Internet (niet) via VPN

hoogteijling · 23 jul 2010

Goedemorgen,
Op kantoor hebben we een SBS2003 staan.
Wanneer de mensen thuis via de VPN inloggen op de SBS2003 gaat hun internetverkeer vervolgens ook via de VPN wat soms een flinke vertraging oplevert.
Is dit te verhelpen en zo ja, hoe?

Groeten Marcel

Phr3ak · 23 jul 2010

Ja, dat is op zich in te stellen, extra of andere gateway erbij instellen ...

Suc6! :thumb:

hoogteijling · 23 jul 2010

Ok, waar zit dat precies?
Doe ik dat op de server of op de client?

Groeten Marcel

Phr3ak · 23 jul 2010

Op de client

dnties · 23 jul 2010

Phr3ak heeft helemaal gelijk: Moet op de clients worden ingesteld.

Je zou kunnen kijken of je de bindingsvolgorde kunt aanpassen op de client. Even voor XP:
Start -> Uitvoeren -> ncpa.cpl
Geavanceerd -> Geavanceerde instellingen -> RAS-verbindingen helemaal naar onderen zetten in de volgorde in het bovenste vakje in tabblad "Adapters en verbindingen"

Hopelijk werkt dit.

Tijs.

hoogteijling · 26 jul 2010

Tijs, de instelling die jij noemt kan ik niet vinden.
Wel in de eigenschappen van de bewuste VPN verbinding zie ik bij de TCP/IP eigenschappen een knopje Geavanceerd waar een vakje Standaard-gateway in het externe netwerk gebruiken aangevinkt staat.
Denk je dat dit ervoor zorgt dat het internetverkeer over de VPN gaat ?

Groeten Marcel

dnties · 26 jul 2010

@hoogteijling: Jouw optie lijkt me een workaround (zie in derde paragraaf hieronder). Conceptueel gaat het erom welke standaardgateway op dat moment worden gebruikt door de client. Er zijn 2 mogelijke instellingen/'keuzes' daarin als er 2 netwerkverbindingen zijn (vooropgesteld dat door de VPN-server een standaardgateway naar de client wordt bekendgemaakt (DHCP) of 'vast ingesteld').

Het gaat dus om de prioriteit die de VPN-verbinding heeft t.o.v. de 'normale' netwerk-verbinding omtrent routering. En die prioriteit is te regelen via de TCP/IP bindings-volgorde. Lijkt er (zover ik kan nagaan) op bij de topic-starter dat sommige clients een hogere prioriteit geven aan de VPN-verbinding dan aan de 'normale' netwerk-verbinding waardoor over die verbinding wordt gerouteerd. Lijk mij dus dat de prioriteit van de VPN-verbinding verlaagd moet worden (zie mijn vorige posting).
[Waar het misschien 'misloopt' (ook bij jou) is dat de menu-balk standaard niet is ingeschakeld op Vista/W7 als je ncpa.cpl hebt ingegeven. Je zult dus eerst (kort) de linker Alt-toets moeten indrukken om de menu-balk zichtbaar te maken en daar dan te kunnen kiezen voor Advanced danwel Geavanceerd.]

Als je die optie waar jij het over had uitschakelt (het vakje "Standaard-gateway in het externe netwerk gebruiken"), dan bereik je in zoverre hetzelfde dat de standaardgateway instelling die bekend wordt gemaakt bij het maken van de vpn-verbinding verder helemaal wordt genegeerd (dus niet in de routeringstabellen voorkomt), zodat alleen de standaardgateway instelling van de 'normale' netwerkverbinding overblijft om over te routeren. Het eindresultaat is dan hetzelfde (alles over de 'normale' netwerkverbinding behalve verkeer dat specifiek voor het vpn-netwerk bedoeld is) en is dus een prima workaround. Zie verder (m.b.t. jouw oplossing) hier op ong. 4/5 van de webpagina.

Als ik er (gedeeltelijk) naast zit, dan sta ik open voor correcties van jou of anderen die deze discussiedraad gelezen hebben.

Tijs.

hoogteijling · 26 jul 2010

Dank voor de uitgebreide reactie(s)
Ik heb de geavanceerde instellingen nu gevonden, ik had niet goed gekeken.
Helaas staat de RAS al onderaan en de LAN bovenaan, daar zal het dus niet aan liggen denk ik.
Hoe komt het dan dat het internetverkeer over de VPN gaat zodras er een VPN verbinding gemaakt wordt ?

Groeten Marcel

hoogteijling · 26 jul 2010

Zo ziet het er bij mij uit.

groeten Marcel

dnties · 26 jul 2010

Ok, ik heb even rondgekeken, en het lijkt erop dat bij het verbinden via VPN de routeringstabellen worden geupdate, zodat de VPN-verbinding de standaardgateway wordt (tenzij je het vinkje afzet waar je het over had). Dus behalve handmatig ingrijpen in de routeringstabellen (via het route command) lijkt alleen jouw optie/suggestie over dat vinkje goed te werken.

De VPN-configuratie kun je in een installeerbaar pakket stoppen, zodat je op die manier de VPN-verbinding (incl. het uitgezette vinkje) bij je clients installeert. Gebruik hiervoor CMAK.

Wellicht kun je het probleem oplossen door in de DHCP scope-opties in je RRAS configuratie op de server aan te geven dat er géén standaardgateway moet worden gecommuniceerd naar de verbindende VPN-clients. Verder is er (dacht ik) de mogelijkheid in de RRAS configuratie om alleen toegang te verlenen aan het lokale netwerk, dus op die manier routering (naar Internet etc.) over de VPN-verbinding onmogelijk te maken.

Verdere hulp heb ik zo snel niet. Mocht je iets vinden of een goedwerkende oplossing hebben, dan houd ik me aanbevolen voor terugmeldingen.

Tijs.

hoogteijling · 26 jul 2010

Ik ga het allemaal z.s.m. uitproberen.
bedankt voor de tip over CMAK, die kon ik nog niet.
dank aan Tijs en Phr3ak

Groeten Marcel

dnties · 26 jul 2010

Nu weet ik niet hoe je netwerk eruit ziet, maar stel dat de W2003 server alles doet (dus mail, mapdeling, printerdeling en VPN-server) en er verder (dus) geen andere servers/netwerkprinters etc. rechtstreeks bereikt hoeven te worden door VPN-clients, dan vermoed ik dat het genoeg is om het volgende te doen zodat er niet geInternet wordt over de vpn-verbinding:
1. Open Routering en RAS op de server
2. Rechtsklik op de W2003 server, kies Eigenschappen en zet in het tabblad IP de bovenste optie ("IP-routering inschakelen") uit

Tijs.

hoogteijling · 27 jul 2010

Het vakje Standaard-gateway in het externe netwerk gebruiken heb ik gisteren uitgezet en dat werkt in ieder geval.
De optie IP-routering inschakelen uitzetten vind ik een betere dus die ga ik vanavond thuis even uittesten.

Ik hou jullie op de hoogte.

Groeten Marcel

hoogteijling · 28 jul 2010

De optie IP-routering inschakelen uitzetten werkt bij mij thuis vandaan goed.

(Nadat ik de optie IP-routering inschakelen uit heb gezet op de server is het dan logisch wanneer ik op kantoor zowel op het LAN zit en een VPN maak dat internet helemaal niet meer toegankelijk is ?
Dit is natuurlijk een situatie die nooit voorkomt maar ik wilde het gewoon even testen hier op kantoor).

Ik wil nu nog even de ervaringen van mijn collega's afwachten voordat ik deze op Opgelost zet.

hartelijk dank voor alle input Tijs en Phr3ak

hoogteijling · 12 aug 2010

Hallo allemaal,

1. Open Routering en RAS op de server
2. Rechtsklik op de W2003 server, kies Eigenschappen en zet in het tabblad IP de bovenste optie ("IP-routering inschakelen") uit

Ik ben er onlangs achter gekomen dat het vinkje uitzetten een ander effect teweeg brengt en dat is dat onze NAS niet meer berikbaar is vanaf thuis middels de VPN.
Ik heb het vinkje nu dus weer aanstaan.
-------------------------------------------------

Wellicht kun je het probleem oplossen door in de DHCP scope-opties in je RRAS configuratie op de server aan te geven dat er géén standaardgateway moet worden gecommuniceerd naar de verbindende VPN-clients. Verder is er (dacht ik) de mogelijkheid in de RRAS configuratie om alleen toegang te verlenen aan het lokale netwerk, dus op die manier routering (naar Internet etc.) over de VPN-verbinding onmogelijk te maken.

Nu ben ik nog op zoek naar deze instelling.
kan iemand me helpen deze te vinden op onze server.

Groeten Marcel

Misschien helpt dit nog:

dnties · 12 aug 2010

Ik had al gewaarschuwd dat, met dat vinkje uit, alleen de VPN-server met haar diensten bereikbaar zijn zijn, dus geen apparaten/servers etc. die zich verder nog op dat netwerk bevinden, zoals een NAS.

Ik laat verdere tips en meldingen over (on-)mogelijkheden in RRAS over aan anderen. Je hebt in ieder geval de optie "Standaard-gateway in het externe netwerk gebruiken" die je kunt uitvinken op de VPN-client instellingen achter de hand.

Tijs.

hoogteijling · 13 aug 2010

Ja Tijs, dat had je inderdaad voor gewaarschuwd.
"Standaard-gateway in het externe netwerk gebruiken" die heb ik nu uitgevinkt en dat werkt goed.
Ik wacht nog even of er andere ideen komen.

Groeten Marcel

dnties · 13 aug 2010

Ik vermoed dat je in de (Internet-)router wel iets kunt regelen, maar dat moet dan wel een (enigszins) geavanceerde router zijn.
Komt erop neer dat je aangeeft in RRAS dat niet gebruik wordt gemaakt van DHCP maar van een zelf aangegeven reeks ip-adressen voor de VPN-clients. Dan in de router aangeven dat contact mét die router vanaf die specifieke reeks NIET mogelijk is, oftewel dat er alle contact vanaf die reeks wordt geweigerd door de router (NACK) danwel er op verbindingspogingen door de router in zijn geheel niet wordt gereageerd (zodat time-outs worden gegenereerd).

Ik ben geen netwerkspecialist per se, dus ik kan het fout hebben met wat ik hierboven schrijf.

Tijs.

hoogteijling · 13 aug 2010

Wij hebben een WRT54GL router met de DHCP uitgeschakeld omdat onze server DHCP aan heeft staan.
Ik weet niet of dat lukt in onze router.

Groeten Marcel

Internet (niet) via VPN

Terugkerende gebruiker

Terugkerende gebruiker

Terugkerende gebruiker

Terugkerende gebruiker

Tera Honourable Senior Member †

Terugkerende gebruiker

Tera Honourable Senior Member †

Terugkerende gebruiker

Terugkerende gebruiker

Bijlagen

Tera Honourable Senior Member †

Terugkerende gebruiker

Tera Honourable Senior Member †

Terugkerende gebruiker

Terugkerende gebruiker

Terugkerende gebruiker

Tera Honourable Senior Member †

Terugkerende gebruiker

Tera Honourable Senior Member †

Terugkerende gebruiker

Wij waarderen jouw privacy