Jump to content

L2TP/IPSec VPN-Server über SOHO Router


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo allerseits,

 

ich habe ein Problem bei der Anbindung eines Win2K-Servers, welcher als VPN-Gateway dienen soll.

 

Der Win-Server (1 NIC) hängt direkt am LAN-Segment eines D-Link DI 604 SOHO Breitbandrouters, welcher WAN-seitig eine externe statische IP besitzt. Nun soll eine Road-Warrior VPN-Lösung über L2TP/IPSec mit dem Win-Server als Gateway realisiert werden.

 

Am Server läuft dazu RRAS und eine CA, Certs sind verteilt, RRAS mit RAS & Routing aktiviert, Richtlinie ist auf L2TP festgelegt. L2TP Filter hab ich (noch) keine festgelegt, um den Server (noch) nicht ganz dicht zu machen.

 

Clientseitig soll Win2K Prof über einen beliebigen Internet-Anschluss verwendet werden.

 

Wenn ich den Client ins selbe LAN-Segment des Servers hänge, funktioniert auch alles super. Nur wenn ich mich per Dialup extern versuche einzuwählen, bekomme ich keine Verbindung zusammen :(

 

Der D-Link kann IPSec Pass through und der IKE Port UPD 500 ist auch auf die private IP des Win-Servers geforwarded.

 

Der VPN-Client meldet den Fehler 791: L2TP fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde.

 

Eine Analyse mit Ipsecmon und Ethereal ergibt, dass zwar der IKE Main-Mode klappt, aber der ansch. auch notwendige Quickmode nicht zu stande kommt. Warum auch immer??

 

Auch ein Portforward von UDP 1701 auf den Win-Server hat nichts geändert.

 

Auf dem Win2K Client ist übrigens auch das neue NAT-T Hotfix installiert, schon vor meinen ersten Versuchen .. kann das hier schlecht sein? Weil das IPSec Pass Through übernimmt hier ja sowieso schon der D-Link .. und Win2K Server arbeitet ja noch nicht mit NAT-T oder?

 

Zum Schluss hab ich noch P"PT probiert. Das klappt auch von extern sofort, doch das will ich und $Kunde nicht.

 

Mir scheint, das Problem liegt irgendwie im Bereich IPSec (Quick Mode?), L2TP und dem Router.

 

Nur warum schlägt die IPSec Aushandlung im Quick Mode fehl, wenn sie im Main Mode ja klappt usw.??

 

Ich würde mich sehr feuen, wenn wer was was weiss.

 

Danke Robert

Link zu diesem Kommentar

das nat-t hotfix hab ich wieder deinstalliert am client. weil ja win2k server das sowieso nicht kann .. aber ohne erfolg, wie ich auch nicht erwartet hätte :(

 

nochwas wäre zu erwähnen: wenn ich eine reine native ipsec verbindung rein mit den Ip-Sicherheitsrichtlinien .. also ohne RRAS und Win-VPN-Client versuche .. und dann vom Client auf den Server pinge, dann bekomm ich auch über extern eine gültige SA zusammen. (Laut Ipsecmon und Ethereal) .. Komisch oder?

Liegt es am L2TP? das ist doch aber sowieso in IPSec gekapselt .. ausserdem hab ich ja UDP 1701 auch auf den Server geforwarded.

 

Hat so ein eigentlich sehr einfaches Szenario noch nie versucht?

Ev mit anderem Router?

 

lg Robert

Link zu diesem Kommentar
  • 7 Monate später...
Original geschrieben von Koodie

Bekomme auch immer den 791 er Fehler beim L2TP einwählen über den Router,

mache ich das ganze aber aus der DMZ gehts einwandfrei, mittlerweile jemand eine Lösung ? Habe auch Port 500 Gre ESP Tcp 4500 Udp 4600 1223 1701 bla alles durchgleietet von drinnen nach draussen ... nix !

Die Ports sehen teilweise sehr seltsam aus (4600, 1223 :suspect: :confused: ), ausserdem ist so ziemlich ALLES von deiner VPN-Umgebung hier unklar, und ausserdem sind Overtakes, weil verwirrend und nicht hilreich, hier nicht gerne gesehen: http://www.mcseboard.de/rules.php?s=#nr7

 

Nochmaaal....... :rolleyes:

 

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...