OliFre 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Hallo, direkt mein erster Beitrag mit einer großen Frage: Wir haben in der Firma einen Windows Server 2003 R2 (eine Netzwerkkarte), ich habe ein VPN im Routing und RAS eingerichtet. L2TP, mit IPSEC Pre-Shared-Key. Im lokalen Netz klappt alles wunderbar. Da der Server hinter einem Router hängt (und ich mit WinXP zu Hause auch), habe ich im Router der Firma die Ports: 500 UDP 4500 UDP und das Protokoll: ESP (50) an den Server "geforwarded". (Ja, es ist wirklich das Protokoll, nicht der Port ^^) . Hier zu Hause habe ich XP dann mit dem Registry-Key gepatched, der NAT-T ermöglicht (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\AssumeUDPEncapsulationContextOnSendRule = 2). Es kommen die bekannten Time-Out-Fehler. Also die Zeitüberschreitung bei der Sicherheitsaushandlung. Wenn ich hier zu Hause einen Sniffer laufen lasse, bekommt er nur AUSGEHENDE Pakete auf Port 500 mit. Ich habe heute gesehen, dass der Router auch noch das Protokoll AH weiterleiten kann - das sollte aber doch bei meiner Kombination nicht benötigt werden, oder? Muss ich den Registry-Patch auch beim Server anwenden? Microsoft schreibt nichts davon. Muss ich zu Hause am Router auch bestimmte Ports durchleiten? Bin langsam am Verzweifeln. Viele Grüße OliFre EDIT: Hier zu Hause in der Ereignisanzeige kommt "Peer antwortet nicht.". Der Router lässt auch keinen Ping durch, aber muss er das für ein VPN? Die Ports oben sind geforwarded! Beim nächsten Versuch kam in der Ereignisanzeige: "IKE-Sicherheitszuordnung wurde gelöscht, bevor Herstellung abgeschossen war.". Was hat das dann zu bedeuten? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Im Grunde musst Du nur UDP 500 und UDP 4500 auf der Serverseite forwarden, kein ESP oder AH (AH und NAT schliessen sich gegenseitig aus). Welcher Router befindet sich auf der Clientseite ? Klappt es, wenn Du den PC direkt an das Modem anschliesst ? Du hast Dir auf der Clientseite eine DFÜ-Verbindung erzeugt, in der Du den richtigen PSK eingetragen auf L2TP/IPSec fest eingestellt hast ? Auf dem Server brauchst Du nichts weiter einstellen. Zitieren Link zu diesem Kommentar
OliFre 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Danke für die Antwort. :-) Habe heute rausgefunden, dass der ZyXel zusätzlich zur Firewall-Config noch eine Forwarding-Config hat - und da waren die Ports nicht drin, nur der 500er. Da unterscheidet er aber auch nicht zwischen UDP und TCP, müsste aber trotzdem gehen, wahrscheinlich macht er dann beides. Bin dann mal auf heute abend gespannt, weil ansonsten habe ich schon alles aus deinem Beitrag versucht. Mein Router zu Hause ist ein Speedport W701V (intern AVM, mit neuer Firmware kann man sogar Filterregeln setzen - und das bei einem gebrandeten Router ^^) . Da muss ich aber nichts forwarden, oder? Weil der Client macht doch aktiv die Ports auf? Habe jetzt das Log im Router richtig eingestellt und die Ereignisanzeige vom Server. Das mit dem ESP hatte ich von hier: Windows Server How-To Guides: Teil 6 – Abschnitt H: L2TP, Firewalls und NAT - ServerHowTo.de und auch irgendwo bei Microsoft gelesen. Woanders stand dann wieder nichts davon. Wozu braucht man das denn überhaupt, wenn nicht für L2TP über NAT-T? Nur für "normale" L2TP-Verbindungen ohne NAT? Noch eine Frage: Die T-Com trennt ja immer, wenn kein Datenverkehr läuft und der Router verbindet dann immer neu (nur hinter dem DSLAM, Synchro bleibt - sowohl zu Hause als auch hier in der Firma). Dann kommt es vor, dass der irgendwie über die DynDNS-Adresse nicht erreichbar ist (ging gestern nur um 0:45, keine Ahnung, vorher nicht). Kann man irgendwas gegen diese sinnlose, Traffic verursachende Zwangstrennung tun? Vielen Dank schonmal, mfg OliFre Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Ich habe bisher noch bei keinem NAT-Router ESP forwarden müssen, ESP wird ja in UDP gekapselt. Ich weiss aber ehrlich gesagt nicht, warum man bei NAT-Verbindungen ESP forwarden muss. Ich habe so eine Konfiguration ähnlich wie bei Dir mal nachgebaut. Ich habe also einen 2003 Server, der VPN-Verbindungen terminiert. Dieser Server hat eine Schnittstelle. Zwischen ihm und dem XP-Client SP2 steht ein weiterer 2003 Server, auf dem RRAS installiert und konfiguriert ist. Dieser RRAS arbeit als NAT-Router mit der externen Schnittstelle zum XP-Client zeigend und mit der internen Schnittstelle zum VPN-Server zeigend. Unter Dienste und Ports werden die UDP-Ports 500 und 4500 zur Schnittstelle des VPN-Servers geleitet. Auf dem XP-Client ist AssumeUDPEncapsulationContextOnSendRule gesetzt und die Verbindung wird problemlos aufgebaut (ohne ESP umgeleitet zu haben). Auf Draytek Routern z.B. konfiguriere ich auch nur UDP 500 und UDP4500, die zur dahinter liegenden Watchguard weitergeleitet werden und das klappt auch. Also wäre meine Frage jetzt, warum man auch ESP bei Verbindungen über NAT-Router forwarden muss ?! Ich denke, dass die Verbindung problemlos über den Clientrouter funktioniert (habe ich bei einem Kunden auch schon mal gehabt). Das mit der Zwangstrennung wirst Du nicht ändern können. Das mit dem Dyndns schon, besorge Dir eine feste IP (dann ist der ganze Ärger vorbei) ... Zitieren Link zu diesem Kommentar
OliFre 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Danke für deine Antwort und die detaillierte Beschreibung. Vermutlich braucht man ESP nur, wenn man ohne Router VPN nutzen will. Also dann auch ohne Tunnel zusammen mit AH. Wenn das am Wochenende klappt, werde ich einfach mal das mit dem EH rausnehmen. Falls ich dann nämlich per VPN reinkomme, sollte ich auch den Router konfigurieren können. Oh, und die Zwangstrennung - das war der Router selber, kann man aber nicht per Telnet umstellen (und sieht man auch nicht), geht nur per Webinterface. Jetzt wird er wahrscheinlich nur wenige Male am Tag trennen, das ist ok. Vorher hat er die Leitung ganz zu gemacht, wenn keiner hier saß, und um 0:45 wollte der Server wohl Updates holen. Daher kam dann zumindest überhaupt was an Paketen zurück. Aber eine statische IP bekommt man bei der Telekom ja auch wieder nur gegen Geld, und wir sind ja ein kleines Unternehmen ^^ . Daher sollte das mit DynDNS reichen. Vielen vielen Dank, bin auf heute abend gespannt. mfg OliFre Zitieren Link zu diesem Kommentar
OliFre 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 DANKE, DANKE, DANKE, DANKE!!! Es klappt ^^. Werde ESP aber erst am Sonntag deaktivieren, dann kann ich erstmal noch ein bisschen testen. Nachdem ZoneAlarm noch etwas gezickt hat, geht nun alles. Außer, ich möchte ein Netzlaufwerk einbinden - dann kommt Fehler 1219: Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource von demselben Benutzer unter Verwendung mehrerer Benutzernamen sind nicht zulässig. Trennen Sie alle früheren Verbindungen zu dem Server bzw. der freigegebenen Ressource, und versuchen Sie es erneut. mfg OliFre EDIT: In Wireshark sehe ich übrigens viele ESP-Pakete. EDIT: Netzlaufwerke per Mausklick gehen, nur in der Kommandozeile kommt der Fehler ^^ :D . Komisch... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Dann hast Du schon bestehende Verbindungen unter einem anderen Benutzernamen erstellt ... Trenne mal mit NET USE * /D die bestehenden Verbindungen und versuche es erneut ... EDIT: In Wireshark sehe ich übrigens viele ESP-Pakete. Dann schau mal, was darüber ist (dort, wo das ganze Paket angezeigt wird) ... UDP 4500 ... Zitieren Link zu diesem Kommentar
OliFre 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Danke, hast Recht, UDP 4500 müsste reichen. Wunderbar, dann klappt alles ^^ . Ein neuer Heimarbeitsplatz ist geschaffen ;-) . Vielen Dank für alles, mfg OliFre Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.