Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
alexstarke

Fehler 789 bei L2TP over IPSec

Empfohlene Beiträge

Hallo Gemeinde,

 

ich hab mal wieder ein Problem:

 

Ich habe vor eine Testumgebung zum Thema VPN aufzubauen. Hierzu habe ich auf einer VM-Ware einen Windows 2003 Server installiert. IIS, RRAS installiert. Domäne aufgesetzt (netdiag und dcdiag sind i.O.) und nun versuche ich eine VPN Verbindung aufzubauen. mit PPTP geht es ohne weiteres. L2TP bringt folgenden Fehler:

 

Fehler 789:

 

Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist.

[/Quote]

 

Preshared Key ist eingestellt. Im Endeffekt soll es eigentlich mit Zertifikaten laufen, aber bevor der Preshared Key nicht läuft, kann das ja auch nicht gehen. CA und Zertifikate sind aber schon nach folgendem Tutorial installiert: http://www.tippex.net/anleitung/

 

Die VPN verbindung steht im Moment auf Preshared Key (L2TP). Ich versuche die Verbindung vom Client aus herzustellen (auf dem auch der Server mit der VM-Ware läuft...

Windows Firewalls sind nicht aktiv.

 

Hat jemand eine idee, wo das Problem liegen könnte?

 

Danke,

 

Alex

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hmm

 

 

also in der 1. aushandlung !

 

es gibt zwei varianten in phase 1 den "main mode" und den "aggresiv mode" !

stimmen die überein !?

 

stimmen die verschlüsselungseinstellungen überein !?

 

lg

rossi

 

was ist der client xp welches SP ?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ja. fehler in der ersten aushandlung. authentifizierung ist client und serverseitig auf ms-chap und ms-chap v2 eingestellt. wo finde ich die einstellungen zum agressive und main mode??

 

client ist xp sp2 aktuellstes patchlevel.

 

einstellungen zum main und agressive mode habe ich weder am server noch am client (wissentlich) gemacht.

 

danke, alex

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

hi

 

aktivier mal das oakley loging !

dazu musst du einen reg-eintrag erstellen

 

Erstellen es, wenn der Unterschlüssel nicht vorhanden ist.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

 

Fügen den Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Gib den Eintrag einen Wert 1 an. Wenn dieser Eintrag wirksam wird, wird eine Datei Oakley.log in dem %systemroot%\Debug-Ordner erstellt.

 

Dann initiere die verbindung, und schau einmal das log an !

 

lg

rossi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ähm, Windows kennt keinen Aggressive Mode, nur einen Quick mode und einen Main Mode.

Das Oakley Logging ist ein guter Ansatz aber schwer auszuwerten. Zusätzlich solltest du auf dem VPN-Server die fehlgeschlagenen Überwachungen anschalten und das Sicherheitsprotokoll, sowie die anderen Ereignisprotokolle anschauen. Da steht bestimmt was drin ....

 

 

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Oakley log zeigt nur folgendes:

 

11-03: 19:12:21:859:760 Initialization OK

[/Quote]

 

Ereignislog's bleiben unauffällig. Logging im RRAS ist aktiviert.

 

IN511.log (Logfile des RRAS Debug) zeigt nur folgendes:

 

192.168.0.2,,11/03/2005,19:13:27,RAS,SECLAB-VPN,4,192.168.0.2,44,3,40,7,4108,192.168.0.2,4155,2,4136,4,4142,0

[/Quote]

 

irgendwie als würde gar nichts ankommen?!?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das sehe ich genauso. Wenn im Oakley Log nichts drin steht, dann kommt da auch nichts an. ein Netzwerkmonitor Trace würde das auch zeigen.

D.h. su soltest weiter vorne schauen (Router, FW, oder was auch immer) dass da was durchkommt, bzw. beim Client, dass der die richtige Ziel-IP.....usw.

 

grizzly999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

es ist kein router und keine fw dazwischen! das isses ja!

 

es ist nur von der lokalen maschiene auf die vmware, die auf der kiste läuft. ohne nat o.ä. im bridged mode..

 

die selbe verbindung auf pptp eingestellt --> geht..

verbindungstyp auf L2TP und preshared key eingeben--> geht nicht mehr!

 

was kann das sein zum teufel... Das gibts doch gar nicht.

 

(Windows Firewalls sind auch aus!)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Alex

 

Ich hätte eine Anleitung, war mal eine Projektarbeit von mir. Vielleich hilft Dir diese. Ich habe es mit W2K3 Server geschafft eine Verbindung mit Zertifikaten herzustellen. Evtl. findest Du darin anhaltspunkte.

 

Ich kann Dir ein PDF schicken, kontaktier mich unter

jan -atzeichen- madera -punkt- ch

 

Gruss,

 

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hostmaschine:

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : ast-nb1

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

 

Ethernetadapter VMware Network Adapter VMnet8:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet8

Physikalische Adresse . . . . . . : 00-50-56-C0-00-08

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.244.1

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

 

Ethernetadapter VMware Network Adapter VMnet1:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet1

Physikalische Adresse . . . . . . : 00-50-56-C0-00-01

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.3

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server. . . . . . . . . . . . : 192.168.0.2

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast

Ethernet NIC

Physikalische Adresse . . . . . . : 00-E0-00-F3-07-2A

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.0.100

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DHCP-Server . . . . . . . . . . . : 192.168.0.1

DNS-Server. . . . . . . . . . . . : 217.237.150.33

217.237.151.161

Lease erhalten. . . . . . . . . . : Montag, 7. November 2005 18:51:34

Lease läuft ab. . . . . . . . . . : Mittwoch, 9. November 2005 20:51:34

 

[/Quote]

 

Da die VMWare im Bridged Mode läuft, werden die Adapter VMnet8 und VMnet1 nicht genutzt.

 

Nun die VMWare:

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : seclab-vpn

Primäres DNS-Suffix . . . . . . . : VPN.local

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : VPN.local

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: VPN.local

Beschreibung . . . . . . . . . . : Ethernet-Adapter der AMD-PCNET-Familie

Physikalische Adresse . . . . . . : 00-0C-29-21-BD-65

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.2

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DNS-Server . . . . . . . . . . . : 192.168.0.2

[/Quote]

 

wie gesagt: ping, PPTP, Freigaben etc funktionieren...

Werde am Wochenende mal Ethereal anwerfen und mal sehen was genau passiert. Und bis wohin er kommt. Ist schon kurios.

 

Alex

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×