Jump to content

W2K3 VPN L2TP über IPSEC funktioniert nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo kollegen,

 

ich administriere ein SBS 2003 mit aktuellen SP und möchte VPN realisieren.

PPTP VPN funktioniert und ist nicht relevant. Hier die Daten des Server

 

1 Fritz Box Fon Router mit entspr. Portfreigabe

Die Ports sind auf der FW bzw. Router freigeschsltet: UDP 1701, UDP 500, ESP sowie NAT-T UDP 4500.

 

2 Netzwerkkarten

zum Internet 192.168.000.10

zum Lan 192.168.16.2

 

Die VPN Vernindung soll vorerst über einen PSK (Preschared Key) erfolgen.

 

In den Routing und Ras Funktionen >>IP Routing>> NAT/Basisfirewal>>Netzwerkverbindungen ist IP Sicherheit (IKE) u. IP Sicherheit (IKE-NAT durchgehend) + VPN Gateway angehagt.

Der PSK ist unter den RAS Server eingegeben worden. Als Protokolle habe ich zusätzlich EAP + MSCHAP2 + MSCHAP + Chap für spätere Anwendungen eingetragen.

 

Intern funktioniert die VPN Verbindung.

 

Wenn ich von außen versuche den Rechner über VPN L2TP / IPsec zu kontaktieren sehe ich das Pakete empfangen werden. Pakete werden zwar ausgetauscht jedoch nichts passiert. Im meinen Täglichen Serverberichten kann ich dan später folgende Meldung erkennen:

 

IKE-Sicherheitszuordnung konnte nicht ausgehandelt werden. Modus: Schlüsselaustauschmodus (Hauptmodus) Filter: Quell-IP-Adresse 192.168.0.10 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 80.187.77.14 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 192.168.0.10 Peer-IKE-Adresse 80.187.77.14 IKE-Quellport 4500 IKE-Zielport 4500 Private Peeradresse Peeridentität: Fehlerpunkt: Benutzer Fehlerursache: IKE-Sicherheitszuordnung wurde gelöscht, bevor Herstellung abgeschossen war. Zusätzlicher Status: Erste (SA)-Nutzlast wurde gesendet Initiator. Wartezeit 52 0x0 0x0

 

Ich komme da einfach nicht weiter. Habt Ihr da eine Idde für mich. :cry::cry::cry:

 

Vielen vielen Dank.

 

Dimi

Link zu diesem Kommentar

Danke für deine schnelle Meldung,

 

ich habe davon gehört mich aber nicht getraut den Reg Key zu setzen. Versucht hatte ich es über einen XP Client mit sp2 jedoch bin ich mir nicht so sicher on er dieses Patch eingespielt hat.

Gefordert ist jedoch die Funktion über ein MDA III bzw. MDA Pro.

 

Ich werde erst versuchen den Key zu sätzen und das Patch zu instalieren und melde mich später mit einer Antwort zurück.

 

Danke

 

Dimi

Link zu diesem Kommentar

Hallo zusammen,

 

leider hat die Manipulation der Regestry nichts gebracht. Das patch ist bereits in SP 2 integriert. Abgesehen vom MDA sollte die Einwahl über ein WIN XP Client doch möglich sein?

Kann es vieleicht möglich sein das ich bei der Konfiguration des Servers etwas übersehen habe.

 

Ich brauche eure Hillllllllfe :cry::cry::cry:

 

Vielen Dank

 

Dimi

Link zu diesem Kommentar
hallo

 

 

dein problem liegt zu 99% am NAT !

bei xp SP2 ist zwar der patch inkludiert, aber sie habne die nat-t funktion wieder

herausgenommen --> sicheheitslücke laut microsoft !

 

http://support.microsoft.com/default.aspx?scid=kb;de;885407

http://support.microsoft.com/default.aspx?scid=kb;de;885348

 

 

lg

rossi

Bin ich mir nicht sicher, denn die Kommunikation hat gem. der Fehlermeldung im Log schon auf Port 4500 umgeschaltet.

 

grizzly999

Link zu diesem Kommentar

hi

 

wenn dein server nicht hinter einen nat router hängt sonder direkt im i-net, dann wäre das die optimale lösung, un du würdest auch kein nat-t brauchen !

 

nat-t wurde entwickelt um genau dein szenario zu verwirklichen, aber es kann sehr sehr ärgerlich werden beim implementieren......

 

aber werd mich mal schlau machen...

http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx

 

lg

Link zu diesem Kommentar

Vielen Dank für eure Hilfe. Ihr hattet Recht, Natürlich ist es das Nat. Ich habe volgendes gemacht und konnte mich einbuchen.

 

 

Ich habe gerade den Regestry Eintrag Lt. http://support.microsoft.com/defaul...id=kb;de;885407 auf Wert 2 geändert und siehe da ich kann mich einbuchen mit meinen PSK über L2TP /IPsec.

 

Ist jetzt diese Möglichkeit über das NAT-T zuzugreifen von Microsoft als unsicher deklariert worden?

 

Die Sache mit den MDA wird kommende Woche geklärt innerhalb einer Microsoft Schulung.

 

Gruß

 

Happy Dimi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...