/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Remote desktop via VPN
Fra : Thomas G. Madsen


Dato : 20-11-04 15:07

Hej,

Jeg har en WinXP Pro SP2, som jeg har oprettet en VPN-server på,
eller vel rettere en netværksforbindelse, som lader mig forbinde
til WinXP via VPN (PPTP).

PC'en står bag en router (Linksys BEFSR41) og til samme router
har jeg også koblet en Mac på med OS 10.3.6 installeret.

De to computere kan se hinanden og alt er tilsyneladende fryd og
gammen, men jeg har også behov for at kunne forbinde til WinXP
udefra via Remote Desktop, men pga. sikkerheden, vil jeg godt
have Remote Desktop "pakket ind" i VPN og det har jeg svært ved
at få til at fungere.

Jeg kan logge på WinXP fra min Mac på lokalnettet vha. VPN og
der er også mulighed for at starte en Remote Desktop-session fra
Mac'en til WinXP, men ikke på samme tid. Hvis VPN-forbindelsen er
oprettet påstår Mac'en bare, at der ikke kan oprettes en Remote
Desktop-session.
Hvis VPN-forbindelsen er frakoblet, kan jeg derimod godt komme på
via Remote Desktop, men så er det jo ikke via VPN, så hvordan får
jeg mon de to ting til at spille sammen?

Noget andet som undrer mig er følgende:
WinXP har LAN-adressen 192.168.1.10 og Mac'en har 192.168.1.20,
men når jeg opretter VPN-forbindelsen fra Mac'en til WinXP står
der: 'Forbundet til 169.254.245.121' på Mac'en og på WinXP kan
jeg se, at Mac'en får adressen 169.254.95.243 tildelt.
Skulle det ikke være 192.168.1.10 og 192.168.1.20 i stedet, eller
har jeg mon misforstået noget?

--
Hilsen
Madsen

 
 
Thomas G. Madsen (20-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 20-11-04 17:07

Thomas G. Madsen skrev:

> WinXP har LAN-adressen 192.168.1.10 og Mac'en har 192.168.1.20,
> men når jeg opretter VPN-forbindelsen fra Mac'en til WinXP står
> der: 'Forbundet til 169.254.245.121' på Mac'en og på WinXP kan
> jeg se, at Mac'en får adressen 169.254.95.243 tildelt.

Nå, men under TCP/IP-indstillingerne for VPN-forbindelsen på WinXP,
var den stillet til at tildele en IP automagisk via DHCP.
Nu har jeg sat den til 'Specify TCP/IP' og har valgt adresserne fra
192.168.1.30 til 192.168.1.34 med det resultat, at serveren (WinXP)
nu får adressen 192.168.1.30 og klienten (Mac'en) får 192.168.1.31.

Nu skulle det vel så være muligt at kontakte WinXP fra Mac'en vha.
Remote Desktop-klienten, ved at skrive 192.168.1.30, men det nægter
den. Jeg kan få det til at virke via 192.168.1.30:5600, som er den
port Remote Desktop lytter på hos mig, men så går Remote Desktop-
sessionen jo netop ikke via VPN-forbindelsen.

Er der virkelig ingen, som har rodet med noget lignende før?

--
Hilsen
Madsen

..::JMJ::.. (22-11-2004)
Kommentar
Fra : ..::JMJ::..


Dato : 22-11-04 15:12

"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:cnnmj3.27g.1@tgm.dyndns.dk...
> Hej,
>
SNIP
>
> De to computere kan se hinanden og alt er tilsyneladende fryd og
> gammen, men jeg har også behov for at kunne forbinde til WinXP
> udefra via Remote Desktop, men pga. sikkerheden, vil jeg godt
> have Remote Desktop "pakket ind" i VPN og det har jeg svært ved
> at få til at fungere.
>
SNIP
>
> --
> Hilsen
> Madsen

Jeg skal lige være sikker på at jeg har fattet problemet:
Du vil i forbindelse med din XP (fjernskrivebord) udefra?
Og det vil du igennem en VPN-tunnel?

Adgang til Fjernskrivebord volder normalt ingen problemer, blot du kender IP
på ydersiden og opretter muligheden for at NAT'e port 3389 i routeren.

At øre det igennem en VPN-tunnel plejer at være endnu nemmere, idet jeg
antager at tunnellen er oprettet og kører? I så fald skriver du jo blot
IP-adressen på det Skrivebord du vil have fingrene i.

Det jeg nok ikke helt fatter er, at du skriver dine to maskiner sidder på
samme net (forbundet via routeren), og at de kan se hinanden, hvad er så
lige vitsen med en tunnel, når de er bag samme router?
De tunneller jeg skøjter rundt i, er mellem forskellige netværk på
forskellige lokationer, når først tunnellerne er oprettet er der ingen
problemer med Fjernskrivebord, her er du helt og holdent afhængig af, at
VPN'en dur (og at du har ret til Fjernskrivebordet)

Jørgen



Thomas G. Madsen (22-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 22-11-04 18:21

...::JMJ::.. skrev:

> Jeg skal lige være sikker på at jeg har fattet problemet:
> Du vil i forbindelse med din XP (fjernskrivebord) udefra?
> Og det vil du igennem en VPN-tunnel?

Jeps.

> Adgang til Fjernskrivebord volder normalt ingen problemer,
> blot du kender IP på ydersiden og opretter muligheden for at
> NAT'e port 3389 i routeren.

I går fik jeg søsteren til at prøve om hun kunne komme igennem
via VPN og det kunne hun uden at jeg har gjort noget specielt i
routeren. Den har en funktion som hedder 'IPSec Passthrough' og
'PPTP Passtrough, så jeg går ud fra, at den lukker den slags
trafik igennem uden at man behøver at forwarde porte til maskinen
eller maskinerne bag. Siden hun kunne komme igennem, tyder det
på det i hvert tilfælde.

> At øre det igennem en VPN-tunnel plejer at være endnu nemmere,
> idet jeg antager at tunnellen er oprettet og kører? I så fald
> skriver du jo blot IP-adressen på det Skrivebord du vil have
> fingrene i.

Ja det opdagede jeg også senere i går. I første omgang vidste
jeg ikke helt hvordan det VPN-halløj fungerer, da jeg aldrig
har rodet med det før.

> Det jeg nok ikke helt fatter er, at du skriver dine to
> maskiner sidder på samme net (forbundet via routeren), og at
> de kan se hinanden, hvad er så lige vitsen med en tunnel, når
> de er bag samme router?

Jeg forsøgte blot om jeg kunne oprette en VPN-forbindelse fra
Mac'en til PC'en bag routeren og det kunne jeg, så det tydede
jo da i det mindste på, at man kunne forbinde til PC'en gennem
VPN og da søsteren også kunne gå gennem VPN via Internettet,
regnede jeg med at alt var ok, men i dag har jeg så opdaget,
at jeg ikke kan komme i kontakt med min PC via VPN oppe fra
jobbet. Det undrer mig meget, at det ikke virker deroppe fra
når nu søsteren kunne komme på i aftes.

--
Hilsen
Madsen

Brian R. Jensen (24-11-2004)
Kommentar
Fra : Brian R. Jensen


Dato : 24-11-04 22:26


"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:cntamd.3mc.1@tgm.dyndns.dk...
> ..::JMJ::.. skrev:

> I går fik jeg søsteren til at prøve om hun kunne komme igennem
> via VPN og det kunne hun uden at jeg har gjort noget specielt i
> routeren. Den har en funktion som hedder 'IPSec Passthrough' og
> 'PPTP Passtrough, så jeg går ud fra, at den lukker den slags
> trafik igennem uden at man behøver at forwarde porte til maskinen
> eller maskinerne bag. Siden hun kunne komme igennem, tyder det
> på det i hvert tilfælde.

PPTP Passtrough giver dig mulighed for at lave en PPTP tunnel _ud_ gennem
din router, du skal altså konfigurere din router til at modtager/forwarde
PPTP forespørgsler ind til din PPTP-server

> Jeg forsøgte blot om jeg kunne oprette en VPN-forbindelse fra
> Mac'en til PC'en bag routeren og det kunne jeg, så det tydede
> jo da i det mindste på, at man kunne forbinde til PC'en gennem
> VPN og da søsteren også kunne gå gennem VPN via Internettet,
> regnede jeg med at alt var ok, men i dag har jeg så opdaget,
> at jeg ikke kan komme i kontakt med min PC via VPN oppe fra
> jobbet. Det undrer mig meget, at det ikke virker deroppe fra
> når nu søsteren kunne komme på i aftes.

Der er sikkert ikke enablet PPTP-passtrough i firewallen på dit arbejde.

/Brian



Thomas G. Madsen (22-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 22-11-04 23:20

Thomas G. Madsen skrev:

> I går fik jeg søsteren til at prøve om hun kunne komme igennem
> via VPN og det kunne hun uden at jeg har gjort noget specielt i
> routeren. Den har en funktion som hedder 'IPSec Passthrough' og
> 'PPTP Passtrough, så jeg går ud fra, at den lukker den slags
> trafik igennem uden at man behøver at forwarde porte til maskinen
> eller maskinerne bag.

Hmm, åbenbart ikke for her til aften kunne søsteren heller ikke
komme igennem, så det et åbenbart her den er gal.

I går var routeren sat til at forwarde TCP:1723, men selvom jeg
lukkede for den port i routeren, kunne hun stadig komme igennem,
så derfor regnede jeg med, at det ikke var nødvendigt at forwarde
den. Det burde vel heller ikke være nødvendigt, når routeren har
IPSec og PPTP Passtrough.

Sidenhen er computeren genstartet og derefter har der åbenbart
været lukket af for VPN, så noget tyder på, at den port skal
forwardes før det fungerer. Nu kan hun i hvert tilfælde komme
igennem igen og så er det jo spændende, om jeg også kan fra
jobbet i morgen.

--
Hilsen
Madsen

..::JMJ::.. (24-11-2004)
Kommentar
Fra : ..::JMJ::..


Dato : 24-11-04 18:33

"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:cnts77.3qk.1@tgm.dyndns.dk...
> Thomas G. Madsen skrev:
>
>> I går fik jeg søsteren til at prøve om hun kunne komme igennem
>> via VPN og det kunne hun uden at jeg har gjort noget specielt i
>> routeren. Den har en funktion som hedder 'IPSec Passthrough' og
>> 'PPTP Passtrough, så jeg går ud fra, at den lukker den slags
>> trafik igennem uden at man behøver at forwarde porte til maskinen
>> eller maskinerne bag.
>
> Hmm, åbenbart ikke for her til aften kunne søsteren heller ikke
> komme igennem, så det et åbenbart her den er gal.
>
> I går var routeren sat til at forwarde TCP:1723, men selvom jeg
> lukkede for den port i routeren, kunne hun stadig komme igennem,
> så derfor regnede jeg med, at det ikke var nødvendigt at forwarde
> den. Det burde vel heller ikke være nødvendigt, når routeren har
> IPSec og PPTP Passtrough.
>
> Sidenhen er computeren genstartet og derefter har der åbenbart
> været lukket af for VPN, så noget tyder på, at den port skal
> forwardes før det fungerer. Nu kan hun i hvert tilfælde komme
> igennem igen og så er det jo spændende, om jeg også kan fra
> jobbet i morgen.
>
> --
> Hilsen
> Madsen

Det plejer at være port 3389 til Fjernskrivebord..
Jørgen



Thomas G. Madsen (24-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 24-11-04 21:47

...::JMJ::.. skrev:

> Det plejer at være port 3389 til Fjernskrivebord..

Ja, men VPN foregår via TCP:1723 så vidt jeg kan læse mig frem
til.

<http://vpn.shmoo.com/vpn/vpn-pptp.html>
| PPTP uses TCP/1723 to set up its control channel, and IP
| protocol 47 (Generic Routing Encapsulation) to move data.

Og når der først er hul igennem VPN-forbindelsen, behøver port
3389 vel ikke at være åben, da fjernskrivebordet i stedet går
igennem den.

Har i øvrigt mere eller mindre opgivet at få det til at virke,
for jeg kan ikke komme igennem via VPN fra jobbet. Det har nok
noget med følgende at gøre (snuppet fra ovenstående side) :
| Enabling PPTP traffic to flow through a firewall requires you
| to establish bi-directional rules for both sets of traffic.

Jeg ved, at der er indbygget noget firewall-halløj i jobbets
router, som vi for nylig havde en tekniker ude og konfigurere,
så den blokerer nok for et eller andet.

--
Hilsen
Madsen

Brian R. Jensen (24-11-2004)
Kommentar
Fra : Brian R. Jensen


Dato : 24-11-04 22:28


"Thomas G. Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:co2vgj.318.1@tgm.dyndns.dk...
> ..::JMJ::.. skrev:
>
> > Det plejer at være port 3389 til Fjernskrivebord..
>
> Ja, men VPN foregår via TCP:1723 så vidt jeg kan læse mig frem
> til.

Nej, men PPTP foregår via TCP/1723 og GRE (47/IP).

VPN er en bred betegnelse, der findes mange andre VPN-tunneller endt PPTP
(og de fleste er mere sikre)

> Og når der først er hul igennem VPN-forbindelsen, behøver port
> 3389 vel ikke at være åben, da fjernskrivebordet i stedet går
> igennem den.

Korrekt

> Jeg ved, at der er indbygget noget firewall-halløj i jobbets
> router, som vi for nylig havde en tekniker ude og konfigurere,
> så den blokerer nok for et eller andet.

Det har du sikkert ret i.

/Brian



Thomas G. Madsen (24-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 24-11-04 22:48

Brian R. Jensen skrev:

> PPTP Passtrough giver dig mulighed for at lave en PPTP tunnel
> _ud_ gennem din router, du skal altså konfigurere din router
> til at modtager/forwarde PPTP forespørgsler ind til din
> PPTP-server

Og det var så det jeg troede at den automatisk gjorde, når der
er en funktion ved navn 'IPSec Passthrough' og 'PPTP Passtrough',
som er koblet til som standard, men det har så altså kun noget
med trafik indefra og ud at gøre, kan jeg forstå på dit indlæg?
TCP:1723 skal så tilsyneladende forwardes til PPTP-serveren før
at man kan komme ind til den udefra.

> Der er sikkert ikke enablet PPTP-passtrough i firewallen på
> dit arbejde.

Det kunne tyde på det. Jeg vil se om jeg kan få en tekniker til
at slå det til på et tidspunkt. Sidst der var en tekniker på, så
det ret langhåret ud at konfigurere den router. Han gjorde det
fra en bærbar computer, som blev koblet direkte til routeren og
det så ud til at foregå vha. Telnet, eller noget i den stil.

Gid man bare kunne konfigurere den i en browser, hvilket jeg kan
med min Linksys, men så let er det altså åbenbart ikke med
jobbets router, som dog også er væsentlig større og sikkert også
dyrere og mere kompliceret end min Linksys. :)

Har i øvrigt været ved at kigge på L2TP/IPSec i stedet for PPTP,
men det kan jeg overhovedet ikke få til at spille. Logbogen på
serveren (WinXP Pro SP2) melder følgende fejl under hver opstart:

EventID: 20192
| A certificate could not be found. Connections that use the L2TP
| protocol over IPSec require the installation of a machine
| certificate, also known as a computer certificate. No L2TP
| calls will be accepted.

Gad vide hvor hulen man finder sådan et certifikat.

--
Hilsen
Madsen

Thomas G. Madsen (24-11-2004)
Kommentar
Fra : Thomas G. Madsen


Dato : 24-11-04 22:53

Brian R. Jensen skrev:

> Nej, men PPTP foregår via TCP/1723 og GRE (47/IP).

Ja ok. Jeg blander begreberne sammen.

> VPN er en bred betegnelse, der findes mange andre
> VPN-tunneller endt PPTP (og de fleste er mere sikre)

Jeg har også læst et sted, at PPTP er det mindst sikre af de
forskellige VPN-forbindleser og at L2TP/IPSec er meget sikkert.
Det var derfor jeg hellere vil have gang i L2TP/IPSec, men det
er ikke rigtig gået til held endnu.

--
Hilsen
Madsen

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste