VPN mit Windows Bordmitteln

[OL Bob 10]

Hallo Forengemeinde!

 

Dies hier ist mein erster Post, seid bitte nachsichtig mit mir.

 

Ich habe auch schon die Suche benutzt.

Leider fand ich keine passenden Lösungen zu meinem Problem...

 

Ich soll VPN einrichten.

Schön und gut.

Das hab ich auch!

 

PPTP funktioniert(e) ganz prima!

Dann willte ich die Verbindung über IPsec/L2TP einrichten, doch das gelang mir nicht.

Auch der Versuch es mit einer Zertifizierungsstelle zu realisieren scheiterte.

 

Jetzt wollte ich ganz einfach einen IPsec Schlüssel selber eingeben (Bei XP Client & 2K3 EE Server). Leider bekomme ich keine verbindung, da der Server nicht antwortet.

 

Eben wollte ich noch mal per PPTP rein und mir viel sofort auf, dass die Einwahl sehr viel mehr Zeit benötigt. "Benutzername und Kennwort Außerdem bekomme ich diese Fehlermeldungen:

Fehler 619: Ein unbekannter Fehler ist aufgetraten.

Fehler 723: Der Computer konnte sich mit dem Remotecomputer nicht über ein PPP-Steuerungsprotokoll einigen.

 

Folgende Voraussetzungen ind gegeben:

DC: 2K3 EE

VPN Server : 2K3 EE (mit virtuellen Maschinen "Huckepack")

Fritz!Box 7170 Edition F

Portfreigaben:

TCP: 1701 / 1723

UDP: 500 / 1701 / 1723 / 4500

GRE & ESP

Das sind die Ports, die ich mir aus diesem und anderen Foren zusammengesammelt habe...

 

Woran liegt es, dass das VPN plötzlich nicht mehr richtig läuft?

[weg5st0 10]

Hi und welcome onBoard,

 

geh doch am Besten Schritt für Schritt die Anleitung auf Windows Server How-To Guides: Home - ServerHowTo.de durch.

[XP-Fan 217]

Hallo OL Bob,

 

einer der Moderatoren hat unter Windows Server How-To Guides: Home - ServerHowTo.de ein hervoragendes Tutorial

geschrieben zum Thema L2TP / IPSEC. Schau es dir mal an.

 

Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de

 

Edit: Zweiter Sieger ... :)

[IThome 10]

Hallo und herzlich willkommen,

 

Fritzbox schon neu gestartet (läuft dann PPTP wieder) ? Hat die Fritzbox aktuelle Firmware? Hast Du für L2TP/IPSEC den entsprechenden Patch und Regkey auf dem Client gesetzt ?

The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2

L2TP/IPsec NAT-T update for Windows XP and Windows 2000

 

Gruss

 

Sven

 

edit: genau, am besten noch mal den RRAS deaktivieren und nach der oben genannten Anleitung konfigurieren (zum 3. Mal :D )

[OL Bob 10]

Ich bin BEEINDRUCKT!

 

So schnell so viele Antworten!

 

Also...

Zum "Server Howto":

Hab ich gemacht, Problem war, dass ich keinen private Key bekomme...

Ansonsten: SUPER ARBEIT!

 

Um den VPN Server, der gleichzeitig testserver ist und

einen Linux Fileserver

einen Win2k CTI-Server und

einen Win2k Demoserver "huckepack" mit seinem doch sehr schmalen P III 1,26GHz und den 2GB RAM zu tragen hat nicht zu überfordern, bin ich vom zusätzlichen CA wieder weg.

Der einfache IPsec Key reicht vollkommen aus.

 

(Privat würde ich das nicht so sehen aber was mir aufgetragen wird, mach ich so!

Als Praktikant, der nach drei monaten nicht übernommen wird, macht man es halt...)

 

Wird das Update zu L2PT/IPsec nicht installiert, wenn man MS-Update nutzt?

"Microsoft has released an update package to enhance the current functionality of Layer Two Tunneling Protocol (L2TP) and Internet Protocol security (IPsec) on computers that run Microsoft Windows 2000, Microsoft Windows XP without service packs installed, and Windows XP with Service Pack 1 (SP1).This functionality is included in Windows XP Service Pack 2 (SP2). Computers that run Windows XP with a service pack do not have to install this update package."

 

Es sollte also installiert sein!

 

Ich testete die Verbindung jetzt schon über zwei Rechner.

1*XP SP2 alle Updates Arbeitzplatzrechner

1*XP SP2 alle Updates VMware Rechner auf Arbeitsplatzrechner

 

Bei beiden treten bei PPTP diese oben genannten fehler auf!

[IThome 10]

Das Update ist in SP2 enthalten, hast Du auch den Regkey gesetzt, der festgelegt, wo sich ein NAT-Gerät befindet (das gilt nur für L2TP-IPSec) ? Ist der RRAS mal deaktiviert und neu konfiguriert worden ? Fritzbox neu gestartet worden ?

[OL Bob 10]

Im Moment versuche ich gerade raus zu finden wieso ich keine PPTP Verbindung mehr hinbekomme. Die MUSS heute um 17:30 wieder laufen :-(

 

Ren Reg-Key habe ich nicht verändert, da ich ja gerade versuche PPTP wieder zum Laufen zu bringen.

 

Die Fritz Box habe ich leider auch schon mal neu gestartet...

 

RAS hab ich auch neu gestartet.

Habe es gerade eben sogar deaktiviert und neu aufgezogen...

 

Das Resultat ist weiterhin Fehler 732...

[OL Bob 10]

So!

PPTP geht wieder!

Ein Glück!

 

Ich habe die RAS-Richtlinien entschärft und den Client fest auf PPTP eingestellt.

 

Jetzt geht es weiter mit L2TP / IPsec!

 

Ran an die Registry!

 

Was sit eigentlich wenn Server und Client mit NAT verschleiert werden?

 

Hab ich mir so gedacht!

Ich habe gerade durchgelesen was ich in der Registry ändern muss...

Dann wollte ich noch mal testen, ob VPN PPTP noch läuft und siehe da!

619: Undbekannter Fehler

 

Es ist zum Haare raufen!

[IThome 10]

Auf 2 stellen ...

edit: welche RAS-Richtlinieneinstellungen hast Du eingestellt, dass Fehler 732 kommt ?

[OL Bob 10]

RAS-Richtlinien sind echt minimal:

NAS-Port Type stimmt überein mit Virtual VPN and

Windowsgroups = DomainName\VPNuser

Authentication Type = MS-Charp v2

Tunnel Type = PPTP und L2TP

 

Bei den Usern hab ich nicht "Zugriff gestatten" sondern "Zugriff über RAS-Richtlinien steuern eingestellt".

 

Irgendwass stimmt mit dem VPN Server nicht!

Er wird am DC nicht mehr gefunden, kann NW-Laufwerke nicht mehr verbinden...

Sehr merkwürdig!

 

Jetzt muss ich forschen woran es liegt!

 

Ist nicht mein Tag!!!

 

edit: Jetzt steht die Verbindung wieder. Musste Routing und RAS auf dem VPN-Server Deaktivieren und dann hab ich es über die Routing und RAS Console des DC neu eingerichtet. Bekomme jetzt auch wieder Fehler 732 ...

[IThome 10]

Eventuell an Filtern, die der RRAS eingerichtet hat ?!

[OL Bob 10]

Wo finde ich die?

[IThome 10]

Abhängig von den Einstellungen des RRAS in der RRAS-Konsole unter IP-Routing - Allgemein - Eigenschaften der Schnittstelle oder unter IP-Routing - NAT/Basisfirewall - Eigenschaften der Schnittstelle

[OL Bob 10]

Echt spitze!

 

Also unter den Eigenschaften der Schnittstelle sind keine Filter definiert.

Weder bei engehend noch bei ausgehend.

 

Den Punkt IP-Routing - NAT/Basisfirewall - Eigenschaften der Schnittstelle gibt es bei meiner Konfiguratuion nicht...

 

Leider musste ich aber feststellen, dass unser LAN/WAN im Moment sehr "Hinkt"...

 

Ich überlege jetzt, ob das Problem eher client- oder Serverseitig zu suchen ist.

Der Client meldet sich ungehindert, doch bei der Benutzer und Kennwoertverifikation kommt der Fehler 732.

[IThome 10]

Könnte es an einem Namensauflösungsproblem auf dem RRAS liegen. Ist der eigentlich Domänenmember oder ist er auch gleichzeitig der Domänencontroller. Wenn auf ihm DNS oder WINS installiert ist, musst Du zusätzlich noch was konfigurieren.

Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

Poste vielleicht auch mal die Ausgabe von IPCONFIG /ALL des Domänencontrollers und RAS-Servers. Wie machst Du die IP-Adressvergabe an die Clients, via DHCP oder IP-Range ?