Jump to content

L2TP erzwingen ?

BlueDog

Von BlueDog
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben
Original geschrieben von Operator

Hi,

 

ist ein NAT Router dazwischen geschaltet?

Sind alle Ports weitergeleitet zum Server?

NAT-T verfügbar und aktiv (auf Router und Client)?

 

Ansonsten bekommst Du Probleme mit IPSec, da durch NAT Pakete verändert werden und damit ungültig am VPN Server ankommen.

 

Andre

Korrekt. Aber um die Frage weiter zu beantworten: Ja, man kann auf dem RAS-Server NAT indirekt erzwingen, indem man die WAN-Miniprots für PPTP für eineghende RAS-Verbindungen daktiviert ;)

 

 

grizzly999

Link zu diesem Kommentar
BlueDog Contributor

BlueDog   10

Geschrieben
  • Autor
Geschrieben

Nein, es ist kein NAT dazwischengeschaltet.

 

Das Abschalten/Deaktivieren der PPTP Ports hat aber auch nicht geholfen. Das habe ich schon versucht. Resultat ist eine Fehlermeldung beim Client "Fehler 789: Verarbeitungsfehler während der Sicherheitsverhandlung mit dem Remote Computer".

 

Noch eine Idee ?

 

Aber Danke schon mal für Eure Antworten bisher.

Link zu diesem Kommentar
BlueDog Contributor

BlueDog   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

Zuerst wollte ich preshared keys nehmen. Darauf, dass sie identisch sein müssen habe ich geachtet. (Sind für Testzwecke auch ganz einfach und unkompliziert.) Später, wenn alles funktioniert, wollte ich dann auf Zertifikate umsteigen.

 

Preshared Key eingegeben in:

Server: Routing und Ras - Servername - Eigenschaften - Sicherheit - Benutzerdefinierte IPSec-Richtlinie ... (Haken dran und Schlüssel eingegeben)

 

Client: Netzwerkverbindungen- Verbindung - Eigenschaften - Sicherheit - (Button) IPSec-Einstellungen - (Haken dran und Schlüssel wie in Server eingegeben)

 

(zuerst einfach zum verstehen, dann weiter ausbauen, denn ich bin noch ein absoluter Anfänger auf diesem Gebiet.)

 

Gruß

Elke

Link zu diesem Kommentar
Operator Mentor

Operator   10

Geschrieben
Geschrieben

Ich nochmal...

 

Geh mal auf http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ipsec_tools.asp

 

und aktivier die IKE Protokollierung auf Client und Server. (Suche nach Audit Logging in Event Viewer)

 

Vielleicht ergibt das ja was..

 

Andre

Link zu diesem Kommentar
BlueDog Contributor

BlueDog   10

Geschrieben
  • Autor
Geschrieben

Server:

 

Ereignisprotokoll: keine besonderen Vorkommnisse, nur Infos, keine Warnungen oder Fehler (Anwendungen, Sicherheit, System)

 

Oakley Protokoll:

Receive: (get) SA = 0x00000000 from 149.247.150.3.500

ISAKMP Header: (v1.0), len = 216

I-Cookie 69a4f93b9ccd969f

R-Cookie 0000000000000000

exchange: Oakley Main Mode

flags: 0

next payload: SA

message ID: 00000000

Filter to match: SRC 149.247.150.3 Dst 149.247.150.51

MatchMMFilter failed 13013

Respnding with new SA 0

HandleFirstPacketResponder failed 3601

 

Receive: (get) SA = 0x00000000 from 149.247.150.3.500

ISAKMP Header: (v1.0), len = 56

I-Cookie 69a4f93b9ccd969f

R-Cookie 0000000000000000

exchange: ISAKMP Informational Exchange

flags: 0

next payload: DELETE

message ID: dd458711

 

Der obere Absatz erscheint 6 Mal.

 

Beim Clienten konnte ich das Oakley Protokoll nicht starten (warum weiß ich auch nicht), und das Ereignisprotokoll war auch unauffällig.

 

149.247.150.3 ist der Client

149.247.150.51 ist der Server

 

Ichweiß nicht ob es wichtig ist, aber wenn man statt L2TP das PPTP benutzt, dann funktioniert die Verbindung (Ausser, daß jeder ins System kann, der bei der Verbindung Benutzernamen und Passwort aus der Anzeige löscht.)

 

Gruß

Link zu diesem Kommentar
BlueDog Contributor

BlueDog   10

Geschrieben
  • Autor
Geschrieben

Der Ras Server soll eine Schnittstelle darstellen zwischen den Remote-Mitarbeitern und dem Firmennetzwerk. Daher besitzt er ein LAN Kabel für das LAN und eine ISDN-Controllerkarte zur Mitarbeitereinwahl. Der Mitarbeiter benutzt dann einen VPN mit der vorherigen Anwahl der Telefonnummer des Servers.

(Im Augenblick gibt es zu Testzwecken nur ein LAN Kabel zwischen Client und Server)

 

Der Client ist ein Stand-alone Gerät oder Laptop mit ISDNKarte/Modem. Er wählt die Nummer des Servers und baut dann eine VPN-Verbindung über die IP des Servers auf.

 

Sonst gibt es an den Geräten keine weiteren NW-Anschlüsse.

(Der Client wird im Echtbetrieb auch nur über Telefonleitung verbunden sein, und wird dementsprechend kein LAN Kabel mehr besitzen)

 

Gruß

Link zu diesem Kommentar
BlueDog Contributor

BlueDog   10

Geschrieben
  • Autor
Geschrieben

Habe das Problem des nicht funktionierenden L2TP gefunden. Mußte in der Registry die standardmäßig eingerichtete IPSec Richtlinie deaktivieren. Eine Verbindung kommt nun per L2TP zustande, allerdings nur unverschlüsselt. (Fehlermeldung im Client: angeforderte Verschlüsselung wird vom Remotecomputer nicht unterstützt, Diese Meldung verschwindet erst, wenn der Server die Option "keine Verschlüsselung" aktiviert hat.)

 

Vielen, vielen Dank an Euch und Frohe Weihnachten und einen guten Rutsch ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...