Zum Inhalt wechseln


Foto

Fehler 789 bei L2TP over IPSec


  • Bitte melde dich an um zu Antworten
22 Antworten in diesem Thema

#1 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 02. November 2005 - 09:27

Hallo Gemeinde,

ich hab mal wieder ein Problem:

Ich habe vor eine Testumgebung zum Thema VPN aufzubauen. Hierzu habe ich auf einer VM-Ware einen Windows 2003 Server installiert. IIS, RRAS installiert. Domäne aufgesetzt (netdiag und dcdiag sind i.O.) und nun versuche ich eine VPN Verbindung aufzubauen. mit PPTP geht es ohne weiteres. L2TP bringt folgenden Fehler:

Fehler 789:

Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist.


Preshared Key ist eingestellt. Im Endeffekt soll es eigentlich mit Zertifikaten laufen, aber bevor der Preshared Key nicht läuft, kann das ja auch nicht gehen. CA und Zertifikate sind aber schon nach folgendem Tutorial installiert: http://www.tippex.net/anleitung/

Die VPN verbindung steht im Moment auf Preshared Key (L2TP). Ich versuche die Verbindung vom Client aus herzustellen (auf dem auch der Server mit der VM-Ware läuft...
Windows Firewalls sind nicht aktiv.

Hat jemand eine idee, wo das Problem liegen könnte?

Danke,

Alex
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#2 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 02. November 2005 - 09:36

hi

nattest du irgendwo zwischen den netzen !?

lg
rossi

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#3 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 02. November 2005 - 09:40

nein eigentlich nicht.

ist ja direkt auf die VMWare Session im "Bridged Mode" IP des Clients: 192.168.0.100, IP des Servers: 192.168.0.2

danke für die schnelle reaktion!
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#4 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 02. November 2005 - 10:27

hmm


also in der 1. aushandlung !

es gibt zwei varianten in phase 1 den "main mode" und den "aggresiv mode" !
stimmen die überein !?

stimmen die verschlüsselungseinstellungen überein !?

lg
rossi

was ist der client xp welches SP ?

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#5 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 02. November 2005 - 13:31

ja. fehler in der ersten aushandlung. authentifizierung ist client und serverseitig auf ms-chap und ms-chap v2 eingestellt. wo finde ich die einstellungen zum agressive und main mode??

client ist xp sp2 aktuellstes patchlevel.

einstellungen zum main und agressive mode habe ich weder am server noch am client (wissentlich) gemacht.

danke, alex
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#6 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 02. November 2005 - 13:49

hi

aktivier mal das oakley loging !
dazu musst du einen reg-eintrag erstellen

Erstellen es, wenn der Unterschlüssel nicht vorhanden ist.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

Fügen den Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Gib den Eintrag einen Wert 1 an. Wenn dieser Eintrag wirksam wird, wird eine Datei Oakley.log in dem %systemroot%\Debug-Ordner erstellt.

Dann initiere die verbindung, und schau einmal das log an !

lg
rossi

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#7 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 02. November 2005 - 14:15

Ähm, Windows kennt keinen Aggressive Mode, nur einen Quick mode und einen Main Mode.
Das Oakley Logging ist ein guter Ansatz aber schwer auszuwerten. Zusätzlich solltest du auf dem VPN-Server die fehlgeschlagenen Überwachungen anschalten und das Sicherheitsprotokoll, sowie die anderen Ereignisprotokolle anschauen. Da steht bestimmt was drin ....



grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#8 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 03. November 2005 - 18:19

Oakley log zeigt nur folgendes:

11-03: 19:12:21:859:760 Initialization OK


Ereignislog's bleiben unauffällig. Logging im RRAS ist aktiviert.

IN511.log (Logfile des RRAS Debug) zeigt nur folgendes:

192.168.0.2,,11/03/2005,19:13:27,RAS,SECLAB-VPN,4,192.168.0.2,44,3,40,7,4108,192.168.0.2,4155,2,4136,4,4142,0


irgendwie als würde gar nichts ankommen?!?
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#9 grizzly999

grizzly999

    Board Veteran

  • 17.691 Beiträge

 

Geschrieben 03. November 2005 - 22:43

Das sehe ich genauso. Wenn im Oakley Log nichts drin steht, dann kommt da auch nichts an. ein Netzwerkmonitor Trace würde das auch zeigen.
D.h. su soltest weiter vorne schauen (Router, FW, oder was auch immer) dass da was durchkommt, bzw. beim Client, dass der die richtige Ziel-IP.....usw.

grizzly999
MVP [Windows Server - Directory Services]
www.ServerHowTo.de -Das MCSEboard.de HowTo Projekt ist online!

#10 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 04. November 2005 - 10:45

es ist kein router und keine fw dazwischen! das isses ja!

es ist nur von der lokalen maschiene auf die vmware, die auf der kiste läuft. ohne nat o.ä. im bridged mode..

die selbe verbindung auf pptp eingestellt --> geht..
verbindungstyp auf L2TP und preshared key eingeben--> geht nicht mehr!

was kann das sein zum teufel... Das gibts doch gar nicht.

(Windows Firewalls sind auch aus!)
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#11 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 04. November 2005 - 11:20

hi

poste mal ipconfig der physikalischen sprich host maschine, und ipconfig von der vmware maschine !

lg

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.


#12 janmadera

janmadera

    Gast

  • 31 Beiträge

 

Geschrieben 04. November 2005 - 17:37

-gelöscht-

ups, falscher thread, sorry.

#13 janmadera

janmadera

    Gast

  • 31 Beiträge

 

Geschrieben 04. November 2005 - 17:40

Hallo Alex

Ich hätte eine Anleitung, war mal eine Projektarbeit von mir. Vielleich hilft Dir diese. Ich habe es mit W2K3 Server geschafft eine Verbindung mit Zertifikaten herzustellen. Evtl. findest Du darin anhaltspunkte.

Ich kann Dir ein PDF schicken, kontaktier mich unter
jan -atzeichen- madera -punkt- ch

Gruss,

Jan

#14 alexstarke

alexstarke

    Board Veteran

  • 570 Beiträge

 

Geschrieben 08. November 2005 - 10:18

Hostmaschine:

Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : ast-nb1
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter VMware Network Adapter VMnet8:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for
VMnet8
Physikalische Adresse . . . . . . : 00-50-56-C0-00-08
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.244.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :

Ethernetadapter VMware Network Adapter VMnet1:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for
VMnet1
Physikalische Adresse . . . . . . : 00-50-56-C0-00-01
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.0.3
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server. . . . . . . . . . . . : 192.168.0.2

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast
Ethernet NIC
Physikalische Adresse . . . . . . : 00-E0-00-F3-07-2A
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.0.100
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DHCP-Server . . . . . . . . . . . : 192.168.0.1
DNS-Server. . . . . . . . . . . . : 217.237.150.33
217.237.151.161
Lease erhalten. . . . . . . . . . : Montag, 7. November 2005 18:51:34
Lease läuft ab. . . . . . . . . . : Mittwoch, 9. November 2005 20:51:34


Da die VMWare im Bridged Mode läuft, werden die Adapter VMnet8 und VMnet1 nicht genutzt.

Nun die VMWare:

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : seclab-vpn
Primäres DNS-Suffix . . . . . . . : VPN.local
Knotentyp . . . . . . . . . . . . : Broadcast
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : VPN.local

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: VPN.local
Beschreibung . . . . . . . . . . : Ethernet-Adapter der AMD-PCNET-Familie
Physikalische Adresse . . . . . . : 00-0C-29-21-BD-65
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.0.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.0.1
DNS-Server . . . . . . . . . . . : 192.168.0.2


wie gesagt: ping, PPTP, Freigaben etc funktionieren...
Werde am Wochenende mal Ethereal anwerfen und mal sehen was genau passiert. Und bis wohin er kommt. Ist schon kurios.

Alex
Alex

__________________________
Actual Certs: Microsoft Licensing Specialist
Informatik-Student

#15 Hr_Rossi

Hr_Rossi

    Board Veteran

  • 1.486 Beiträge

 

Geschrieben 08. November 2005 - 10:53

hi

windows 2003 mit sp1 ?
vielleicht leigt es auch an den vmware adaptern ?
welche vmware version ?

lg






http://support.micro...id=kb;de;323441

Nur weil wir alle unter einem Himmel leben, heißt das noch lange nicht, dass wir auch denselben Horizont haben.