SBS2003 L2TP geht von extern nicht

[yabbax 11]

Hallo,

 

ich bin gerade dabei mir L2TP Kenntnisse anzueignen. dabei habe ich ein Problem, welches ich seit Tagen nicht gelöst bekomme:

 

Situation:

SBS2003 (sbs2003.test.local) mit ISA 2004 virtualisiert mit VMWare Server. SBS hat 2 NW-Karten, extern (192.168.1.3) und intern (192.168.10.1). die externe ist an einem Netgear-Router WGR614 angeschlossen.

Dazu kommt noch ein WinXP SP2 Client, auch virtualisiert, IP 192.168.10.10.

 

Was habe ich bisher gemacht:

Auf dem Server die Zertifikatsdienste installiert, Computer und Serverzertis ausgestellt. Auf dem WinXP-Client Benutzer und Computerzertifikat installiert und intern eine VPN Verbindung mit L2TP versucht zu verbinden.

Das hat auch (nach länfgerem Probieren) geklappt.

 

Aber:

Nun wollte ich das ganze natürlich von einem externen Client aus versuchen.

 

Dazu habe ich wieder einen XP-Client genommen (echter PC), der über einen zweiten DSL Anschluss ins Internet geht.

Dann habe ich eine PPTP-Verbindung zu meinem SBS gemacht (das hat auch ohne Probs geklappt) und den PC in die Domäne aufgenommen um das Computerzertifikat zu erhalten.

Auch das hat geklappt. Dann noch ein Benutzerzerti und ein Serverzertifikat installiert und dann sollte die Verbindung klappen, dachte ich.

 

Tut aber nicht.

 

Jedesmal bleibt das Verbindungsfenster stehen bei "Verbindung wird hergestellt mit xy.dyndns.ws"

 

Jetzt zuerst meine Fragen zur Konfiguration:

Client: In den Eigenschaften der VPN-Verbindung unter Eigenschaften EAP->Verbindung mit diesem Server herstellen.

 

Was trage ich da ein? xy.dyndns.ws oder sbs2003.test.local oder lasse ich das leer, welche Haken müssen gesetzt werden?

 

Auf dem SBS2003 im ISA2004:

Zugriffsregel:

Name: VPN-Client-Zugriff;

Protokoll: gesamter ausgehender Datenverkehr;

Von: VPN-Clients;

Nach: ???;

Bedingung: VPN-Benutzer

 

Beim Nach: Wieder die Frage: sbs2003-test mit IP 192.168.1.3 oder 192.168.10.1 oder etwa xy.dyndns.ws mit IP 192.168.1.3 oder 192.168.10.1 ???

 

Und noch eine Frage: Wenn ich von dem externen XP-Client eine PPTP-Verbindung herstelle, warum wird in der Protokollierung des ISA nicht die Regel VPN-Client-Zugriff angewandt? Ich habe diese Regel auch mal deaktiviert und der PPTP-Zugriff hat dennoch geklappt!?

 

Danke das ihr euch mein Problem bis hierhin durchgelesen habt und danke euch für eure Antworten im voraus.

 

Gruß

Thomas

[yabbax 11]

Ich habe eben mal auf dem ISA die Protokollierung aktiviert und auf die IP-Adresse vom client gefilter.

 

Der Client erreicht den ISA, es erschint folgende Protokollierung:

Ziel-IP: 192.168.1.3

Ziel-Port: 500

Protokoll: IKE-Client

Aktion: Initiierte Verbindung

 

Danach kommt nichts mehr und der Client bricht mit dem Fehler 678 ab.

[yabbax 11]

So, ich habs (frage mich warum immer erst anchdem ich gepostet habe).

 

Schuld war der Registry-Patch.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec

--> AssumeUDPEncapsulationContextOnSendRule

 

Dieser stand beim XP-Client auf 1, muss aber die 2 sein. Nach dem ändern und einem Neustart hats geklappt.

 

Vielleicht hängt ja noch jemand an dieser Stelle...

[yabbax 11]

Eine Frage habe ich aber noch:

 

Wozu brauche in eine Zugriffsregel

Name: VPN-Client-Zugriff;

Protokoll: gesamter ausgehender Datenverkehr;

Von: VPN-Clients;

Nach: lokaler Host;

Bedingung: VPN-Benutzer

 

Ich habe diese eben mal deaktiviert und der Zugriff geht immer noch. Es wird in der Protolollierung angezeigt, das die Systemrichtlinie VPN-Clientdatenverkehr auf Isa-Server zulassen.

 

Das kapiere ich noch nicht ganz.

 

Jemand ne Erklärung parat?

 

Danke und Gruß

Thomas