Jump to content
Sign in to follow this  
somebody

L2TP/IPSec VPN-Server über SOHO Router

Recommended Posts

Hallo allerseits,

 

ich habe ein Problem bei der Anbindung eines Win2K-Servers, welcher als VPN-Gateway dienen soll.

 

Der Win-Server (1 NIC) hängt direkt am LAN-Segment eines D-Link DI 604 SOHO Breitbandrouters, welcher WAN-seitig eine externe statische IP besitzt. Nun soll eine Road-Warrior VPN-Lösung über L2TP/IPSec mit dem Win-Server als Gateway realisiert werden.

 

Am Server läuft dazu RRAS und eine CA, Certs sind verteilt, RRAS mit RAS & Routing aktiviert, Richtlinie ist auf L2TP festgelegt. L2TP Filter hab ich (noch) keine festgelegt, um den Server (noch) nicht ganz dicht zu machen.

 

Clientseitig soll Win2K Prof über einen beliebigen Internet-Anschluss verwendet werden.

 

Wenn ich den Client ins selbe LAN-Segment des Servers hänge, funktioniert auch alles super. Nur wenn ich mich per Dialup extern versuche einzuwählen, bekomme ich keine Verbindung zusammen :(

 

Der D-Link kann IPSec Pass through und der IKE Port UPD 500 ist auch auf die private IP des Win-Servers geforwarded.

 

Der VPN-Client meldet den Fehler 791: L2TP fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde.

 

Eine Analyse mit Ipsecmon und Ethereal ergibt, dass zwar der IKE Main-Mode klappt, aber der ansch. auch notwendige Quickmode nicht zu stande kommt. Warum auch immer??

 

Auch ein Portforward von UDP 1701 auf den Win-Server hat nichts geändert.

 

Auf dem Win2K Client ist übrigens auch das neue NAT-T Hotfix installiert, schon vor meinen ersten Versuchen .. kann das hier schlecht sein? Weil das IPSec Pass Through übernimmt hier ja sowieso schon der D-Link .. und Win2K Server arbeitet ja noch nicht mit NAT-T oder?

 

Zum Schluss hab ich noch P"PT probiert. Das klappt auch von extern sofort, doch das will ich und $Kunde nicht.

 

Mir scheint, das Problem liegt irgendwie im Bereich IPSec (Quick Mode?), L2TP und dem Router.

 

Nur warum schlägt die IPSec Aushandlung im Quick Mode fehl, wenn sie im Main Mode ja klappt usw.??

 

Ich würde mich sehr feuen, wenn wer was was weiss.

 

Danke Robert

Share this post


Link to post

das nat-t hotfix hab ich wieder deinstalliert am client. weil ja win2k server das sowieso nicht kann .. aber ohne erfolg, wie ich auch nicht erwartet hätte :(

 

nochwas wäre zu erwähnen: wenn ich eine reine native ipsec verbindung rein mit den Ip-Sicherheitsrichtlinien .. also ohne RRAS und Win-VPN-Client versuche .. und dann vom Client auf den Server pinge, dann bekomm ich auch über extern eine gültige SA zusammen. (Laut Ipsecmon und Ethereal) .. Komisch oder?

Liegt es am L2TP? das ist doch aber sowieso in IPSec gekapselt .. ausserdem hab ich ja UDP 1701 auch auf den Server geforwarded.

 

Hat so ein eigentlich sehr einfaches Szenario noch nie versucht?

Ev mit anderem Router?

 

lg Robert

Share this post


Link to post

Bekomme auch immer den 791 er Fehler beim L2TP einwählen über den Router,

mache ich das ganze aber aus der DMZ gehts einwandfrei, mittlerweile jemand eine Lösung ? Habe auch Port 500 Gre ESP Tcp 4500 Udp 4600 1223 1701 bla alles durchgleietet von drinnen nach draussen ... nix !

Share this post


Link to post
Original geschrieben von Koodie

Bekomme auch immer den 791 er Fehler beim L2TP einwählen über den Router,

mache ich das ganze aber aus der DMZ gehts einwandfrei, mittlerweile jemand eine Lösung ? Habe auch Port 500 Gre ESP Tcp 4500 Udp 4600 1223 1701 bla alles durchgleietet von drinnen nach draussen ... nix !

Die Ports sehen teilweise sehr seltsam aus (4600, 1223 :suspect: :confused: ), ausserdem ist so ziemlich ALLES von deiner VPN-Umgebung hier unklar, und ausserdem sind Overtakes, weil verwirrend und nicht hilreich, hier nicht gerne gesehen: http://www.mcseboard.de/rules.php?s=#nr7

 

Nochmaaal....... :rolleyes:

 

 

grizzly999

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...