OliFre

Danke, hast Recht, UDP 4500 müsste reichen. Wunderbar, dann klappt alles ^^ . Ein neuer Heimarbeitsplatz ist geschaffen ;-) . Vielen Dank für alles, mfg OliFre

DANKE, DANKE, DANKE, DANKE!!! Es klappt ^^. Werde ESP aber erst am Sonntag deaktivieren, dann kann ich erstmal noch ein bisschen testen. Nachdem ZoneAlarm noch etwas gezickt hat, geht nun alles. Außer, ich möchte ein Netzlaufwerk einbinden - dann kommt Fehler 1219: mfg OliFre EDIT: In Wireshark sehe ich übrigens viele ESP-Pakete. EDIT: Netzlaufwerke per Mausklick gehen, nur in der Kommandozeile kommt der Fehler ^^ :D . Komisch...

Danke für deine Antwort und die detaillierte Beschreibung. Vermutlich braucht man ESP nur, wenn man ohne Router VPN nutzen will. Also dann auch ohne Tunnel zusammen mit AH. Wenn das am Wochenende klappt, werde ich einfach mal das mit dem EH rausnehmen. Falls ich dann nämlich per VPN reinkomme, sollte ich auch den Router konfigurieren können. Oh, und die Zwangstrennung - das war der Router selber, kann man aber nicht per Telnet umstellen (und sieht man auch nicht), geht nur per Webinterface. Jetzt wird er wahrscheinlich nur wenige Male am Tag trennen, das ist ok. Vorher hat er die Leitung ganz zu gemacht, wenn keiner hier saß, und um 0:45 wollte der Server wohl Updates holen. Daher kam dann zumindest überhaupt was an Paketen zurück. Aber eine statische IP bekommt man bei der Telekom ja auch wieder nur gegen Geld, und wir sind ja ein kleines Unternehmen ^^ . Daher sollte das mit DynDNS reichen. Vielen vielen Dank, bin auf heute abend gespannt. mfg OliFre

Danke für die Antwort. :-) Habe heute rausgefunden, dass der ZyXel zusätzlich zur Firewall-Config noch eine Forwarding-Config hat - und da waren die Ports nicht drin, nur der 500er. Da unterscheidet er aber auch nicht zwischen UDP und TCP, müsste aber trotzdem gehen, wahrscheinlich macht er dann beides. Bin dann mal auf heute abend gespannt, weil ansonsten habe ich schon alles aus deinem Beitrag versucht. Mein Router zu Hause ist ein Speedport W701V (intern AVM, mit neuer Firmware kann man sogar Filterregeln setzen - und das bei einem gebrandeten Router ^^) . Da muss ich aber nichts forwarden, oder? Weil der Client macht doch aktiv die Ports auf? Habe jetzt das Log im Router richtig eingestellt und die Ereignisanzeige vom Server. Das mit dem ESP hatte ich von hier: Windows Server How-To Guides: Teil 6 – Abschnitt H: L2TP, Firewalls und NAT - ServerHowTo.de und auch irgendwo bei Microsoft gelesen. Woanders stand dann wieder nichts davon. Wozu braucht man das denn überhaupt, wenn nicht für L2TP über NAT-T? Nur für "normale" L2TP-Verbindungen ohne NAT? Noch eine Frage: Die T-Com trennt ja immer, wenn kein Datenverkehr läuft und der Router verbindet dann immer neu (nur hinter dem DSLAM, Synchro bleibt - sowohl zu Hause als auch hier in der Firma). Dann kommt es vor, dass der irgendwie über die DynDNS-Adresse nicht erreichbar ist (ging gestern nur um 0:45, keine Ahnung, vorher nicht). Kann man irgendwas gegen diese sinnlose, Traffic verursachende Zwangstrennung tun? Vielen Dank schonmal, mfg OliFre

Hallo, direkt mein erster Beitrag mit einer großen Frage: Wir haben in der Firma einen Windows Server 2003 R2 (eine Netzwerkkarte), ich habe ein VPN im Routing und RAS eingerichtet. L2TP, mit IPSEC Pre-Shared-Key. Im lokalen Netz klappt alles wunderbar. Da der Server hinter einem Router hängt (und ich mit WinXP zu Hause auch), habe ich im Router der Firma die Ports: 500 UDP 4500 UDP und das Protokoll: ESP (50) an den Server "geforwarded". (Ja, es ist wirklich das Protokoll, nicht der Port ^^) . Hier zu Hause habe ich XP dann mit dem Registry-Key gepatched, der NAT-T ermöglicht (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\AssumeUDPEncapsulationContextOnSendRule = 2). Es kommen die bekannten Time-Out-Fehler. Also die Zeitüberschreitung bei der Sicherheitsaushandlung. Wenn ich hier zu Hause einen Sniffer laufen lasse, bekommt er nur AUSGEHENDE Pakete auf Port 500 mit. Ich habe heute gesehen, dass der Router auch noch das Protokoll AH weiterleiten kann - das sollte aber doch bei meiner Kombination nicht benötigt werden, oder? Muss ich den Registry-Patch auch beim Server anwenden? Microsoft schreibt nichts davon. Muss ich zu Hause am Router auch bestimmte Ports durchleiten? Bin langsam am Verzweifeln. Viele Grüße OliFre EDIT: Hier zu Hause in der Ereignisanzeige kommt "Peer antwortet nicht.". Der Router lässt auch keinen Ping durch, aber muss er das für ein VPN? Die Ports oben sind geforwarded! Beim nächsten Versuch kam in der Ereignisanzeige: "IKE-Sicherheitszuordnung wurde gelöscht, bevor Herstellung abgeschossen war.". Was hat das dann zu bedeuten?