Problem VPN till Windows server 2012

Permalänk

Problem VPN till Windows server 2012

Jag har väldiga problem med min nya server som jag har lagt upp här hemma. Jag kör Windows server 2012 på denna. Jag har Bahnhof som internetleverantör för mitt fiber.

Det jag har upplagt är alltså följande:

Fiberkonverterare
Router Cisco RV042G
Server

Jag försöker att få igång VPN, men jag är väldigt novis vad gäller ip-nummer och dylikt. Vad ska jag ha för IP-adress på min server? Vad ska jag ha för standard gateway och DNS.

Får inte till något hur mycket jag än försöker att dribbla mellan adresser. Jag har skapat ett AD konto och lagt till remote access och jag tänker som först försöka få igång PPTP mellan klient och server.

Var tusan ska jag börja och hur kommer jag att kunna komma åt servern exempelvis från jobbet?

Tacksam för hjälp.

Permalänk
Medlem

Det enklaste är att aktivera pptp VPN i din router. Under VPN finns där ett val, bara att skapa ett konto. Värt att tänka på är att pptp VPN inte har så hög säkerhet och att det inte fungerar via en iphone.

Kan vara så att pptp-funktionen i routern stör den du försöker köra igång i servern.

Sedan får du kolla så att du får en publik IP från Bahnhof. Det gör du genom att jämföra WAN-adressen som står i routern med den du kan se från sidor som www.mittip.se

När du kopplat upp VPN, vilket man med pptp gör enklast från klienten om är inbyggd i Windows. Så når du servern med samma IP-adress som du gör när du är hemma

Permalänk
Skrivet av jocke92:

Det enklaste är att aktivera pptp VPN i din router. Under VPN finns där ett val, bara att skapa ett konto. Värt att tänka på är att pptp VPN inte har så hög säkerhet och att det inte fungerar via en iphone.

Kan vara så att pptp-funktionen i routern stör den du försöker köra igång i servern.

Sedan får du kolla så att du får en publik IP från Bahnhof. Det gör du genom att jämföra WAN-adressen som står i routern med den du kan se från sidor som www.mittip.se

När du kopplat upp VPN, vilket man med pptp gör enklast från klienten om är inbyggd i Windows. Så når du servern med samma IP-adress som du gör när du är hemma

Tack för tipsen.

När jag kollat upp adressen som du gav mig får jag ett ip på 172.xxxxxxxx Men när jag kopplar förbi routern och kopplar in den direkt mot fiberkonverten får jag ett ip på 46.xxxx. Hur kommer det sig?

Skickades från m.sweclockers.com

Permalänk
Medlem

Om du använder routerns egen VPN så kommer du få ett ip-nummer externt när du ansluter datorn i routern och ett annat när du ansluter datorn direkt till medieomvandlaren. Genom routern får du ett WAN IP från din VPN leverantör och genom medieomvandlaren får du ett IP från Bahnhof.

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av invisigoth:

Tack för tipsen.

När jag kollat upp adressen som du gav mig får jag ett ip på 172.xxxxxxxx Men när jag kopplar förbi routern och kopplar in den direkt mot fiberkonverten får jag ett ip på 46.xxxx. Hur kommer det sig?

Skickades från m.sweclockers.com

Vet inte, men troligen något med bahnhofs DHCP-server. Det du ska göra är att jämföra den address som enheten fått (ipconfig/routerns status-sida) med den som omvärlden (www.mittp.se) ser. Då vet du om de delar ut publika adresser eller ej. För att spara på publika adresser så har de börjar med NAT på sina kunder. Gäller inte alla stadsnät och man kan kontakta dem för att få en publik.

Permalänk
Skrivet av Garmzon:

Om du använder routerns egen VPN så kommer du få ett ip-nummer externt när du ansluter datorn i routern och ett annat när du ansluter datorn direkt till medieomvandlaren. Genom routern får du ett WAN IP från din VPN leverantör och genom medieomvandlaren får du ett IP från Bahnhof.

Skickades från m.sweclockers.com

Ok, men hur går jag i sådana fall tillväga. Om jag skapar en server med en viss fast ip adress och sedan vill jag ansluta min klient till denna. Det funkar utmärkt att ansluta när jag ligger inom samma lan med kabel.

Men vet inte vad jag ska ha för inställningar när jag kopplar upp externt? Vad ska jag koppla upp mot? Viken ip?

Permalänk
Medlem

För att du ska kunna hosta en server från din Bahnhof uppkoppling måste du beställa fast IP. Det är det IP du ansluter mot. Sen hanterar din router vilken server som sen ska ta hand om ett sådant anrop

Skickades från m.sweclockers.com

Permalänk
Skrivet av Garmzon:

För att du ska kunna hosta en server från din Bahnhof uppkoppling måste du beställa fast IP. Det är det IP du ansluter mot. Sen hanterar din router vilken server som sen ska ta hand om ett sådant anrop

Skickades från m.sweclockers.com

Måste jag verkligen ha ett fast ip för det? Jag har varit kund hos dom i snart 4 år och har haft samma ip hela tiden.

Permalänk
Medlem
Skrivet av Garmzon:

Om du använder routerns egen VPN så kommer du få ett ip-nummer externt när du ansluter datorn i routern och ett annat när du ansluter datorn direkt till medieomvandlaren.

Vad har routerns VPN funktion med vilken IP man får att göra? Klart man får olika IP-adresser bakom routern och direkt i medieomvandlaren, annars hade det blivit IP-konflikt.

Skrivet av Garmzon:

Genom routern får du ett WAN IP från din VPN leverantör och genom medieomvandlaren får du ett IP från Bahnhof.

Skickades från m.sweclockers.com

Ja, om du använder en typ anonymiserings-VPN får du helt annan IP än vad Bahnhof delar ut på tjänster som (www.mittip.se). Det är hela poängen. Men nu var det inte det vi diskuterade, TS vill komma åt sin server utifrån via sin egen VPN-server.

Permalänk
Medlem
Skrivet av invisigoth:

Måste jag verkligen ha ett fast ip för det? Jag har varit kund hos dom i snart 4 år och har haft samma ip hela tiden.

Du behöver inte fast IP. Du kan ha tur och ha samma IP i evigheter och då ska du vara glad. Eller finns det tjänster som dyndns och NO-ip som uppdaterar ett DNS-namn automatiskt när du får ny ip. Tex. invisigoth.no-ip.org alltid leder hem till din router. Ibland finns en tjänst redan i routern, vet att Asus har inbyggd sådan där man får något.asusrouter.com eller nåt.

Det du behöver är en publik IP. Så de inte kör CGN i ditt stadsnät för då måste man anmäla att man vill ha publik IP.

Permalänk
Medlem

@invisigoth

Vad är det du vill uppnå, att kunna nå din server utifrån? Varför måste du ha just ett VPN och inte bara koppla upp dig direkt? Sen brukar många arbetsplatser, iaf de med nätverkstekniker med förstånd, spärra t.ex. utgående VPN annat än om det finns bra skäl att tillåta det (sen finns ju SSL VPN också och liknande som gör det hela lite annorlunda). Men tänk på att du i praktiken öppnar upp en bakdörr in i företagets nätverk om det görs på felsätt, typ någon hackar din server och du kör VPN till den från din arbetsplats. Men nu spekulerar jag en hel del

Permalänk
Skrivet av jocke92:

Du behöver inte fast IP. Du kan ha tur och ha samma IP i evigheter och då ska du vara glad. Eller finns det tjänster som dyndns och NO-ip som uppdaterar ett DNS-namn automatiskt när du får ny ip. Tex. invisigoth.no-ip.org alltid leder hem till din router. Ibland finns en tjänst redan i routern, vet att Asus har inbyggd sådan där man får något.asusrouter.com eller nåt.

Det du behöver är en publik IP. Så de inte kör CGN i ditt stadsnät för då måste man anmäla att man vill ha publik IP.

Kollade upp min ip och den är publik. Hörde att folk haft problem detta vad gäller Bahnhof. Men problemet kvarstår; jag har öppnat upp alla brandväggar. Jag kommer åt servern med kabel mot samma router. Men jag kommer inte alls år vpn. Hur ska jag konfa server och klient?

Skickades från m.sweclockers.com

Permalänk
Skrivet av improwise:

@invisigoth

Vad är det du vill uppnå, att kunna nå din server utifrån? Varför måste du ha just ett VPN och inte bara koppla upp dig direkt? Sen brukar många arbetsplatser, iaf de med nätverkstekniker med förstånd, spärra t.ex. utgående VPN annat än om det finns bra skäl att tillåta det (sen finns ju SSL VPN också och liknande som gör det hela lite annorlunda). Men tänk på att du i praktiken öppnar upp en bakdörr in i företagets nätverk om det görs på felsätt, typ någon hackar din server och du kör VPN till den från din arbetsplats. Men nu spekulerar jag en hel del

Jag vill kort och gott komma åt min server från vilken plats som helst i hela världen.

Sedan är det drygt 15 andra personer som vill göra samma sak.

Skickades från m.sweclockers.com

Permalänk
Medlem

Spelar ingen roll ifall du har samma nattade IP adress i flertalet år. Det är en NAT IP adress du får av Bahnhof om du inte bett om något annat. Har du en fast publik IPadress tilldelat din medieomvandlare så spelar det ingen roll vad du stoppar i för enhet, efter att ha blivit verifierad hos dhcp.bahnhof.se så får du samma fasta publika IP tilldelat.

Jag kör dubbla WAN IP med min medieomvandlare. En NATtad och en fast.

Har du en publik fast IP, kommer åt VPN servern från LAN och gjort port forward på din PPTP port i routern till din servern så konfigurerar du helt enkelt din klient att ropa på ditt fasta publika IP och den port du valt. Se dock till att din server har ett dedikerat LAN IP så du inte behöver göra om port forward efter nästa åsknesslag.

Skickades från m.sweclockers.com

Permalänk
Skrivet av Garmzon:

Spelar ingen roll ifall du har samma nattade IP adress i flertalet år. Det är en NAT IP adress du får av Bahnhof om du inte bett om något annat. Har du en fast publik IPadress tilldelat din medieomvandlare så spelar det ingen roll vad du stoppar i för enhet, efter att ha blivit verifierad hos dhcp.bahnhof.se så får du samma fasta publika IP tilldelat.

Jag kör dubbla WAN IP med min medieomvandlare. En NATtad och en fast.

Har du en publik fast IP, kommer åt VPN servern från LAN och gjort port forward på din PPTP port i routern till din servern så konfigurerar du helt enkelt din klient att ropa på ditt fasta publika IP och den port du valt. Se dock till att din server har ett dedikerat LAN IP så du inte behöver göra om port forward efter nästa åsknesslag.

Skickades från m.sweclockers.com

Ok, så jag måste helt enkelt kontakta Bahnhof i detta ärende? När jag loggar in på sajten du nämner och kollar upp ip så säger den att något är fel. Att jag inte ska ha den adressen jag ligger på.

Permalänk
Medlem

Som tidigare nämnt måste du först och främst ha en publik ip från bahnhof, borde gå att gå in på dhcp.bahnhof.se

sedan ska du inte förvänta dig at PPTP fungerar som VPN.
Detta protokoll är blokerat i de flesta mobila nät i Svergie idag, byt till OpenVPN så ska du se att det kommer i framtiden fungera bättre med.

Permalänk
Medlem
Skrivet av jocke92:

Det enklaste är att aktivera pptp VPN i din router. Under VPN finns där ett val, bara att skapa ett konto. Värt att tänka på är att pptp VPN inte har så hög säkerhet och att det inte fungerar via en iphone.

Kan vara så att pptp-funktionen i routern stör den du försöker köra igång i servern.

Sedan får du kolla så att du får en publik IP från Bahnhof. Det gör du genom att jämföra WAN-adressen som står i routern med den du kan se från sidor som www.mittip.se

När du kopplat upp VPN, vilket man med pptp gör enklast från klienten om är inbyggd i Windows. Så når du servern med samma IP-adress som du gör när du är hemma

Börja om från början.
Nuvarand (kanske gammalt då det är det) är att man inte får använda domain.local. Finns ingngen korekt. Men då jag kollade sist så var det domännamn.internal som rekomenderades. Sen ska vi oberoende av om vi pratar en ensam server eller flera inte göra det puböica dns nanet känt.

Vi visar VPN namnet utåt. Men inte mer om vi inte måste.

Vägen in ska gå via en annan server än AD, och AD får inte synnas utot det är depencis det handlar om. En grund ide som sagt.

1337 suckar nog åt mig nu.

Visa signatur

CPU: 5900x. Mem:64GB@3200 16-17-17-34-1T. (ImDIsk)
GPU: 1080 Ti@ca 6-7%OC. Sound: SB-Z -> toslink (DTS)-> old JVC. MB Realtek to Z-2300 for VOIP.

Permalänk

@SNorkSWE:

Jag var nu i kontakt med Bahnhof och båda mina adresser som jag får är publika, så då kan det inte var det som är problemet?

Permalänk

@hACmAn:

Ok, men jag har som sagt publika adresser. Så jag förstår inte hur jag inte kan koppla upp mig mot servern. Har skapat en användare i AD som har tillåtelse att kontakta servern och jag har stängt ner brandväggen på både klienten och servern.

Fungerar inte när jag kör via router och fungerar inte när jag kör direkt i fiberkonverteraren.

Vilken inställning bör vara på klienten? Vilken IP-adress ska den försöka kontakta och vilka inställningar ska jag ha i Ipv4 konfigurationen på själva VPN-anslutningen?

Permalänk
Medlem

Kolla att du verkligen öppnat porten för PPTP med http://canyouseeme.org/

Skickades från m.sweclockers.com

Permalänk
Skrivet av Garmzon:

Kolla att du verkligen öppnat porten för PPTP med http://canyouseeme.org/

Skickades från m.sweclockers.com

På vilken port jag än försöker så får jag som svar "No route to host" Vad betyder det?

Permalänk
Medlem

Du ska bara prova den port du tänkt använda för VPN. Den porten måste vara öppen i brandväggen på din router.

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av invisigoth:

Jag vill kort och gott komma åt min server från vilken plats som helst i hela världen.

Sedan är det drygt 15 andra personer som vill göra samma sak.

Skickades från m.sweclockers.com

För egen del gav jag för länge sedan upp "server i garderoben" tanken nu när det går att hyra servrar i riktiga datahallar för så låga priser. Så slipper man mycket ångest och problem på samma gång. Men hoppas du får ordning på det hur som helst!

Permalänk
Medlem
Skrivet av invisigoth:

@hACmAn:

Ok, men jag har som sagt publika adresser. Så jag förstår inte hur jag inte kan koppla upp mig mot servern. Har skapat en användare i AD som har tillåtelse att kontakta servern och jag har stängt ner brandväggen på både klienten och servern.

Fungerar inte när jag kör via router och fungerar inte när jag kör direkt i fiberkonverteraren.

Vilken inställning bör vara på klienten? Vilken IP-adress ska den försöka kontakta och vilka inställningar ska jag ha i Ipv4 konfigurationen på själva VPN-anslutningen?

Du ska ange din routers publika IP-adress när du lägger upp din vpn-anslutning i din klient.

I Windows 10 är det enkelt att få till. Gå in i den nya kontrollpanelen och under VPN lägger du till anslutningen. Tänk på att du måste vara utan för ditt nät. Adressen där är din publika IP, och sedan loginet är kontot du skapat. Resten behöver du inte röra.

Vet inte vilket du försöker med, att köra pptp-servern i routern eller i servern. Men i routern måste du lägga till rollen för routing and remote access och ev. göra inställningar där. Var länge sedan jag gjorde det

Permalänk
Skrivet av jocke92:

Du ska ange din routers publika IP-adress när du lägger upp din vpn-anslutning i din klient.

I Windows 10 är det enkelt att få till. Gå in i den nya kontrollpanelen och under VPN lägger du till anslutningen. Tänk på att du måste vara utan för ditt nät. Adressen där är din publika IP, och sedan loginet är kontot du skapat. Resten behöver du inte röra.

Vet inte vilket du försöker med, att köra pptp-servern i routern eller i servern. Men i routern måste du lägga till rollen för routing and remote access och ev. göra inställningar där. Var länge sedan jag gjorde det

Ok, jag ska försöka med detta. Det jag försöker uppnå är att köra PPTP i servern. Har skapat användare AD och ställt in dessa. Problemet är bara att jag inte kommer åt servern. Men det verkar vara något galet med portarna i routern. Fastän jag öppnar upp dessa i routern så är dom blockerade när jag kollar på canyouseeme.ord

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av invisigoth:

Ok, jag ska försöka med detta. Det jag försöker uppnå är att köra PPTP i servern. Har skapat användare AD och ställt in dessa. Problemet är bara att jag inte kommer åt servern. Men det verkar vara något galet med portarna i routern. Fastän jag öppnar upp dessa i routern så är dom blockerade när jag kollar på canyouseeme.ord

Skickades från m.sweclockers.com

En sak du kan testa är att lokalt i ditt lan skapa en pptp anslutning direkt mot serverns lokala IP. Då ser du om servern tillåter dig att logga in och skapa tunneln korrekt.

Här finns en guide för en liknade router på hur du öppnar portar. https://portforward.com/cisco/rv120w/

Permalänk

Är inga problem att skapa ett lokalt PPTP och komma åt servern.

Antar att det är något galet med portarna i routern då? Är det möjligtvis Bahnhof som har blockerat vissa portar?

Permalänk
Medlem
Skrivet av invisigoth:

Är inga problem att skapa ett lokalt PPTP och komma åt servern.

Antar att det är något galet med portarna i routern då? Är det möjligtvis Bahnhof som har blockerat vissa portar?

Nej så länge du inte försöker ansluta på port 25. Den är blockerad har jag för mig pga spambotar

Eftersom du inte ser din server från canyouseeme så är det portarna i routern du ska lösa först
Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av invisigoth:

Är inga problem att skapa ett lokalt PPTP och komma åt servern.

Antar att det är något galet med portarna i routern då? Är det möjligtvis Bahnhof som har blockerat vissa portar?

Inte hört något om att bahnhof blockerar just pptp. Vilka portar har du öppnat? Ta o lägg in en screenshot med

Permalänk
Medlem

Alright försöker metodiskt gå igenom detta lite.

TLDR; Du har högst troligen inte skickat igenom GRE 47. Detta är ingen port utan ett protokoll likt TCP och UDP.

https://en.wikipedia.org/wiki/Generic_Routing_Encapsulation

Du behöver port forwarda/SAT/NAT/DNAT GRE och TCP 1723 från din router till din interna IP på din server.

Detta är en del av adress translation även känt som NAT
https://sv.wikipedia.org/wiki/Network_Address_Translation

Vad den gör är att routern/brandväggen vet att all traffik som går in på GRE och på TCP 1723 är inte menat för routern/brandväggen utan istället är menat för din server och slussar vidare traffiken dit.

För att detta ska fungera så krävs det en NAT av GRE från externt IP till internt IP. Det krävs sedan en regel i branväggen som tillåter att traffiken traverserar brandväggen.
Action Protocoll/port Source Destination
NAT GRE ExtIP IntIP
ALLOW GRE 0.0.0.0/0 IntIP

Likaså behöver du göra för TCP 1723
Action Protocoll/port Source Destination
NAT TCP 1723 ExtIP IntIP
ALLOW TCP 1723 0.0.0.0/0 IntIP

Ditt externa IP är som din hemadress, ett sett för omvärlden att att skicka traffik till dig. Dina interna IPn känner bara din router till och agerar som traffikpolis för dessa och dirigerar traffik från och till dessa. När traffiken passerar ut genom din router översätts interna adresser till din externa som sedan routern håller koll på sk "states" när traffik kommer in igen så översätter routern adresserna till interna baserat på states.

Finns det inga "states" eller med andra ord traffik du inte initierat så är traffiken till din router. Brandväggen i routern kommer då att gå igenom sina regler tills den hittar en regel som matchar traffiken. Sista regeln i en brandvägg är alltid DROP ALL där den droppar traffiken.

För GRE som är ett protokoll som behövs för PPTP slår just nu regeln DROP ALL in och traffiken hittar aldrig din server.

Jag gör ingen skillnad på router/branvägg här då din router agerar båda funktionerna. Korrekt är att router dirigerar traffik medans en brandvägg filterar traffik baserat på regler.

Har du några frågor så citera så hittar jag tillbaka.

Ett tips kan vara att kasta in Hyper-V och slänga upp en virtuell http://www.pivpn.io/ . Den är byggd för att vara enkel att komma igång med och använder SSL VPN som är ett säkrare alternativ till PPTP som i dagsläget är något förlegat ( dock borde det duga fint till en hemvpn)

Tacka gudarna att du inte håller på med L2TP/IPSEC:

Visa signatur

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA