VPN(RAS)-Server Grundsäzlich wieviel Netzwerkkarten ?

[hubivo 10]

Hallo Leute,

 

ich möchte an unserem DC die VPN-Einwahl über L2TP und IPsec einrichten und probiere auch schon einige Zeit lang, allerdings ohne positives Ergebnis...bekomme einfach keine Verbindung zustande.

 

Ich habe mich bisher an die Anleitung von gruppenrichtlinien.de gehalten, komme aber nicht weiter.

 

Da es bei Gruppenrichtlinien so erklärt wird, dass man nur eine Netzwerkkarte benötigt, hab ich das auch so probiert.

Es handelt sich um einen Win 2k3-Server, der als DC und Notes-Server läuft. Er hat nur eine Netzwerkkarte und auf dieser laufen 2 IP`s, eine für den DC und eine extra für den Notes-Server.

Ich habe an der Firewall die Ports für L2TP (UDP 1701 und UDP 500) auf die interne IP des DC weiterleiten lassen (kann ich nicht selbst konfigurieren, gehört der Telekom).

 

Bei Microsoft steht allerdings hier , dass man 2 Netzwerkkarten braucht.

 

Jetzt grundsätzlich: Reicht die eine Netzwerkkarte aus, oder brauch ich definitiv eine zweite ?

 

Bin schon langsam am verzweifeln

 

Danke für eure Tipps, werde mit Sicherheit noch eine Menge Fragen haben

[IThome 10]

Man muss nicht, man sollte aber. Im Übrigen fehlt UDP 4500 bei der Umleitung ...

[grizzly999 11]

Man muss nicht, man sollte aber. Im Übrigen fehlt UDP 4500 bei der Umleitung ...

Und dafür ist der 1701 zuviel, das ist der in den gekapselten Paketen.

 

 

grizzly999

[IThome 10]

Hm, ja , stimmt auch wieder, wenn L2TP/IPSec, dann wird innerhalb der L2TP-Verbindung verschlüsselt, UDP 4500 benutzt man ja, wenn man eine Layer 3 Verbindung über NAT-Geräte benutzt.

Du sagst, es funktioniert nicht, kannst Du ein bisschen konkreter werden ?

[hubivo 10]

So, erstmal vielen Dank für die Hinweise.

 

Um zu testen, ob es mit nur einer Netzwerkkarte am Server geht und ich von aussen überhaupt an den Server komme, hab ich mal die PTPP-Ports freischalten lassen (TCP 1723 und Protokoll 47) und darüber einen Verbindungsaufbau probiert. Siehe da, es geht.

 

Aber das Ziel ist ja L2TP und IPsec. Da hatten die Weiterleitungen von Port UDP 4500 und IP-Protokoll 50 (ESP) gefehlt. Die sind jetzt auch auf die Server-IP weitergeleitet.

Leider kann ich aber immernoch keine von extern kommende L2TP-Verbindung aufbauen. Ich habe von intern aus dem Netzt eine Verbindung über L2TP auf den Server aufbauen können. Wenn ich das über extern versuche, kommt eine Fehlermeldung: "Fehler 791: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde." Für diese Fehler habe ich bis jetzt nichts aussagekräftiges im Netz finden können, vll. wisst ihr, was ich da noch vergessen habe. Höchstwahrscheinlich eine Lokale Sicherheitsrichtlinie an dem Computer, der die externe Verbindung aufbauen soll ??!

[IThome 10]

Hm, im RRAS erzeugt der Assistent für NAT/VPN oder RAS (DFÜ/VPN) auch eine Umleitung bzw. einen Paketfilter für UDP 4500 ...

[grizzly999 11]

Da das Ganze von Extern über NAT geht, der Client ist entsprechend gepatcht? Für XPSP1 und 2000 einen extra Patch einspielen:

http://support.microsoft.com/kb/818043/en-us

 

Für XPSP2 einen Registry Key setzen:

http://support.microsoft.com/kb/885407/en-us

 

Getan? Dann sollte es klappen.

 

 

grizzly999

[IThome 10]

Wird denn jetzt die UDP 4500 Umleitung bei einem Zugriff mit L2TP/IPSec benötigt oder nicht ? Ich stelle sie immer ein und habe nie Probleme gehabt, habe es aber auch noch nie ohne diese Umleitung versucht. Bei meinen Watchguards, die kein L2TP untersützen, muss ich es ebenso auf dem Zugangsrouter eintragen ...

Ich glaube, ich schmeiss mal meinen Sniffer an :)

[grizzly999 11]

Wird denn jetzt die UDP 4500 Umleitung bei einem Zugriff mit L2TP/IPSec benötigt oder nicht ?

Sobald eines der Tunnelenpunktgeräte sich hinter einem NAT-Device befindet, egal welches, oder gar beide, bruacht man zwingend NAT-T für L2TP/IPSec.

 

Eine genauere Erklärung dafür findest du auf unserer Firmenhomepage (kein Link hier ;) , siehe mein Profil), dort in der Sektion HowTo/Securtiy/VPN mit.../Troubleshooting/Abschnitt H.

Falls du es je liest, für Korrekturen oder VVs bin ich dankbar :)

 

 

grizzly999

[hubivo 10]

Da das Ganze von Extern über NAT geht, der Client ist entsprechend gepatcht? Für XPSP1 und 2000 einen extra Patch einspielen:

http://support.microsoft.com/kb/818043/en-us

 

Das war`s noch, hatte noch gefehlt. Jetzt geht`s.

 

Also erstmal: Ein ganz dickes Dankeschön an euch !!! Ich rammel da seit Tagen...... also an der Konfiguration herum *g*.

 

Desweiteren möchte ich die Authentifikation über Zertifikate machen und was sehe ich da bei grizzly auf der HP ??? Eine komplette Anleitung !! Warum hast du das nicht schon früher gepostet *lol*.

 

Also nochmal vielen Dank an Euch !

[IThome 10]

@Grizzy

Hast recht, der Sniffer belegt es, die ersten 4 Pakte der Phase 1 werden noch über UDP 500 ausgetauscht, es wurde festgestellt, dass ein NAT-Gerät dazwischen liegt, ab dem 5. Paket wird über UDP 4500 kommuniziert ...

@hubivo

Was hast Du jetzt noch alles verändern müssen ?

[hubivo 10]

Was hast Du jetzt noch alles verändern müssen ?

 

Es hatte noch die Weiterleitung auf die Server-IP von den Ports UDP 4500 und IP-Protokoll 50 gefehlt.

 

Also aktuell durchgeleitet an der Firewall ist für L2TP und IPsec jetzt:

 

UDP Port 500 für Internet Key Exchange (IKE)

UDP Port 4500 für IPsec NAT-T

IP-Protokoll 50 Encapsulating Security Payload (ESP)

 

Damit funktioniert der Verbindungsaufbau über L2TP.

 

 

*g* Allerdings häng ich schonwieder.... bei den Zertifikaten. Hab die Installation genauso durchgeführt, wie auf grizzly999`s Webpage beschrieben. Dennoch bringt er mir jetzt die Fehlermeldung: "Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

 

Das Stammzertifikat liegt unter Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifizierungsstellen und unter Eigene Zertifikate (auch lokaler Computer) liegt auch das von der Stammzertifizierungsstelle ausgestellte Eigene Zertifikat. Aber scheinbar will er`s nicht ?!

 

[:edit:]

Ich sehe gerade, dass wenn ich auf die Eigenen Zertifikate gehen und mir die Details des eigenen Zertifikates anschaue, dass da nicht steht: "IP-Sicherheits-IKE, dazwischenliegend" sondern "Microsoft Vertrauenslistensignatur... Verschlüsseltes Dateisystem... Sichere E-Mail und Clientauthentifizierung". Da hab ich irgendwas versaut, hab`s nur noch nicht gefunden.

 

[:edit2:]

Hab`s nochmal vom Zertifizierungsserver exportiert und neu eingebunden. Jetzt steht das mit dem "IP-Sicherheits-IKE, dazwischenliegend" drinn. Die Fehlermeldung 798 kommt aber immernoch, hmm.....

[hubivo 10]

Wenn ich am RAS-Server bei den RAS-Richtlinien die Authentifizierungsmethode auf EAP ändere und dann Smartcard oder anders Zertifikat auswähle, kommt die gleiche Fehlermeldung: "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

 

Der Zertifikatsserver läuft auf dem selben Server. Wo bekomme ich ein EAP-fähiges Zertifikat nun her ?

[grizzly999 11]

Wieso gleich mit EAP? Dafür brauchst du ein Benutzerzertifikat, das beschreibt meine Anleitung aber nicht. Teste doch erst mal mit MSChap-V2, ob überhaupt, und dann kannst du immer noch Benutzerzertifkate und EAP nachlegen ;)

 

 

grizzly999

[hubivo 10]

Ja mit MSChap-V2 und einem Preshared Key geht es ja schon :D .