Jump to content

Fehler 789 bei L2TP over IPSec


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Gemeinde,

 

ich hab mal wieder ein Problem:

 

Ich habe vor eine Testumgebung zum Thema VPN aufzubauen. Hierzu habe ich auf einer VM-Ware einen Windows 2003 Server installiert. IIS, RRAS installiert. Domäne aufgesetzt (netdiag und dcdiag sind i.O.) und nun versuche ich eine VPN Verbindung aufzubauen. mit PPTP geht es ohne weiteres. L2TP bringt folgenden Fehler:

 

Fehler 789:

 

Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist.

[/Quote]

 

Preshared Key ist eingestellt. Im Endeffekt soll es eigentlich mit Zertifikaten laufen, aber bevor der Preshared Key nicht läuft, kann das ja auch nicht gehen. CA und Zertifikate sind aber schon nach folgendem Tutorial installiert: http://www.tippex.net/anleitung/

 

Die VPN verbindung steht im Moment auf Preshared Key (L2TP). Ich versuche die Verbindung vom Client aus herzustellen (auf dem auch der Server mit der VM-Ware läuft...

Windows Firewalls sind nicht aktiv.

 

Hat jemand eine idee, wo das Problem liegen könnte?

 

Danke,

 

Alex

Link zu diesem Kommentar

ja. fehler in der ersten aushandlung. authentifizierung ist client und serverseitig auf ms-chap und ms-chap v2 eingestellt. wo finde ich die einstellungen zum agressive und main mode??

 

client ist xp sp2 aktuellstes patchlevel.

 

einstellungen zum main und agressive mode habe ich weder am server noch am client (wissentlich) gemacht.

 

danke, alex

Link zu diesem Kommentar

hi

 

aktivier mal das oakley loging !

dazu musst du einen reg-eintrag erstellen

 

Erstellen es, wenn der Unterschlüssel nicht vorhanden ist.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

 

Fügen den Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Gib den Eintrag einen Wert 1 an. Wenn dieser Eintrag wirksam wird, wird eine Datei Oakley.log in dem %systemroot%\Debug-Ordner erstellt.

 

Dann initiere die verbindung, und schau einmal das log an !

 

lg

rossi

Link zu diesem Kommentar

Ähm, Windows kennt keinen Aggressive Mode, nur einen Quick mode und einen Main Mode.

Das Oakley Logging ist ein guter Ansatz aber schwer auszuwerten. Zusätzlich solltest du auf dem VPN-Server die fehlgeschlagenen Überwachungen anschalten und das Sicherheitsprotokoll, sowie die anderen Ereignisprotokolle anschauen. Da steht bestimmt was drin ....

 

 

 

grizzly999

Link zu diesem Kommentar

Oakley log zeigt nur folgendes:

 

11-03: 19:12:21:859:760 Initialization OK

[/Quote]

 

Ereignislog's bleiben unauffällig. Logging im RRAS ist aktiviert.

 

IN511.log (Logfile des RRAS Debug) zeigt nur folgendes:

 

192.168.0.2,,11/03/2005,19:13:27,RAS,SECLAB-VPN,4,192.168.0.2,44,3,40,7,4108,192.168.0.2,4155,2,4136,4,4142,0

[/Quote]

 

irgendwie als würde gar nichts ankommen?!?

Link zu diesem Kommentar

es ist kein router und keine fw dazwischen! das isses ja!

 

es ist nur von der lokalen maschiene auf die vmware, die auf der kiste läuft. ohne nat o.ä. im bridged mode..

 

die selbe verbindung auf pptp eingestellt --> geht..

verbindungstyp auf L2TP und preshared key eingeben--> geht nicht mehr!

 

was kann das sein zum teufel... Das gibts doch gar nicht.

 

(Windows Firewalls sind auch aus!)

Link zu diesem Kommentar

Hostmaschine:

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : ast-nb1

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

 

Ethernetadapter VMware Network Adapter VMnet8:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet8

Physikalische Adresse . . . . . . : 00-50-56-C0-00-08

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.244.1

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

 

Ethernetadapter VMware Network Adapter VMnet1:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet1

Physikalische Adresse . . . . . . : 00-50-56-C0-00-01

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.3

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server. . . . . . . . . . . . : 192.168.0.2

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast

Ethernet NIC

Physikalische Adresse . . . . . . : 00-E0-00-F3-07-2A

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.0.100

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DHCP-Server . . . . . . . . . . . : 192.168.0.1

DNS-Server. . . . . . . . . . . . : 217.237.150.33

217.237.151.161

Lease erhalten. . . . . . . . . . : Montag, 7. November 2005 18:51:34

Lease läuft ab. . . . . . . . . . : Mittwoch, 9. November 2005 20:51:34

 

[/Quote]

 

Da die VMWare im Bridged Mode läuft, werden die Adapter VMnet8 und VMnet1 nicht genutzt.

 

Nun die VMWare:

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : seclab-vpn

Primäres DNS-Suffix . . . . . . . : VPN.local

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : VPN.local

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: VPN.local

Beschreibung . . . . . . . . . . : Ethernet-Adapter der AMD-PCNET-Familie

Physikalische Adresse . . . . . . : 00-0C-29-21-BD-65

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.2

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DNS-Server . . . . . . . . . . . : 192.168.0.2

[/Quote]

 

wie gesagt: ping, PPTP, Freigaben etc funktionieren...

Werde am Wochenende mal Ethereal anwerfen und mal sehen was genau passiert. Und bis wohin er kommt. Ist schon kurios.

 

Alex

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...