honkman16

Des Rätsels Lösung (und ich hoffe ich erspare anderen Admins damit ein wenig Zeit): Da ich einen Netgear Router in Verwendung habe der auch VPN unterstützt (FVS318) habe ich zunächst versucht mit der Netgear VPN Software ein VPN aufzubauen. Ist aber ziemlich mühsam und teuer weswegen ich dann auf L2TP gekommen bin. Der Netgear Client war zwar nicht mehr aktiv da ich ihn deaktiviert habe, jedoch hat er trotzdem L2TP gestört. Wahrscheinlich hat er irgendwo eigene Policies abgelegt. Das Mühsame an der Sache ist, dass man in den Logfiles etc. keine entsprechende Fehlermeldung findet. und in der Regel an den VPN Client nicht mehr denkt da man auf L2TP fixiert ist ... Also, wenn man L2TP nutzen möchte kann ich nur raten vorher alle anderen VPN Clients komplett zu deinstallieren (nicht nur deaktivieren oder beenden). Und zusätzlich ist der Registry nachzusehen ob da nicht noch ein paar Leichen vom VPN Client zurückgeblieben sind. Danke noch einmal an Hr_Rossi der mir mit viel Geduld zur Seite gestanden ist!!!

eines ist mir noch aufgefallen: in der Registry war beim Schlüssel HKLM\System\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec eine 1 eingetragen. Diese habe ich jetzt auf eine 0 geändert. Dies wird angeblich durch SP2 gesetzt. Wie auch immer werde mal rebooten, da es ohne Reboot nix begracht hat.

zunächst, danke für Deine Hilfe! *) PPTP funktioniert einwandfrei. *) L2TP funktioniert nicht. Fehler 678: Der Remotecomputer antwortet nicht. Klicken Sie auf Details ... *) WAN Miniport für L2TP am Server vorhanden (11 Ports) *) Der Server akzeptiert laut Log die Verbindung. Siehe mein Posting vom 23.01.2007 22:07 . Dies ist immer noch gleich. *) RAS Protokollierung aktiviert. Siehe Anhang. Für mich hat es den Anschein, dass die Verbindung zwar aufgebaut wird, der Client (oder der Server) dieses aber nicht abschliessen können. raslog.txt

im Log vom RAS Dienst steht folgendes: "XservernameY","RAS",01/24/2007,10:35:07,4,,,,,,,,"192.168.18.11",,,"192.168.18.11",,,,,,,,,,0,,,,,,7,,,,"10",,,,,,,,,,,,,,,,,,,,,,,,,,2,,,,

alle änderungen durchgeführt. server: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : XservernameX Primäres DNS-Suffix . . . . . . . : XdomainX.com Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Ja DNS-Suffixsuchliste . . . . . . . : XdomainX.com Ethernet-Adapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Physikalische Adresse . . . . . . : 00-15-C5-F6-86-70 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.18.11 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.18.1 DNS-Server . . . . . . . . . . . : 127.0.0.1 Primärer WINS-Server . . . . . . : 127.0.0.1 beim client hat sich ja nix geändert geht aber immer noch nicht.

nachtrag: wenn ich die 192.168.18.112 verwende geht es auch nicht (macht aus meiner sicht aber auch keinen Sinn; habe es nur zur Sicherheit ausprobiert).

zur 192.168.18.11 . die verwende ich auch für PPTP.

Vom Client: Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : XrechnerX Primäres DNS-Suffix . . . . . . . : XdomainX.com Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : XdomainX.com Ethernetadapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel® PRO/100 VE Network Connection Physikalische Adresse . . . . . . : 00-13-A9-05-29-E3 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.18.101 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.18.1 DHCP-Server . . . . . . . . . . . : 192.168.18.11 DNS-Server. . . . . . . . . . . . : 192.168.18.11 192.168.18.1 Primärer WINS-Server. . . . . . . : 192.168.18.11 Lease erhalten. . . . . . . . . . : Mittwoch, 24. Jänner 2007 10:00:14 Lease läuft ab. . . . . . . . . . : Donnerstag, 25. Jänner 2007 10:00:14 vom Server: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : XservernameX Primäres DNS-Suffix . . . . . . . : XdomainX.com Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Ja WINS-Proxy aktiviert . . . . . . : Ja DNS-Suffixsuchliste . . . . . . . : stranto.com Ethernet-Adapter LAN: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Physikalische Adresse . . . . . . : 00-15-C5-F6-86-70 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.18.11 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.18.1 DNS-Server . . . . . . . . . . . : 127.0.0.1 Primärer WINS-Server . . . . . . : 127.0.0.1 PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.18.112 Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : Danke

serverlog chronologisch: Der Benutzer "DOMÄNE\USER" hat eine Verbindung mit Port VPN4-127 hergestellt und wurde authentifiziert. Über diese Verbindung gesendete bzw. empfangene Daten werden stark verschlüsselt. Dem mit Port VPN4-127 verbundenen Benutzer "DOMÄNE\USER" wurde die Adresse 192.168.18.110 zugewiesen. Der Benutzer "DOMÄNE\USER" hat eine Verbindung mit Port VPN4-127 am 23.01.2007 um 21:49 hergestellt und diese am 23.01.2007 um 21:49 getrennt. Verbindungszeit: 0 Min. 17 Sek., 3593 Bytes wurden gesendet und 6626 Bytes empfangen. Der Grund für das Trennen war: Benutzeranforderung. Der Benutzer mit der IP-Adresse 192.168.18.110 wurde getrennt. Es sieht also so aus, daß die Zertifikate ok sind. Weswegen die Verbindung auf Grund einer Benutzeranforderung getrennt wird, ist mir immer noch noch nicht klar.

zertifikate habe ich überprüft. die sollten so stimmen. ipsec mit pre-shared key geht leider auch nicht. es liegt also wahrsch. nicht an den zertifikaten. wie gesagt, die fehlermeldung lautet: remoteserver nicht verfügbar. pptp get aber bzw. reagiert der server darauf. firewall gibt es keine. irgendeine ahnung woran das liegen könnte?

zum üben momentan noch im lan. es ist dann aber natürlich für die verwendung über das wan gedacht. ich spreche den server monetan über seine interne ip an (einwahlnummer). spiele mich noch ein wenig und gebe dann bescheid, ob es geklappt hat. danke aber für die hilfe.

ja, ich habe eine domain. active directory und der ganze schmus funktionieren aber. die computerzertifikate habe ich installiert indem ich in der mmc / zertifikate modul auf importieren gegangen bin und die zertifikate unter "eigene zertifikate" abgelegt. zertifizierungsstelle habe ich eine neue root erstellt mit dem zert.dienst von windows. user ist einwahlberechtigt. pptp geht. was meinst du mit "die müssen automat. kommen"? ich werde sie jetzt noch einmal löschen und neu importieren. zum verständnis: das client zertifikat muss auf den server und das vom server auf den client oder umgekehrt? was mich stutzig macht ist, dass ich keine fehlermeldung betr. der zertifikate bekomme sondern die meldung "remotecomp. antowrtet nicht" danke für deine hilfe

danke erstmal. ich bin jetzt so vorgegangen: 1) da stammzertifikat vom server habe ich am client abgespeichert und es in die liste der vertrauenswürdigen zert.stellen aufgenommen. 2) ich habe jeweils für den client und den server ein zertifikat erstellt. das server zertifikat habe ich am server, das client zertifikat habe ich am client erstellt. Beide für "IP-Sicherheits-IKE". Die beiden Client Zertifikate habe ich unter den "Eigenen Zertifikaten" abgelegt bzw. diese dorthin importiert. Ich finde jetzt also am Server unter den EZ das Server Zertifikat und am Client das Client Zertifikat. 3) PPTP habe ich deaktiviert. 4) Wenn ich nun versuche mich einzuwählen, sehe ich das Fenster mit der Einwahlnummer und nach Ablauf des Timeouts erscheint die Fehlermeldung das keine Verbindung aufgebaut werden konnte (Remotecomputer anwortet nicht). In den Ereignislogs kann ich aber sehen, dass die beiden eine Verbindung hatten und dann wieder abgebrochen haben. Kann mir da jemand weiterhelfen? Ist es auch möglich Benutzerzertifikate zu verwenden und jedem Benutzer der sich einwählen möchte ein Benutzerzertifikat zu geben? Wie wäre da vorzugehen? Danke

Hallo zusammen, ich wollte mir gerade mit Hilfe der Anleitung auf Windows Server How-To Guides: Home - ServerHowTo.de ein VPN mittels L2TP einrichten (PPTP habe ich bereits, wollte das Ganze aber sicherer machen). Mein Problem: Ich habe den Zertifikatdienst installier und dieser dürfte auch funktionieren. Allerdings kann ich nicht wie in der Anleitung beschrieben ein Zertifikat anfordern bzw. erstellen. Jedoch sieht bei mir die Eingabemaske gänzlich anders aus und habe ich auch nicht die Möglichkeit "IPsec Zertifikat" auszuwählen. Eines ist mir jedoch aufgefallen: Als Wert bei "Schlüsselverwendung" ist Exchange vorausgewählt und kann nicht geändert werden (ist auch die einzige Option). Kann das damit zusammenhängen, dass ich Exchnage 2003 ebenfalls auf dem Server installiert habe? Kann mir jemand weiterhelfen? Besten Dank