Hallo allerseits,
ich habe ein Problem bei der Anbindung eines Win2K-Servers, welcher als VPN-Gateway dienen soll.
Der Win-Server (1 NIC) hängt direkt am LAN-Segment eines D-Link DI 604 SOHO Breitbandrouters, welcher WAN-seitig eine externe statische IP besitzt. Nun soll eine Road-Warrior VPN-Lösung über L2TP/IPSec mit dem Win-Server als Gateway realisiert werden.
Am Server läuft dazu RRAS und eine CA, Certs sind verteilt, RRAS mit RAS & Routing aktiviert, Richtlinie ist auf L2TP festgelegt. L2TP Filter hab ich (noch) keine festgelegt, um den Server (noch) nicht ganz dicht zu machen.
Clientseitig soll Win2K Prof über einen beliebigen Internet-Anschluss verwendet werden.
Wenn ich den Client ins selbe LAN-Segment des Servers hänge, funktioniert auch alles super. Nur wenn ich mich per Dialup extern versuche einzuwählen, bekomme ich keine Verbindung zusammen :(
Der D-Link kann IPSec Pass through und der IKE Port UPD 500 ist auch auf die private IP des Win-Servers geforwarded.
Der VPN-Client meldet den Fehler 791: L2TP fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde.
Eine Analyse mit Ipsecmon und Ethereal ergibt, dass zwar der IKE Main-Mode klappt, aber der ansch. auch notwendige Quickmode nicht zu stande kommt. Warum auch immer??
Auch ein Portforward von UDP 1701 auf den Win-Server hat nichts geändert.
Auf dem Win2K Client ist übrigens auch das neue NAT-T Hotfix installiert, schon vor meinen ersten Versuchen .. kann das hier schlecht sein? Weil das IPSec Pass Through übernimmt hier ja sowieso schon der D-Link .. und Win2K Server arbeitet ja noch nicht mit NAT-T oder?
Zum Schluss hab ich noch P"PT probiert. Das klappt auch von extern sofort, doch das will ich und $Kunde nicht.
Mir scheint, das Problem liegt irgendwie im Bereich IPSec (Quick Mode?), L2TP und dem Router.
Nur warum schlägt die IPSec Aushandlung im Quick Mode fehl, wenn sie im Main Mode ja klappt usw.??
Ich würde mich sehr feuen, wenn wer was was weiss.
Danke Robert