VPN Server unter Win2003 SBS

Hey Leute

Habe Win 2003 SBS und ich hab dort den VPN Server installiert, komme aber von außen nur bis zur Anmeldung, die korrekt verläuft. LAN Zugriff geht dann aber net.
Hab 2 Netzwerkkarten drin, eine fürs LAN (192.168.17.79, an Switch der an Router geht) und eine fürs VPN (192.168.17.3 direkt an den Router (192.168.17.99)). Der VPN Server nimmt nun die IP 192.168.17.150, die Clients hab ich auf 151 bis 200 gestellt.
Hab außerdem nen Benutzer VPNUSer (Mitglied bei Gästen, Remotedesktop-Benutzern) samt Passwort erstellt, ne DynDNS-Seite eingerichtet und den Router hab ich soo konfiguriert, dass er die Ports forwarded und die DynDNS Seite abfragt.
Komme wie gesagt auch schon von außen bis zur Anmeldung, die klappt. Aber dann erhalt ich keinen Zugriff aufs LAN, da der User angeblich nicht authentifiziert.
Also woran liegts:
1. Muss ich dem User jetzt noch gewisse Rechte einräumen?
2. Der VPN Server ist ja eigentlich auf LAN-Routing eingestellt, oder fehlt da noch was?
3. Sollte ich dem VPN nen anderen Adressraum (z.B. 192.168.15.***) einräumen? Hab ma gelesen, dass es da sonst Konflikte gibt.

danke, Howie

Nen anderen Adressraum brauchst du nicht. Du solltest aber kein Gastkonto nehmen, sondern ein richtiges Domänenkonto.

Vielleicht könnt ihr mir noch helfen. Ich zähl mal die einzelnen Schritte auf, die ich vollzogen hab:

1. Router für NAT konfiguriert, dass TCP/IP Port 1723 auf 192.168.17.3 geleitet wird
2. Firewall im Router konfiguriert, dass PPTP-Protokoll, TCP 1723 und UDP 500 durchgelassen werden
3. DynDNS Seite aufgemacht und Router eingestellt, dass er die IP Adresse dort meldet
4. VPN Server Assistenten auf Win 2003 Server ausgeführt und Lan-Karte mit 192.168.17.3 für VPN Verbindung ausgewählt (siehe oben), Radius nicht aktiviert, fester IP-Adressraum (192.168.17.150 bis 170) => VPN Server ist 192.168.17.150, Clients 151 bis 170
5. VPNUser mit Passwort angelegt und Admin- sowie Remotedesktopgruppe hinzugefügt, außerdem Recht auf RAS-Einwahl einegstellt
6. Beim VPN Server Ras-Richtlinien auf Zugriff erteilen gestellt.

Fehlt da jetzt noch was bzw. ist was falsch?
Die VPN Verbindung steht dann nach der Einwahl, aber wie kann ich dann die PCs im Praxis-LAN sehen? Wenn ich meinen PC zu Hause auf die Arbeitsgruppe Praxis stelle zeigt er mir in der Arbeitsgruppe nur meinen PC an.
Kann es sein, dass ich keinen Zugriff von außen bekomme, da mein Router zu Hause kein NAT kann und nur die Ports freigegeben sind bzw. das PPTP Protokoll dort nicht aktivierbar ist?

Ich wäre für Hilfe sehr dankbar, Howie

PS: ihr könnt mir auch gerne ein gutes Buch über VPN unter Windows 2003 Server empfehlen.

In deiner Arbeitsgruppe zuhause kannst du natürlich nichts sehen. Du musst dich z.B. Auf einen Server oder Workstation in deiner Arbeit aufschalten.

Das PPTP Protokoll von deinem Router solltest du aktivieren!

Ich hab die Arbeitsgruppe Praxis gewählt, da in der Praxis (also auch auf dem Win 2003 Server) diese Arbeitsgruppe eingestellt ist. Dann müsste es doch eigentlich funktionieren oder?
Leider haben wir zu Hause nur den D-Link DI 604 und der ist net so schön zu konfigurieren, wie der Zyxel in der Praxis. Da waren schon alle Voreinstellungen getroffen und man musste sie nur noch aktivieren. Vielleicht stell ich mal einen PC zu Hause direkt ans DSL.

Danke für eure Hilfe

Deswegen siehst du die Arbeitsgruppe zuhause auch nicht.

Also, ich hatte das richtig eingestellt gehabt, Marco:
ich meinte, dass ich zu Hause Praxis und in der Praxsi auch Praxis hab. Aber danke für deine Hilfe!
Es lag an meinem Router zu Hause, der das PPTP nicht weiterleiten kann. Bei meiner Freundin noch über ISDN kam ich aufs Netzwerk und konnte die Dateien auf dem PC mit dem VPN Server zugreifen.

Die anderen Rechner sah ich zwar, aber ich durfte nicht zugreifen, obwohl bei allen Gast und Jeder Vollzugriff haben per LAN. Woran kann das denn jetzt noch scheitern?

Weiß jemand da, welchen Benutzer ich zulassen muss?

Danke, Howie

Mit welchem Account meldest du dich an? Nimm einen der schon existiert.

IMHO ist es immer besser für VPN User eine eigene lokale Gruppe anzulegen, in diese dann die User reinzustecken und der lokalen Gruppe dann die Zugriffsberechtigungn zu geben.

Vor allen Dingen solltest du nicht der Gruppe JEDER unddem GAST den VOLLZUGRIFF geben, denn damit öffnest du JEDEM der die Daten hat die Tür, sprich für Hacker bzw. Script-Kiddies machst du die Arbeit nur leichter.