kannst Du damit immer noch zwischen private und public Routes unterscheiden. (Was natürlich bei jeglicher IP Range geht, aber 192.168.1.0 wird halt sehr gerne von Wald-und-Wiesen-Routerchens verwendet.)


    Was für Clients hast Du versucht? Mac oder Windows? Welche Art der Verschlüsslung hast Du am Mac beim eingestellt? Der Fehlercode 34:17 läßt auf ein Verschlüsselungsproblem schließen.

    PPTP ist "kompatibler" wenns darum geht aus irgendwelchen Netzwerken rauszukommen. L2TP über IPSec ist sicherer. Wenn Du mit Windows Clients versuchst L2TP Connections über einen Router aufzubauen versuchst, dann bedenke, daß zB Windows XP SP2 (entgegen den Behauptungen von MS) nicht Nat-T fähig ist. Wie das mit SP3 und Vista aussieht mußte ich zum Glück noch nicht testen kann ich Dir leider nicht sagen.


    Ansonsten fällt mir noch ein, daß der DHCP Dienst auf dem Mac OS X Server laufen sollte. Nicht nur wegen der OD LDAP Announcements und ein paar anderen Geschichten. Das sollte zwar im Zuammenhang mit dem VPN Service keinen Unterschied machen… aber leider ist 10.5.x Server so dermaßen buggy, daß man die Dinger momentan ohnehin (noch) nicht wirklich produktiv einsetzen kann. (Es gibt momentan quasi keinen Dienst der problemlos arbeitet.)

    Kannst Du evt. ein zeitgleiches Log vom Server und von einem Mac OS X Client posten, daß man sich die Kommunikation zwischen den beiden genauer ansehen kann?
    Gruß Pepi
     
  5. nanus

    nanus Erdapfel

    Dabei seit:
    30.04.08
    Beiträge:
    2
    ich auch

    Hallo, ich habe auch das problem, dass ich über PPTP keinen connect
    zum Leopard VPN Server bekomme. Selbe Anzeigen im Log. Das Problem
    tritt bei mir aber nur in Verbindung mit Windosx XP als Client auf, wenn
    ich mich von einem OSX 10.5.2 System per PPTP zum VPN Server verbinde
    gibt es keine Probleme und der Login klappt.

    Bin gespannt woran das Problem liegt da ich im Moment auch nicht weiter
    weis was es sein könnte, da die Verbindung mit einem vorangegangenen
    10.4 server mit Windows XP Clients immer ging.
     
    #5 nanus, 30.04.08
    Zuletzt bearbeitet: 30.04.08
  6. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Liebes Tagebuch...

    30.04 - 10 Uhr
    Ich habe den VPN Dientst zum funktionieren gebracht...
    indem ich die Server-IP im Airport Dientprogramm unter Standard-Host (?!) eingetragen habe
    UND auf Firmware 7.2.1 downgegradet habe.
    Damit kann ich mich auf den Server einwählen, auf die Sharepoints zugreifen und Screensharing nutzen.

    Durch diesen Schritt hat sich aus unerfindlichen Gründen mein mühsam konfigurierter FTP-Dients verabschiedet und ist von extern nicht mehr erreichbar.

    30.04 - 12 Uhr
    Firmware-Upgrade auf 7.3.1, nun funktioniert der FTP Dienst (teilweise) und der VPN-Dients seltsamerweise auch noch immer, obwohl ich ihn vorher nur mit einem Downgrade auf 7.2.1 zum laufen bekommen habe.

    30.04 - 14 Uhr
    Nach Serverneustart (ohne irgendwas verändert oder installiert zu haben) ist der Server weder über FTP noch per VPN erreichbar, beide Dienste laufen. Beim ersten VPN-Verbindungsversuch (nach dem Neustart) wurde der Client erfolgreich verbunden, konnte aber weder auf die Sharepoints zugreifen noch Screen-Sharing nutzen. Bei allen weiteren Verbindungsversuchen wurde der Client nicht mehr verbunden.
    Erneuter Server/Client/Airport-Neustart brachten keine Besserung.

    Für heute geb ich's auf, ich melde mich morgen wieder, mit Logs und zehn neuen Ideen.
    Derweil danke für die Hilfe.

    Beide Clients laufen unter 10.5.2, analog zum Server ist die Verschlüsselung auf PPTP eingestellt, bei der Konfiguration am Client kann ma glaube ich nicht viel falsch machen...externe IP, gültiger Benutzername und Passwort, in den erweiterten Optionen habe ich probeweise alles möglichen Kombinationen versucht.
     
    #6 mcgruenigen, 30.04.08
    Zuletzt bearbeitet: 30.04.08
  7. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Der sog. Standard Host ist das was andere Router als "DMZ" Misbezeichnen. Spätestens jetzt ist Dein Server also komplett offen, es sei denn Du hast den Firewall inzwischen konfiguriert und aktiviert.
    Gruß Pepi
     
  8. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Sowas ähnliches habe ich mir schon gedacht, nur eben versuchsweise so ziemlich jede verfügbare Option probiert ;)

    Aktueller Stand...
    Server IP (fest): 192.168.1.200
    Airport IP: 192.168.1.1
    Airport DHCP Range: 192.168.1.2 - 192.168.1.190
    Airport Firmware 7.3.1, TCP 1723 zu 192.168.1.200 geroutet, Standard-Host deaktiviert
    PPTP VNP Range: 192.168.1.70/80

    Vor einer Stunde hat VNP von extern mit diesem Einstellungen auf einmal funktioniert, nach trennen der Verbindung und nach zig erneuten Verbindungsversuchen werde ich entweder nicht verbunden (Client Log Nr.1) oder verbunden, kann aber nicht auf das Netzwerk zugreifen (Client Log Nr.2)

    Client Log Nr. 1:
    Client Log Nr. 2:
    [​IMG]

    --> Der Client wird verbunden und erhält eine IP aus der konfigurierten Range, es werden nur Pakete gesendet, nicht empfangen. Kein Zugriff auf Sharepoints und Screensharing, weder über den FQD Namen des Servers noch über die IP.
     
    #8 mcgruenigen, 30.04.08
    Zuletzt bearbeitet: 30.04.08
  9. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Aus Client Log Nr. 2
    Dein 2. Client und Dein Server haben nicht zufällig die selbe IP Range im LAN? 192.168.1.0/24?
    Dann bekommst Du zwangsläufig probleme mit der Default Route. "Sämtlichen Traffic übers VPN senden". Dann bist Du nämlich entweder im eigenen LAN oder im VPN LAN.


    Kannst Du aus dem LAN des Servers den Server denn per interner IP Fernsteuern? Wenn Du übers VPN kommst, mußt Du dementsprechend auch die LAN IP des Servers verwenden, bzw. eine FQDN der im LAN auflöst. So in der Art.
    meintollerserver.meinnetzwerk.lan has address 192.168.1.200
    Mit dem externen FQDN kommst Du genau bis zum externen Interface des AirPorts. (Geht ja eine andere Route)

    Du solltest übrigens am Server noch eine public route ergänzen in der VPN Config.
    0.0.0.0 public

    Hast Du schon versucht den DHCP Server auf der AirPort Station abzuschalten und den am Server zu verwenden?
    Gruß Pepi
     
  10. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Die beiden Logs oben sind nicht von zwei verschiedenen Clients, sondern von ein und dem selben und wechseln sich scheinbar zufällig je nach Verbindungversuch ab.
    Der Remote-Client hat im (entfernten) LAN die IP 192.168.1.6 und bekommt nach der VPN-Verbindung vom Server eine IP aus der Range 192.168.1.70/80 zugewiesen.
    Ist das problematisch? Wenn ja, wie würde hier die Lösung ausschauen? VPN-Range auf 192.168.0... verlagern?
    "Gesamten Verkehr über VPN senden" habe ich schon versucht.

    Aus dem LAN geht alles einwandfrei...Server-Fernsteuerung, freigegebene Ordner, FQD Name des Servers wird aufgelöst.

    Ja, nach der Verbindung per VPN nehme ich natürlich die interne Server-IP, sprich 192.168.1.200.

    Mache ich. Bis jetzt hatte ich nur eine private route konfiguriert, 192.168.1.0/255.255.255.0 private.

    Nein, noch nicht, werde ich versuchen. DHCP am Server war zuerst eigentlich geplant, aber nachdem mich der Leopard Server bis jetzt nur gequält hat und quasi jeder neu zugeschaltete Dienst sich auf andere, schon funktionierende ausgewirkt hat, wollte ich das möglichst vermeiden.
     
  11. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Wie soll denn die Routingtable zwischen den beiden 192.168.1.0/24 Netzen unterscheiden können? Kann nicht gehen. Daher kannst Du nur entweder, oder im Zugriff haben. Je nachdem ob Dein Ethernet (built-in) bzw. AirPort oder Dein VPN Interface in der Liste weiter oben steht wird es entsprechend bevorzugt. Das bedeutet, Du bist dann entweder nur im VPN oder nur im lokalen LAN.

    Du solltest grundsätzlich in jedem LAN eine unterschiedliche Range vergeben und um alles in der Welt die 192.168.0.0/24 und 192.168.1.0/24 vermeiden wie die Pest. Jeder blöde Wald-und-Wiesen-Router auf diesem Planeten vergibt diese Ranges. Sei kreativ und nimm was ganz anderes!
    192.168.48.0/24 oder 10.68.42.0/24 oder was weis denn ich, eigentlich egal, aber eben was anderes als das was überall läuft. Dann hast Du deutlich weniger Troubles mit solchen Dingen.

    Check mal auf Deinem Client die Reihenfolge der Interfaces!
    Gruß Pepi
     
  12. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Ok, das leuchtet ein...

    Ich habe jetzt folgendes versucht:
    - Rehenfolge der Verbindungen am Client: VPN vor Airport und umgekehrt
    - Verbindung mit und ohne "Gesamten Verkehr über VNP weiterleiten"
    - Router des entfernten Netzwerks hat jetzt 192.168.4.1, der Client bekommt 192.168.4.2 zugewiesen.

    Das Problem bleibt, die logs sind die selben. Bei den ersten 4-5 Verbindungensversuchen werde ich nicht verbunden, so beim 6. (mit gleichbleibenden Einstellungen) läuft die VPN Verbindung, aber kein Zugriff auf den Server.

    Noch eine Idee?
     
  13. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Was schreibt der Server im Log mit wenn Du Dich erfolgreich/erfolglos verbindest?
    Gruß Pepi
     
  14. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Ich habe den Server jetzt neu aufgesetzt, also frische Leopard Installation + 10.5.2.
    Airport resetet und neu eingestellt.

    Das Problem mit VPN besteht weiterhin, wenigstens funktionieren jetzt die anderen Sachen wie gedacht. Also auf ein Neues...

    Airport IP: 192.168.5.1
    Server-IP: 192.168.5.2
    VPN-Range: 192.168.5.70/80
    Leider habe ich keine Möglichkeit gefunden, DHCP auf der Airport Station abzuschalten, um es auf den Server zu verlagern...ausser sie im Bridge-Modus zu benutzen vielleicht, aber dann bin ich auch das NAT Port-Mapping auch los...

    Nach wie vor wechseln sich die weiter oben geposteten Logs je nach Verbindungsversuch fröhlich ab.

    Server Log, nachdem der Client verbunden wurde, aber keinen Zugriff auf den Server hat:

    Wenn ich jetzt versuche, z.B auf freigegebene Ordner zuzugreifen, spucken die Client-Logs folgendes aus:
    dlil_output: output error retval = 37

    http://discussions.apple.com/thread.jspa?threadID=1208715&tstart=0

    Ich werde weiter rumtesten, vielleicht hat ja in der ziwschenzeit jemand eine Idee...
     
  15. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    -doppelpost-
     
    #15 mcgruenigen, 03.05.08
    Zuletzt bearbeitet: 03.05.08
  16. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    So, weiter experimentiert...
    Wenn ich die Airport Station neustarte, während der Server schon läuft, funktioniert VPN über PPTP einwandfrei. Und zwar nur bei einem Neustart durch Stecker ziehen...ein Neustart über das Airport Dientprogramm (z.B nach einer Änderung der Konfiguration) bringt nichts.

    Das allerlustigste an der Ganzen Sache ist aber, das die Verbindung nach einer Weile (ein Paar erfolgreiche Verbindungen oder etwa 15-20min) nicht mehr funktioniert, dann welchseln sich wieder in Post #8 genannten Logs ab. Nach einem Neustart der Station durch Stecker ziehen fängt das Spiel wieder von vorne an.

    Klingt seltsam, ist aber so, ich bin seit ein Paar Stunden am Testen, es ist reproduzierbar.

    Ideen? Empfehlungen?
    Danke.
     
    #16 mcgruenigen, 04.05.08
    Zuletzt bearbeitet: 04.05.08
  17. Patrick

    Patrick Uelzener Rambour

    Dabei seit:
    01.05.04
    Beiträge:
    366
    Unabhängig von Deiner Problematik ist die Anbindung eines Servers über WLAN die denkbar schlechteste. Wenn schon keine Kabelverbindung möglich ist, dann verwende doch wenigstens Powerline (Richtung Internet). Das Pärchen bekommt man schon für unter 80 Euronen und sollte die Stunden, die Du mit den Versuchen, die Anbindung über WLAN hinzubekommen, verbraten hast, aufwiegen.
     
  18. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Hallo Patrick
    Der Server selbst ist ja nicht über WLAN eingebunden, der hängt per Kabel an der Airport Station.
     
  19. mcgruenigen

    mcgruenigen Jonagold

    Dabei seit:
    29.04.08
    Beiträge:
    20
    Die Odyssee hat ein Ende, die Airport Station hat einem Linksys Router Platz gemacht und alles tut, wie es soll...
    Danke Pepi für die Hilfe.
     

Diese Seite empfehlen