Windows-Firewall vom Service Pack 2
Die im Service Pack beinhaltete Firewall richtet sich beim Erstellen eines VPN-Servers selbstständig ein und braucht im Regelfall nicht weiter konfiguriert zu werden. Man kann die Einstellungen über die Windows-Firewall - > Erweitert -> Einstellungen der benutzen Netzwerkverbindung (z.B. die Standard-LAN-Verbindung). Windows öffnet hier die richtigen Ports für PPTP und L2TP. Wer nur PPTP nutzt, kann die zwei anderen Serverdienste wieder deaktivieren.
|
Ab.24 Von der Windows-Firewall eingerichtete Freigaben für Dienste
|
Zu beachten ist noch, dass man auf der Registerkarte ICMP "Eingehende Echoanforderungen zulassen" aktiviert. Dies erleichtert die Fehlersuche bzw. Diagnose, da sonst der Server-Rechner auf Ping-Anfragen nicht reagiert.
Keine gleichen IP-Netze verwenden
Wie oben beschrieben, erhält der Client vom Server eine weitere IP und wird so in das entfernte Netz eingebunden. Ein Problem entsteht dann, wenn der Client sich lokal bereits im gleichen IP-Adressraum wie das entfernte Netz befindet. Sitzt der Client demnach im Netz 192.168.1.x und verbindet sich über VPN mit einem Netz, welches auch diesen Adressraum benutzt, klappt die VPN-Verbindung nicht, da die Pakete weiter nur lokal versendet werden. Es ist daher darauf zu achten, dass die Rechner andere IP-Adressräume lokal benutzen. Wer einen DHCP-Server per Software oder Router betreibt, sollte daher am besten den Adressraum ändern.
Ein weiteres Problem tritt auf, wenn die Internetverbindungsfreigabe genutzt wird. Hier vergibt XP automatisch Adressen aus dem Netz 192.168.0.x. Nutzen daher beide Seiten diesen Adressraum, muss dieser auf einer Seite geändert werden. Nutzen beide Seiten die Internetverbindungsfreigabe, ist uns für Windows 2000 ff. leider kein Weg bekannt.
Ist ein Client PC über VPN mit einem VPN-Server verbunden, scheint die Internetverbindung nicht mehr zu funktionieren.
Grund hierfür ist, dass der VPN-Server sich als neuen Gateway einrichtet und der IP-Verkehr nun in den VPN-Tunnel geschickt wird.
Man kann das Verhalten aber bequem abschalten.
Im Bereich "Netzwerkverbindungen" wählt man die Eigenschaften der VPN-Verbindung, wechselt hier auf die Registerkarte "Netzwerk" und wählt die Eigenschaften des Internetprotokolls. Wieder unter "Erweitert" findet sich eine Checkbox auf Allgemein, die sich "Standardgateway für das Remotenetzwerk verwenden" nennt. Deaktiviert man diese Option, funktioniert der Internet-Zugang wie gewohnt.
Mehrere Verbindungen, Windows Server
Wer mehr als eine VPN-Verbindung benötigt, ist auf fremde Hilfe angewiesen. Zum Einsatz kann hier ein echter Windows 2003-Server (auch SBS) oder eine Linux-Installation kommen.
Unter dem Artikel 323441 beschreibt Microsoft beispielhaft, wie man einen VPN-Server unter Windows 2003 Server einrichtet.
Sehr gute Ergebnisse wurden nach Erfahrungen der Community mit FLi4L gemacht. Der kostenlose Linux-Router kommt auf einer startfähigen Diskette und braucht lediglich einen alten 486er Rechner, um alle Routingaufgaben und damit auch die eines VPN-Servers zu erledigen.
Weitere Probleme ?
Microsoft selbst gibt in dem KB-Artikel 314076 Hinweise zur Fehlersuche, wenn beim Verbindungsaufbau Fehlermeldungen erscheinen. Weitere Anlaufpunkte sind das WinTotal-Forum im Bereich Netzwerk oder NetzwerkTotal.
Eine Alternative zum Microsoft VPN ist noch das kostenlose openvpn, mit dem es nach Aussage einiger Nutzer für den Bereich Spiele viel weniger Probleme geben soll.
|