Lavikus 10 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Hallo kollegen, ich administriere ein SBS 2003 mit aktuellen SP und möchte VPN realisieren. PPTP VPN funktioniert und ist nicht relevant. Hier die Daten des Server 1 Fritz Box Fon Router mit entspr. Portfreigabe Die Ports sind auf der FW bzw. Router freigeschsltet: UDP 1701, UDP 500, ESP sowie NAT-T UDP 4500. 2 Netzwerkkarten zum Internet 192.168.000.10 zum Lan 192.168.16.2 Die VPN Vernindung soll vorerst über einen PSK (Preschared Key) erfolgen. In den Routing und Ras Funktionen >>IP Routing>> NAT/Basisfirewal>>Netzwerkverbindungen ist IP Sicherheit (IKE) u. IP Sicherheit (IKE-NAT durchgehend) + VPN Gateway angehagt. Der PSK ist unter den RAS Server eingegeben worden. Als Protokolle habe ich zusätzlich EAP + MSCHAP2 + MSCHAP + Chap für spätere Anwendungen eingetragen. Intern funktioniert die VPN Verbindung. Wenn ich von außen versuche den Rechner über VPN L2TP / IPsec zu kontaktieren sehe ich das Pakete empfangen werden. Pakete werden zwar ausgetauscht jedoch nichts passiert. Im meinen Täglichen Serverberichten kann ich dan später folgende Meldung erkennen: IKE-Sicherheitszuordnung konnte nicht ausgehandelt werden. Modus: Schlüsselaustauschmodus (Hauptmodus) Filter: Quell-IP-Adresse 192.168.0.10 Quell-IP-Adressmaske 255.255.255.255 Ziel-IP-Adresse 80.187.77.14 Ziel-IP-Adressmaske 255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 192.168.0.10 Peer-IKE-Adresse 80.187.77.14 IKE-Quellport 4500 IKE-Zielport 4500 Private Peeradresse Peeridentität: Fehlerpunkt: Benutzer Fehlerursache: IKE-Sicherheitszuordnung wurde gelöscht, bevor Herstellung abgeschossen war. Zusätzlicher Status: Erste (SA)-Nutzlast wurde gesendet Initiator. Wartezeit 52 0x0 0x0 Ich komme da einfach nicht weiter. Habt Ihr da eine Idde für mich. Vielen vielen Dank. Dimi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Was für ein Client_OS benutzt du? Bei XPSP1 gibt es einen NAT-T Patch, http://support.microsoft.com/default.aspx?scid=kb;en-us;818043 bei XPSP2 muss man einen Reg-Key setzen http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 grizzly999 Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Danke für deine schnelle Meldung, ich habe davon gehört mich aber nicht getraut den Reg Key zu setzen. Versucht hatte ich es über einen XP Client mit sp2 jedoch bin ich mir nicht so sicher on er dieses Patch eingespielt hat. Gefordert ist jedoch die Funktion über ein MDA III bzw. MDA Pro. Ich werde erst versuchen den Key zu sätzen und das Patch zu instalieren und melde mich später mit einer Antwort zurück. Danke Dimi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Oh, MDA, da weiss ich jetzt nicht bescheid, aber der köntne damit Probleme haben. Der o.g. Patch/Reg_key betrifft den CLIENT!, nicht den Server ... grizzly999 Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Hallo zusammen, leider hat die Manipulation der Regestry nichts gebracht. Das patch ist bereits in SP 2 integriert. Abgesehen vom MDA sollte die Einwahl über ein WIN XP Client doch möglich sein? Kann es vieleicht möglich sein das ich bei der Konfiguration des Servers etwas übersehen habe. Ich brauche eure Hillllllllfe Vielen Dank Dimi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Dumme Frage: Aber der Client hat auch den PSK eingetragen, davon hast du oben nichts erwähnt. Die Keys sind identisch? grizzly999 Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 4. November 2005 Autor Melden Teilen Geschrieben 4. November 2005 ja sicherlich ist das ding eingetragen. Mann findet das Feld zu der Eingabe unter Sicherheit >> IPSec Einstellungen. Kann es vieleicht an den DHCP liegen der gesondert für IPSec ein Adresspool verlandt. Mir ist jedoch diese vorgehensweise nicht bekannt. Gruß Dimi Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. November 2005 Melden Teilen Geschrieben 4. November 2005 hallo dein problem liegt zu 99% am NAT ! bei xp SP2 ist zwar der patch inkludiert, aber sie habne die nat-t funktion wieder herausgenommen --> sicheheitslücke laut microsoft ! http://support.microsoft.com/default.aspx?scid=kb;de;885407 http://support.microsoft.com/default.aspx?scid=kb;de;885348 lg rossi Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 4. November 2005 Autor Melden Teilen Geschrieben 4. November 2005 so wie ich den Text verstanden habe benötige ich zum Betreib eine Öffentliche IP für den Server sodas das IKE diese Adresse beziehen kann. Folgerichtig wird es bei Normalen DSL Anschlussen mit einen NAT Router garnicht funktionieren. Ist meine Aussage richtig? Gruß Dimi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. November 2005 Melden Teilen Geschrieben 4. November 2005 hallo dein problem liegt zu 99% am NAT ! bei xp SP2 ist zwar der patch inkludiert, aber sie habne die nat-t funktion wieder herausgenommen --> sicheheitslücke laut microsoft ! http://support.microsoft.com/default.aspx?scid=kb;de;885407 http://support.microsoft.com/default.aspx?scid=kb;de;885348 lg rossi Bin ich mir nicht sicher, denn die Kommunikation hat gem. der Fehlermeldung im Log schon auf Port 4500 umgeschaltet. grizzly999 Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. November 2005 Melden Teilen Geschrieben 4. November 2005 hi wenn dein server nicht hinter einen nat router hängt sonder direkt im i-net, dann wäre das die optimale lösung, un du würdest auch kein nat-t brauchen ! nat-t wurde entwickelt um genau dein szenario zu verwirklichen, aber es kann sehr sehr ärgerlich werden beim implementieren...... aber werd mich mal schlau machen... http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx lg Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 4. November 2005 Autor Melden Teilen Geschrieben 4. November 2005 Vielen Dank für eure Hilfe. Ihr hattet Recht, Natürlich ist es das Nat. Ich habe volgendes gemacht und konnte mich einbuchen. Ich habe gerade den Regestry Eintrag Lt. http://support.microsoft.com/defaul...id=kb;de;885407 auf Wert 2 geändert und siehe da ich kann mich einbuchen mit meinen PSK über L2TP /IPsec. Ist jetzt diese Möglichkeit über das NAT-T zuzugreifen von Microsoft als unsicher deklariert worden? Die Sache mit den MDA wird kommende Woche geklärt innerhalb einer Microsoft Schulung. Gruß Happy Dimi Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. November 2005 Melden Teilen Geschrieben 4. November 2005 hi naja unsicher ... bei nat-t wird keine überprüfung gemacht der beiden peer ip im quick mode (phase2 )sprich die privaten adressen ! und das hat MS als sicherheitsrisiko deklariert und so aus dem SP2 genommen ! glaub das dies stimmt.... lg Zitieren Link zu diesem Kommentar
Lavikus 10 Geschrieben 4. November 2005 Autor Melden Teilen Geschrieben 4. November 2005 Microsoft sieht die Sache wohl zu ernst. Den Artiken werde ich mir gleich durchlesen und mich anschließend an die Arbeit der Zertifikate machen. Super sache ich bin begeistert. Gruß Dimi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.