Jump to content

L2TP erzwingen ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo allerseits,

 

Ich würde gerne die Verbindung zwischen den RAS-Server (2k3) und einem Clienten (XP) mit IPSec sichern.

 

Leider ist eine Verbindung nur über PPTP möglich. Bei L2TP dauert es eine Weile, und der Verbindungsversuch wird abgewiesen.

 

Kann mir jemand erklären, wie ich L2TP seitens des Servers erzwingen kann ?

 

Danke

Link to comment
Original geschrieben von Operator

Hi,

 

ist ein NAT Router dazwischen geschaltet?

Sind alle Ports weitergeleitet zum Server?

NAT-T verfügbar und aktiv (auf Router und Client)?

 

Ansonsten bekommst Du Probleme mit IPSec, da durch NAT Pakete verändert werden und damit ungültig am VPN Server ankommen.

 

Andre

Korrekt. Aber um die Frage weiter zu beantworten: Ja, man kann auf dem RAS-Server NAT indirekt erzwingen, indem man die WAN-Miniprots für PPTP für eineghende RAS-Verbindungen daktiviert ;)

 

 

grizzly999

Link to comment

Nein, es ist kein NAT dazwischengeschaltet.

 

Das Abschalten/Deaktivieren der PPTP Ports hat aber auch nicht geholfen. Das habe ich schon versucht. Resultat ist eine Fehlermeldung beim Client "Fehler 789: Verarbeitungsfehler während der Sicherheitsverhandlung mit dem Remote Computer".

 

Noch eine Idee ?

 

Aber Danke schon mal für Eure Antworten bisher.

Link to comment

Hallo,

 

Zuerst wollte ich preshared keys nehmen. Darauf, dass sie identisch sein müssen habe ich geachtet. (Sind für Testzwecke auch ganz einfach und unkompliziert.) Später, wenn alles funktioniert, wollte ich dann auf Zertifikate umsteigen.

 

Preshared Key eingegeben in:

Server: Routing und Ras - Servername - Eigenschaften - Sicherheit - Benutzerdefinierte IPSec-Richtlinie ... (Haken dran und Schlüssel eingegeben)

 

Client: Netzwerkverbindungen- Verbindung - Eigenschaften - Sicherheit - (Button) IPSec-Einstellungen - (Haken dran und Schlüssel wie in Server eingegeben)

 

(zuerst einfach zum verstehen, dann weiter ausbauen, denn ich bin noch ein absoluter Anfänger auf diesem Gebiet.)

 

Gruß

Elke

Link to comment

Ich nochmal...

 

Geh mal auf http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ipsec_tools.asp

 

und aktivier die IKE Protokollierung auf Client und Server. (Suche nach Audit Logging in Event Viewer)

 

Vielleicht ergibt das ja was..

 

Andre

Link to comment

Server:

 

Ereignisprotokoll: keine besonderen Vorkommnisse, nur Infos, keine Warnungen oder Fehler (Anwendungen, Sicherheit, System)

 

Oakley Protokoll:

Receive: (get) SA = 0x00000000 from 149.247.150.3.500

ISAKMP Header: (v1.0), len = 216

I-Cookie 69a4f93b9ccd969f

R-Cookie 0000000000000000

exchange: Oakley Main Mode

flags: 0

next payload: SA

message ID: 00000000

Filter to match: SRC 149.247.150.3 Dst 149.247.150.51

MatchMMFilter failed 13013

Respnding with new SA 0

HandleFirstPacketResponder failed 3601

 

Receive: (get) SA = 0x00000000 from 149.247.150.3.500

ISAKMP Header: (v1.0), len = 56

I-Cookie 69a4f93b9ccd969f

R-Cookie 0000000000000000

exchange: ISAKMP Informational Exchange

flags: 0

next payload: DELETE

message ID: dd458711

 

Der obere Absatz erscheint 6 Mal.

 

Beim Clienten konnte ich das Oakley Protokoll nicht starten (warum weiß ich auch nicht), und das Ereignisprotokoll war auch unauffällig.

 

149.247.150.3 ist der Client

149.247.150.51 ist der Server

 

Ichweiß nicht ob es wichtig ist, aber wenn man statt L2TP das PPTP benutzt, dann funktioniert die Verbindung (Ausser, daß jeder ins System kann, der bei der Verbindung Benutzernamen und Passwort aus der Anzeige löscht.)

 

Gruß

Link to comment

Der Ras Server soll eine Schnittstelle darstellen zwischen den Remote-Mitarbeitern und dem Firmennetzwerk. Daher besitzt er ein LAN Kabel für das LAN und eine ISDN-Controllerkarte zur Mitarbeitereinwahl. Der Mitarbeiter benutzt dann einen VPN mit der vorherigen Anwahl der Telefonnummer des Servers.

(Im Augenblick gibt es zu Testzwecken nur ein LAN Kabel zwischen Client und Server)

 

Der Client ist ein Stand-alone Gerät oder Laptop mit ISDNKarte/Modem. Er wählt die Nummer des Servers und baut dann eine VPN-Verbindung über die IP des Servers auf.

 

Sonst gibt es an den Geräten keine weiteren NW-Anschlüsse.

(Der Client wird im Echtbetrieb auch nur über Telefonleitung verbunden sein, und wird dementsprechend kein LAN Kabel mehr besitzen)

 

Gruß

Link to comment

... ich nochmal

 

Habe das SP2 installiert und den Artikel KB818043 (aus dem Dokument zu SP2) gelesen und regedit entsprechend aktualisiert. Die Firewall ist deaktiviert.

 

Aber: an den Fehlermelungen und der konsequenten Weigerung der Rechner eine L2TP-Verbindung aufzubauen hat sich leider nichts geändert.

 

Gruß

Link to comment

Habe das Problem des nicht funktionierenden L2TP gefunden. Mußte in der Registry die standardmäßig eingerichtete IPSec Richtlinie deaktivieren. Eine Verbindung kommt nun per L2TP zustande, allerdings nur unverschlüsselt. (Fehlermeldung im Client: angeforderte Verschlüsselung wird vom Remotecomputer nicht unterstützt, Diese Meldung verschwindet erst, wenn der Server die Option "keine Verschlüsselung" aktiviert hat.)

 

Vielen, vielen Dank an Euch und Frohe Weihnachten und einen guten Rutsch ...

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...