Freigeben über

VPN RRAS IKEv2 problem with file transfer Server 2022

Anonym
2024-06-09T12:57:56+00:00

Liebe Leute hier. Ich bin neu hier und hoffe, ich nerve niemand, weil ich noch nicht alle Regeln des Forums kenne.

Wir haben einen Server 2022 mit RRAS NAT VPN, IKEv2 SSTP, und zu Testzwecken PPTP.
Zwei Netzwerkkarten, welche als WAN und LAN benannt sind. Die LAN Karte hat keinen Gateway. Die WAN Karte ist mit dem Router - Internet verbunden. Die LAN Karte ist das lokale Netz.

Die Daten und Freigaben liegen auf dem selben Server im Laufwerk D. Ich weiss, dass es nicht die goldige Lösung ist.
Auf dem gleichen Server sind die AD, DNS, CA und DHCP Rollen installiert. DNS und DHCP werden NUR an die LAN Karte gebunden.
Wir können verbinden mit IKEv2 mit eigener Zertifikate Stelle. Auch SSTP und PPTP funktioniert ebenfalls ohne Probleme. Die Verzeichnise auf dem Server werden sehr schnell aufgelistet.

Das Problem, dass wird haben, ist nur beim kopieren von Daten vorhanden. Soblald wir eine Datei, zum Beispiel eine Word-Datei mit 20 MB kopieren wollen, begint der Vorgang, fällt aber so zusammen, dass man lange Zeit warten muss, manchmal steigt die Geschwinigkeit wieder an um wieder zusammenzufallen, bis die Datei dann endlich heruntergeladen ist.

Das ganz interessante ist, dass wir mit IKEv2 und Android keine Probleme haben. Die Verbindung bleibt konstant bei etwa 2 bis 3 Mb.
Nur Windows Clients machen dieses Problem. Eine totale Misskonfiguration, kann ich mir somit nicht mehr vorstellen oder doch?

Ich habe dann festgestellt, dass ich die Daten, die im gleichen Server auf dem Laufwerk D liegen, auch mit der IP der WAN-Karte erreicht werden. So dachte ich, dass mit dem NAT etwas nicht stimmt. Warum funktioniert dann mit Android alles!

Die Namensauflösung funktioniert wie gewünscht über die Einstellungen (DNS, NS, Gateway) im DHCP welcher mit dem Relays Agent des RRAS eingebunden ist. Die Clients kommen via VPN in das Internet und auch im LAN ist alles io.

Ich möchte noch sagen, dass ich das Scenario, an einem anderen Ort aufgebaut habe, aber auch dort, stehe ich bei der Dateiübertrageung an.

Ich stehe nun am Ende meiner vielen stundenlangen Versuche und frage Euch. Es wäre sehr befreiend, wenn ich das Problem lösen könnte.

Windows Server Networking Network-Konnektivität und Dateifreigabe

Gesperrte Frage. Diese Frage wurde aus der Microsoft-Support-Community migriert. Sie können darüber abstimmen, ob sie hilfreich ist, aber Sie können keine Kommentare oder Antworten hinzufügen oder der Frage folgen. Aus Datenschutzgründen werden Benutzerprofile für migrierte Fragen anonymisiert.

0 Kommentare

5 Antworten

Sortieren nach: Am hilfreichsten
Am hilfreichsten Neueste Älteste
  1. Anonym
    2024-06-10T00:40:33+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo Freunde

    Hier ist eine englische Version der Schritte zur Fehlerbehebung für das VPN-Dateiübertragungsproblem, das Sie mit Ihrem Server 2022 haben:

    1. Überprüfen Sie die Netzwerkkonfiguration

    • NAT-Einstellungen: Da Sie erwähnt haben, dass auf Daten auf dem Laufwerk D auch über die IP der WAN-Karte zugegriffen werden kann, könnte dies auf ein Problem mit Ihrer NAT-Konfiguration hinweisen. Stellen Sie sicher, dass die NAT-Regeln korrekt festgelegt sind, um nur den erforderlichen Datenverkehr zuzulassen.
    • Quality of Service (QoS): Wenn Ihr Server oder Router QoS unterstützt, sollten Sie QoS-Regeln konfigurieren, um den VPN-Datenverkehr, insbesondere den Dateiübertragungsverkehr, zu priorisieren.

    2. Überprüfen Sie die Serverleistung

    • Überwachung der Serverressourcen: Überwachen Sie die CPU-, Speicher- und Festplattenauslastung des Servers, um festzustellen, ob bei Dateiübertragungen eine ungewöhnlich hohe Auslastung vorliegt.
    • Datenträger-E/A-Leistung: Da Dateien auf dem Server gespeichert werden, kann sich die Datenträger-E/A-Leistung auf die Dateiübertragungsgeschwindigkeit auswirken. Verwenden Sie Tools wie den Systemmonitor (perfmon), um die Lese-/Schreibgeschwindigkeiten und Antwortzeiten des Datenträgers zu verfolgen.

    3. Überprüfen Sie die Client-Konfiguration

    • VPN-Client-Einstellungen: Stellen Sie sicher, dass die VPN-Einstellungen auf Windows-Clients mit denen auf Android-Geräten übereinstimmen, insbesondere in Bezug auf Verschlüsselungs- und Transportprotokolleinstellungen.
    • Netzwerktreiber-Updates: Überprüfen Sie, ob alle Netzwerkgerätetreiber, einschließlich VPN-Clients und Netzwerkadapter, auf dem neuesten Stand sind.

    4. Analysieren Sie das Dateiübertragungsprotokoll

    • Verwenden Sie Wireshark zum Erfassen des Datenverkehrs: Führen Sie mit Wireshark sowohl auf Server- als auch auf Clientseite eine Paketerfassung durch, um den TCP-Datenverkehr während der Dateiübertragung zu analysieren und nach einer hohen Anzahl von Neuübertragungen oder Verbindungsrücksetzungen zu suchen.

    5. Experimentelle Einstellungen

    • MTU-Einstellungen anpassen: Falsche MTU-Einstellungen für VPN-Verbindungen können zu einer schlechten Übertragungseffizienz führen. Versuchen Sie, die MTU-Werte anzupassen, um zu sehen, ob dies die Geschwindigkeit und Stabilität verbessert.
    • Deaktivieren Sie einige Windows-Netzwerkfunktionen: Beispielsweise kann die TCP-Auto-Tuning-Funktion manchmal die VPN-Leistung beeinträchtigen. Versuchen Sie, diese Funktion mit dem folgenden Befehl zu deaktivieren:

    schlagen

    netsh interface tcp set global autotuninglevel=disabled

    6. Berücksichtigen Sie die Sicherheitseinstellungen auf Server und Client

    • Firewall- und Sicherheitssoftware: Überprüfen Sie die Firewall-Einstellungen sowohl auf dem Server als auch auf dem Client, um sicherzustellen, dass der VPN-Datenverkehr nicht fälschlicherweise blockiert wird. Überprüfen Sie außerdem, ob installierte Sicherheitssoftware (z. B. Antivirenprogramme) die Dateiübertragung beeinträchtigen könnte.

    Diese Schritte sollten Ihnen helfen, das aufgetretene Problem zu diagnostizieren und zu beheben.

    Alles Gute

    Rosig

    0 Kommentare
  2. Anonym
    2024-06-10T15:36:40+00:00

    Vielen Dank für die schnelle Antwort

    Als erstes möchte ich mich nur mit dem Thema Verschlüsselung "Client - Server" befassen:

    3. Überprüfen Sie die Client-Konfiguration

    Da mit Microsoft Verschlüsselungs Methoden kein VPN mit neueren Android Geräten möglich ist, haben wir folgender PowerShell Script auf dem Server ausgeführt um die Verschlüsselungsmethoden anzupassen:

    Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000  
restart-service RemoteAccess -PassThru

    Auf den Clients wurde dieser PowerShell Script ausgeführt:

    Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

    Danach war es uns möglich, Mobile Geräte, die mit Android Version 12 und höher betrieben werden, zu verbinden. (L2TP wurde ab dieser Version vom Hersteller aus dem Betriebssystem entfernt. So bleibt nur IKEv2 für diese Geräte).

    Mit dem oben genannten Script läuft das sehr schnell und stabil auf Android Clients. Auf den Windows Clients, können wir mit PPTP und MS-Chap2 aber auch mit IKEv2 oder SSTP einen Tunnel fehlerfrei aufbauen. Ich würde gerne erfahren, ob an dieser Verschlüsselungsmethode, ob die Scripte in Ordnung sind oder ob etwa hier ein Fehler liegen könnte.

    Auf diese Scriptlösung kam ich durch diese Seite:

    How to configure cryptographic settings for IKEv2

    Vielen Dank
    René

    0 Kommentare
  3. Anonym
    2024-06-11T01:52:31+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo René,

    Vielen Dank für Ihre detaillierte Beschreibung und die von Ihnen bereitgestellten PowerShell-Skripts. Es ist großartig zu hören, dass Sie Android-Geräte mit Version 12 und höher erfolgreich mit IKEv2 mit den bereitgestellten Skripten verbunden haben. Hier finden Sie eine detaillierte Analyse Ihrer Skripte und einige zusätzliche Vorschläge:

    Analyse der bereitgestellten Skripte

    Serverseitiges Skript 

    Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000 

restart-service RemoteAccess -PassThru
    • AuthenticationTransformConstants SHA256128: Hiermit wird die Authentifizierungstransformation auf SHA256 mit einem 128-Bit-Schlüssel festgelegt, der sicher ist.
    • CipherTransformConstants AES128: Dies spezifiziert die AES-Verschlüsselung mit einem 128-Bit-Schlüssel, einem weithin akzeptierten Verschlüsselungsstandard.
    • DHGroup Group14: Die Diffie-Hellman-Gruppe 14 bietet eine gute Balance zwischen Sicherheit und Leistung.
    • EncryptionMethod AES128: Auch hier wird die AES-128-Bit-Verschlüsselung verwendet.
    • IntegrityCheckMethod SHA256: Stellt die Datenintegrität mit SHA256 sicher.
    • PFSgroup PFS2048: Perfect Forward Secrecy mit einem 2048-Bit-Schlüssel, der eine zusätzliche Sicherheitsebene bietet.
    • SALifeTimeSeconds 28800: Gibt die Lebensdauer der Sicherheitszuordnung in Sekunden (8 Stunden) an.
    • MMSALifeTimeSeconds 86400: Gibt die Lebensdauer der Hauptmodus-Sicherheitszuordnung in Sekunden (24 Stunden) an.
    • SADataSizeForRenegotiationKilobytes 1024000: Legt die Datengröße fest, nach der die SA neu ausgehandelt werden soll (ca. 1 GB).

    Clientseitiges Skript 

    Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force

    Die Parameter stimmen hier mit denen auf der Serverseite überein und gewährleisten die Konsistenz zwischen Client- und Servereinstellungen, was für den Aufbau einer sicheren und zuverlässigen Verbindung entscheidend ist.

    Validierung der Skripte

    Die bereitgestellten Skripts befolgen bewährte Methoden zum Einrichten sicherer IKEv2-VPN-Verbindungen. Die von Ihnen gewählten kryptografischen Einstellungen sind für moderne Geräte geeignet und sicher.

    Zusätzliche Empfehlungen:

    1. Stellen Sie sicher, dass beide Seiten übereinstimmen: Es ist wichtig, dass die kryptografischen Einstellungen sowohl auf der Server- als auch auf der Clientseite genau übereinstimmen, da jede Diskrepanz zu Verbindungsproblemen führen kann.
    2. Update und Patch: Stellen Sie sicher, dass sowohl Server- als auch Client-Geräte vollständig aktualisiert und auf die neuesten Versionen gepatcht sind, um bekannte Schwachstellen zu minimieren.
    3. Testen Sie mit verschiedenen Geräten: Testen Sie nach Möglichkeit die VPN-Verbindung mit verschiedenen Geräten, um die Kompatibilität und Leistung in verschiedenen Umgebungen sicherzustellen.

    Fehlerbehebung bei häufigen Problemen

    Wenn Probleme auftreten, beachten Sie die folgenden Schritte zur Fehlerbehebung:

    • Protokolle überprüfen: Überprüfen Sie die Ereignisprotokolle sowohl auf dem Server als auch auf dem Clientgerät auf Fehler im Zusammenhang mit VPN-Verbindungen.
    • Netzwerkkonfiguration: Stellen Sie sicher, dass die Netzwerkkonfiguration VPN-Datenverkehr zulässt und dass keine Firewall-Regeln die Verbindung blockieren.
    • Zertifikatsüberprüfung: Stellen Sie sicher, dass die für die IKEv2-Authentifizierung verwendeten Zertifikate gültig und korrekt auf Server- und Clientgeräten installiert sind.

    Wenn Sie diese Richtlinien befolgen, sollten Sie in der Lage sein, eine sichere und stabile VPN-Verbindung für Android- und Windows-Clients mit IKEv2 aufrechtzuerhalten.

    Alles Gute

    Rosig

    0 Kommentare
  4. Anonym
    2024-06-11T15:45:33+00:00

    Besten Dank Rosig für diese ausführliche Überprüfung der Scripte, schön zu hören, dass es so gut ist.

    Als nächstes möchte ich mich um die NAT-Funktion bemühen.

    Im voraus, möchte ich mich nochmals absichern, ob es richtig ist, den DHCP und den DNS Server nur an die Karte des LAN zu binden. Für mein Wissen muss es ja so sein. Mir fällt auf, dass der DNS Server trotzdem immer wieder selbstständig Einträge erstellt, die auf die WAN-IP (Karte) zeigen, obwohl ich diese Einträge mehrmals entfernt habe, sie erscheinen immer wieder.?!

    Bezüglich DHCP haben ich den DHCP-Relays Agent im RRAS auf die IP der LAN-Karte gestellt, da der DHCP ja nur an die IP der LAN-Karte gebunden ist. Wir haben auch keine Probleme beim verteilen von IPs an die Clients. Im VPN-Tunnel und auch in der lokalen Arbeit im LAN funktioniert dies. Die Clients kommen auch in das Internet durch den Tunnel. Auch die Auflösung des Rechnernamen des Servers funktioniert in beiden Segmenten gleich.

    Die Autorisierung des DHCPs wurde mit der WAN IP vollzogen, das habe ich geändert. Ich habe diesen neu autorisiert und jetzt stimmen die Einträge bei "Autorisierte DHCP-Server", die IP ist nun die des LAN.

    Ihre zusätzlichen Empfehlungen:

    Ich habe eine Testumgebung mit mehreren Clients, wir achten darauf, dass alle Geräte gepatcht sind, auch Treiberupdates usw. Server sind zwei vorhanden und wir testen noch nicht mit VMs. Die Ereignis-Protokolle zeigen im - Remotezugriff - Bereich keine Ereignisse an.

    Allerdings zeigt der DNS das Ereignis 4004 und 4015 an.

    Die Fehlermeldung 4004:

    Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "TrustAnchors" nicht vollständig durchführen. Dieser DNS-Server ist zum Verwenden von Informationen konfiguriert, die für diese Zone aus Active Directory abgerufen werden, und kann die Zone ohne diese Informationen nicht laden. Stellen Sie sicher, dass Active Directory richtig funktioniert, und wiederholen Sie die Aufzählung der Zone. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten enthalten den Fehlercode.

    Die Fehlermeldung 4015:

    Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten enthalten den Fehlercode.

    Diese Meldungen habe ich gegoogelt. Das hat mich aber nicht weitergebracht. Vielleicht können Sie uns helfen. Wir haben nur ein DNS Server im Netzwerk, was ja nicht die goldene Lösung ist und was ja bekanntlich zu Meldungen führen kann, die verwirrend sein können.

    Vielen, vielen Dank

    René

    0 Kommentare
  5. Anonym
    2024-06-17T05:37:39+00:00

    Diese Antwort wurde automatisch übersetzt. Daher können grammatikalische Fehler oder seltsame Formulierungen vorkommen.

    Hallo René,

    Vielen Dank für Ihre detaillierte Nachricht und für das Hervorheben der aktuellen Konfiguration und der Probleme, auf die Sie stoßen.

    NAT-Funktion und DHCP/DNS-Konfiguration

    Bindung von DHCP und DNS an LAN-Karte

    Es ist in der Tat richtig, die DHCP- und DNS-Server nur an die LAN-Karte zu binden. Dadurch wird sichergestellt, dass sie das interne Netzwerk korrekt bedienen. Das Problem, dass DNS Einträge erstellt, die auf die WAN-IP verweisen, weist jedoch wiederholt auf eine mögliche Fehlkonfiguration hin. Hier sind ein paar Schritte, um dies zu beheben:

    1. Überprüfen Sie die DNS-Serverbindungen:
      • Öffnen Sie den DNS-Manager.
      • Klicken Sie mit der rechten Maustaste auf den DNS-Servernamen und wählen Sie **Eigenschaften**.
      • Stellen Sie sicher, dass auf der Registerkarte **Schnittstellen** nur die LAN-IP und nicht die WAN-IP aufgeführt ist.
    2. Entfernen Sie unerwünschte DNS-Einträge:
      • Löschen Sie die unerwünschten DNS-Einträge, die auf die WAN-IP verweisen, manuell.
      • Um zu verhindern, dass sie wieder angezeigt werden, stellen Sie sicher, dass diese Datensätze nicht von Diensten oder Anwendungen registriert werden. Überprüfen Sie die Einstellungen für **Dynamisches Update** unter den **Zoneneigenschaften**.

    DHCP-Relay-Agent in RRAS

    Ihre Konfiguration zum Festlegen des DHCP-Relay-Agenten auf die IP der LAN-Karte ist korrekt. Es ist gut zu hören, dass die IP-Verteilung und die Hostnamenauflösung sowohl im VPN-Tunnel als auch im LAN-Segment ordnungsgemäß funktionieren.

    DHCP-Autorisierung

    Die erneute Autorisierung des DHCP-Servers mit der LAN-IP war ein notwendiger Schritt. Stellen Sie sicher, dass der DHCP-Bereich und die DHCP-Optionen korrekt konfiguriert sind, um Konflikte zu vermeiden.

    Beheben von DNS-Serverfehlern (4004 und 4015)

    Die DNS-Fehler 4004 und 4015 weisen auf Probleme mit der Active Directory-Integration hin. Hier sind einige Schritte zur Fehlerbehebung und Behebung dieser Fehler:

    1. Überprüfen Sie die Active Directory-Funktionalität:
      • Stellen Sie sicher, dass die Active Directory-Dienste reibungslos ausgeführt werden.
      • Verwenden Sie das Tool **Active Directory-Benutzer und -Computer**, um nach Inkonsistenzen oder Fehlern zu suchen.
    2. DNS-Server-Konfiguration:
      • Öffnen Sie den **DNS-Manager**.
      • Klicken Sie mit der rechten Maustaste auf den DNS-Server und wählen Sie **Eigenschaften**.
      • Gehen Sie zur Registerkarte **Weiterleitungen** und stellen Sie sicher, dass die Weiterleitungen korrekt eingerichtet sind.
      • Stellen Sie sicher, dass die Zone **TrustAnchors** ordnungsgemäß konfiguriert ist. Dies kann eine Neukonfiguration der Zone oder das Löschen und Neuerstellen umfassen, falls erforderlich.
    3. Überprüfen Sie die Ereignisprotokolle:
      • Untersuchen Sie die Ereignisanzeige auf verwandte Fehler oder Warnungen in den Protokollen **Verzeichnisdienst** und **DNS-Server**.
    4. Überprüfen Sie die AD DS- und DNS-Integration:
      • Stellen Sie sicher, dass die DNS-Zonen ordnungsgemäß in der Active Directory-Domäne repliziert werden.
      • Verwenden Sie die Tools **dcdiag** und **repadmin**, um Replikationsprobleme zu diagnostizieren und zu beheben.

    Zusätzliche Empfehlungen:

    • Stellen Sie sicher, dass alle Clients und Server in der Testumgebung gepatcht sind und die neuesten Treiber installiert sind.
    • Überwachen Sie die Ereignisprotokolle regelmäßig, um neue oder wiederkehrende Probleme frühzeitig zu erkennen.

    Ich hoffe, dass diese Schritte dazu beitragen, die Probleme zu lösen, mit denen Sie konfrontiert sind. Bitte lassen Sie mich wissen, wenn Sie weitere Hilfe benötigen oder wenn Sie zusätzliche Details für die weitere Diagnose angeben können.

    Vielen Dank für Ihre Zusammenarbeit und Geduld.

    Alles Gute

    Rosy Yuan

    0 Kommentare