VPN ohne Protokoll

[Croon1337 10]

Guten Tag,

 

ich habe hier schon einige Beiträge zu VPN gelesen, aber ich hätte da eine kleine Frage zu L2TP. Kann man EAP ausschalten, und so das Protokoll 50 nicht zu verwenden. Zwar ist somit keine Verschlüsselung da, so muss aber der Router nicht VPN Passthrough können, bzw. Protokolle weiterleiten können.

 

Ich habe einen WinXP SP2 und ein Win2003, die ja NAT T können müssen.

 

Im Lan gehen VPN Connects, jedoch nicht über Internet, das wohl an den Protokollen liegt. Leider können die Router keine VPN Passthrough, somit suche ich eine Möglichkeit, das zu umgehen.

 

Weiß wer Rat?

[IThome 10]

L2TP hat nichts mit ESP zu tun (Du meinst sicher L2TP/IPSec und ESP statt EAP). Du brauchst bei Einsatz von NAT-Geräten auch ESP eigentlich nicht extra durchleiten. Auf der Serverseite sollte UDP 500 und UDP 4500 als Weiterleitung zum Server reichen. Auf dem XP-Client MUSS bei Einsatz von L2TP/IPSec und NAT noch der Regkey "AssumeUDPEncapsulationContextOnSendRule" gesetzt werden, da sonst auf der Clientseite NAT Traversal nicht verfügbar ist ...

L2TP/IPsec NAT-T update for Windows XP and Windows 2000

L2TP alleine ist auch möglich, hat aber nichts mit IPSec zu tun und ist auch unverschlüsselt. Dann solltest Du es eher mit PPTP probieren ...

Schau auch mal hier ...

Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de

[Croon1337 10]

Bei mir sieht es so aus:

 

WinXP SP2 --> Router (NAT) --> Internet --> Router (NAT) --> Win2003

 

Auf beiden PCs habe ich jetzt, AssumeUDPEncapsulationContextOnSendRule eingetragen, doch es will noch nicht so ganz funktionieren.

 

Kann ich denn ohne VPN Passthrough überhaupt eine VPN erstellen?

 

Muss ich noch irgendwas beachten? (Wie gesagt, innerhalb des LANs kann ich ein VPN aufbauen)

 

Danke, für die schnellen Antworten

[IThome 10]

Auf dem Server nicht, nur auf dem Client. Was ist denn auf dem Router auf der Serverseite an den Server weitergeleitet ? Existiert auf dem Client so etwas wie VPN-Passthrough ? Welche Fehlermeldung kommt denn überhaupt ?

[Croon1337 10]

Fehlermeldung:

 

Fehler 792:

Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandlung das Zeitlimit überschritten hat.

 

Portweiterleitung (serverseitig):

500, 4500 UDP und 1701 UDP (auch wenn gesagt wird, es braucht nicht weitergeleitet werden)

 

Auf der Clientseite gibt es auch keine VPN Passthrough.

[IThome 10]

Was steht auf der Clientseite für ein Router ? Hast Du den Regkey vom Server wieder gelöscht ? Welchen Wert hast Du für den Key eingestellt ?

[Croon1337 10]

Ein Speedport W 500 ist auf der Clientseite, sowie auf der Serverseite.

 

Key ist auf der Serverseite gelöscht.

 

Key Value = 2

[IThome 10]

Hm, der 500 funktioniert, den hab ich auch schon mal vorgefunden. Was steht auf der Serverseite ?

[Croon1337 10]

genau das gleiche der W 500

 

mit aktuellster Firmware

 

Muss ich irgendwas auf Clientseite noch beachten bzw irgendwelche Einstellungen im RAS?

[IThome 10]

Wenn es intern funktioniert, sollten die Einstellungen korrekt sein. Machst Du es mit einem PSK ?

[Croon1337 10]

jap, pre shared key

 

und die stimmen auch überein, da ich ja sonst nicht intern mich einwählen könnte

[IThome 10]

Ich kann mir nur vorstellen, dass entweder auf der Clientseite Filter auf dem Router aktiv sind oder die Umleitung auf der Serverseite nicht richtig ist (immer davon ausgehend, dass die Router grundsätzlich geeignet sind). Weiterhin kannst Du es mit einem Firmwareupdate der Router probieren ...

[Croon1337 10]

So ich habe den RAS-Server nochmal deinstalliert, und neu aufgesetzt und das ganze funktioniert. Genau woran es lag, kann ich nicht ermitteln. Der Regkey war aber ein Muss. Danke nochmal für die Hilfe!!!