Roman79 10 Posted September 3, 2004 Report Posted September 3, 2004 Hallo, Habe folgendes Problem: Versuche verzwifelt ein VPN (L2TP) ISA Server hinter einer Suse Firewall2 (dient als VPN Gateway) zu erreichen. Habe das WinXP SP2 installiert, so daß zusammen mit dem WIn2003 ISA Server NAT-T funktionieren sollte. Wenn ich beide zusammen direkt vernetze, funktionierts. Liegt der Server aber hinter der Firewall, die später einmal die öffentliche IP erhält, in der DMZ, kann ich den Rmeote Server nicht erreichen. Habe bereits UDP 500, 1701 und 4500 in beide Richtungen geöffnet. Auf dem ISA sind diese 3 UDP Ports ebenfalls in beide Richtungen offen. Bei WinXP steth allerdings im Eventlog 32003, Probleme mit NAT. Beim ISA Server ist geschrieben, daß die Aushandlung erfogreich verlief.. PPTP ließ sich ohne Probleme einrichten, soll aber nicht verwendet werden :( Hat jemand schon NAT-T hinbekommen? Bin auch für andere Firewalllösungen offen.... Quote
Hr_Rossi 10 Posted September 3, 2004 Report Posted September 3, 2004 hi hast du den patch schon drauf Patch 818043 zufinden bei MS-download katalog patch für nat-t mfg rossi hatte mal so ein ähnliches problem mit einer zywall 10 check mal thread ipsec über ip-si-richtlinien oder suchen ipsec zywall sonst aktivier das oakley-logging must einen registry eintrag schreiben bedienung MS site musst suchen weiss leida nicht auswendig Quote
Roman79 10 Posted September 3, 2004 Author Report Posted September 3, 2004 Dieser Patch ist im SP2 enthalte. Das Fehlerverhalten war auch anders... Vorher hat der XP Client sofort gestreikt (kann keine sichere Verbindung aushandeln...), und nun, nun wartet er vergeblich auf eine Antwort... Mit Etherreal sehe ich ja auch, daß UDP Pakete auf 4500 fleißig getaushct werden, daß Log der Firewall schreibt auch, daß alle Pakete akzeptiert und geforwarded werden... Es ist halt zum Wahnsinnig werde... Den Rest werde ich mal schauen. Danke erst einmal Quote
Roman79 10 Posted September 13, 2004 Author Report Posted September 13, 2004 Problem gelöst!!! Wer es wissen will, Win XP SP2 schaltet die Nat-T Unterstützung wieder ab. Um diese wieder einzuschalten ist folgender Registry eintrag nötig: [HKLM\System\CurrentControlSet\Services\IPSec\AssumeUDPEncapsulationContextOnSendRule = REG_DWORD]. Dieser Wert muß auf 2 gesetzt werden. 1 erlaubt einem Client mit einer öffentlichen IP einen Server hinter Nat zu erreichen. 0 stellt den SP2 Defaultzustand wieder her, also Deaktivierung der NAT-T Unterstützung... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.