Kein DHCP für VPN-Verbindungen? SBS 2008

Guten Abend liebe Community,

ich (Neuling in Sachen Windows Server) versuche im Moment einen SBS 2008 zum laufen zu bringen. Exchange & Co funktioniert ganz gut, aber wenn ich von außerhalb über VPN auf meine Freigaben zugreifen will, bekomme ich auf dem Client (nach erfolgreichem Connecten) eine IP-Adresse zum wegwerfen wie z.B. 169.254.99.212 anstatt 192.168.xxx.xxx

Kann es sein, dass DHCP für VPN-Verbindungen irgendwie deaktiviert ist?!

P.S. und wehe einer kommt mir mit Linux :wink:

Danke schon mal im Voraus

Guten Abend liebe Community,

ich (Neuling in Sachen Windows Server) versuche im

Moment

einen SBS 2008 zum laufen zu bringen. Exchange & Co
funktioniert ganz gut, aber wenn ich von außerhalb

über VPN

auf meine Freigaben zugreifen will, bekomme ich auf

dem Client

(nach erfolgreichem Connecten) eine IP-Adresse zum

wegwerfen

wie z.B. 169.254.99.212 anstatt 192.168.xxx.xxx

Kann es sein, dass DHCP für VPN-Verbindungen irgendwie
deaktiviert ist?!

P.S. und wehe einer kommt mir mit Linux :wink:

Danke schon mal im Voraus

Hallo,

kannst du bitte mal ein paar mehr Angaben zu der „Art“
deiner VPN Verbindung machen ? (PPTP, IPSec …)

Welchen IP Bereich hat der Server ? Welchen der Client
?

Einfach mal bischen mehr Infos zur Netzwerkumgebung
bitte.

Danke

Ich frage mich gerade, ob die Daten wirklich schon durch Deinen VPN-Tunnel verschlüsselt übertragen werden. Ich habe ehrlich gesagt die VPN Funktionen vom Windows Server selbst noch nie genutzt, sondern stattdessen immer den OpenVPN-Server für Windows verwendet. Ansonsten vewerwendete ich grundsätzlich nur gehärtete Linux-Distrib. bei sicherheitskritischen Systemen.

Da Du ja via VPN sowieso schon ein eigenes Netz simulierst, wird es schwierig werden, da DHCP reinzubekommen. Meiner Ansicht nach, etablierst Du momentan nur einen VPN IP-Tunnel (Routing). Dazu müsstest Du bekannte Domains oder IP-Adressen haben, welche zum Zeitpunkt der Etablierung eindeutig definiert sind. Wenn Du so etwas wie einen DHCP-Dienst via VPN haben willst, solltest Du komplette Ethernet-Tunnel aufbauen (Bridge-Mode). Dem VPN-Server kannst Du dann mitteilen, wie und welche IP-Adressen dann die Clients erhalten sollen, da dieser selbst den Pool verwalten kann und quasi wie ein DHCP-Server funktioniert.
Ich kann Dir leider jetzt nicht auswendig sagen wie Du das mit den Bordmitteln von Windows Server konfigurierst, jedoch mit dem OpenVPN-Server für Windowssysteme.

Also vom „Gefühl“ her denk ich, dass ich eine Verbindung über PPTP aufbauen will (auch über IPhone & Co). Der SBS08-DHCP-Server hat nen IPv4 Addresspool von 192.168.2.1 bis 254. Und vom Client…pff?! keine Ahnung was gemeint ist. Ich dachte der Client kriegt einfach eine IP vom Server.

Es läuft zwar parallel auch OpenVPN (SBS08 ist aber Client, der OVPN-Server ist woanders), aber ich will mit meiner Methode erreichen, dass es zwei Netzwerke gibt wo man sich anmelden kann: d.h.

  • mit dem OVPN-Netz soll alles erreichbar sein (auch andere PCs erreichen, die im OVPN-Netz sind)
  • mit der Einwählverbindung nur die Freigaben vom Server

Außerdem will ich auch mal kurzfristig auf die Freigaben zugreifen können (z.B. für einen neu eingerichteten PC etwas downloaden) ohne immer ein Zertifikat generieren oder dabei haben zu müssen sondern einfach nur einwählen und gut is.

Ich würde PPTP vergessen, und das ganze lieber komplett auf den IP-Stack aufbauen. Über den OVPN-Server alle dahinter befindlichen PC’s zu erreichen, welche dort im Netzwerk existieren, ist kein Problem, da du ja via VPN nur den reinen Datenverkehr verschlüsselst. SMB/CIFS an entsprechenden Ports 37-39 bleiben davon unberührt, bzw. müssten auf dieser Ebene freigeschaltet werden, wenn ein Browsing durchs Netz nach anderen PC’s ermöglicht werden soll.

Ich würde es mir an Deiner Stelle nicht zu komplizieret machen, da die VPN-Verbindung sozusagen sowieso schon als Einwählverbindung gilt. Da die Microsoft-Freigabeebenen sowieso unabhänhig vom VPN arbieten, kannst Du direkt online auf bestehende Freigaben zugreifen und ggf. on-the-fly noch auf weitere zugreifen bei Eingabe eines entsprechenden Benutzernamens/Passwort.