somebody 10 Geschrieben 18. November 2003 Melden Teilen Geschrieben 18. November 2003 Hallo allerseits, ich habe ein Problem bei der Anbindung eines Win2K-Servers, welcher als VPN-Gateway dienen soll. Der Win-Server (1 NIC) hängt direkt am LAN-Segment eines D-Link DI 604 SOHO Breitbandrouters, welcher WAN-seitig eine externe statische IP besitzt. Nun soll eine Road-Warrior VPN-Lösung über L2TP/IPSec mit dem Win-Server als Gateway realisiert werden. Am Server läuft dazu RRAS und eine CA, Certs sind verteilt, RRAS mit RAS & Routing aktiviert, Richtlinie ist auf L2TP festgelegt. L2TP Filter hab ich (noch) keine festgelegt, um den Server (noch) nicht ganz dicht zu machen. Clientseitig soll Win2K Prof über einen beliebigen Internet-Anschluss verwendet werden. Wenn ich den Client ins selbe LAN-Segment des Servers hänge, funktioniert auch alles super. Nur wenn ich mich per Dialup extern versuche einzuwählen, bekomme ich keine Verbindung zusammen :( Der D-Link kann IPSec Pass through und der IKE Port UPD 500 ist auch auf die private IP des Win-Servers geforwarded. Der VPN-Client meldet den Fehler 791: L2TP fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde. Eine Analyse mit Ipsecmon und Ethereal ergibt, dass zwar der IKE Main-Mode klappt, aber der ansch. auch notwendige Quickmode nicht zu stande kommt. Warum auch immer?? Auch ein Portforward von UDP 1701 auf den Win-Server hat nichts geändert. Auf dem Win2K Client ist übrigens auch das neue NAT-T Hotfix installiert, schon vor meinen ersten Versuchen .. kann das hier schlecht sein? Weil das IPSec Pass Through übernimmt hier ja sowieso schon der D-Link .. und Win2K Server arbeitet ja noch nicht mit NAT-T oder? Zum Schluss hab ich noch P"PT probiert. Das klappt auch von extern sofort, doch das will ich und $Kunde nicht. Mir scheint, das Problem liegt irgendwie im Bereich IPSec (Quick Mode?), L2TP und dem Router. Nur warum schlägt die IPSec Aushandlung im Quick Mode fehl, wenn sie im Main Mode ja klappt usw.?? Ich würde mich sehr feuen, wenn wer was was weiss. Danke Robert Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 18. November 2003 Melden Teilen Geschrieben 18. November 2003 Ich habe noch nicht mit NAT-T gearbeitet, aber IMHO muss für NAT-T auch der Port 4500 UDP geschaltet sein: http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B818043 Allerdings würde ich es zunächst ohne probieren. grizzly999 Zitieren Link zu diesem Kommentar
somebody 10 Geschrieben 20. November 2003 Autor Melden Teilen Geschrieben 20. November 2003 das nat-t hotfix hab ich wieder deinstalliert am client. weil ja win2k server das sowieso nicht kann .. aber ohne erfolg, wie ich auch nicht erwartet hätte :( nochwas wäre zu erwähnen: wenn ich eine reine native ipsec verbindung rein mit den Ip-Sicherheitsrichtlinien .. also ohne RRAS und Win-VPN-Client versuche .. und dann vom Client auf den Server pinge, dann bekomm ich auch über extern eine gültige SA zusammen. (Laut Ipsecmon und Ethereal) .. Komisch oder? Liegt es am L2TP? das ist doch aber sowieso in IPSec gekapselt .. ausserdem hab ich ja UDP 1701 auch auf den Server geforwarded. Hat so ein eigentlich sehr einfaches Szenario noch nie versucht? Ev mit anderem Router? lg Robert Zitieren Link zu diesem Kommentar
Koodie 10 Geschrieben 29. Juni 2004 Melden Teilen Geschrieben 29. Juni 2004 Bekomme auch immer den 791 er Fehler beim L2TP einwählen über den Router, mache ich das ganze aber aus der DMZ gehts einwandfrei, mittlerweile jemand eine Lösung ? Habe auch Port 500 Gre ESP Tcp 4500 Udp 4600 1223 1701 bla alles durchgleietet von drinnen nach draussen ... nix ! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. Juni 2004 Melden Teilen Geschrieben 29. Juni 2004 Original geschrieben von Koodie Bekomme auch immer den 791 er Fehler beim L2TP einwählen über den Router, mache ich das ganze aber aus der DMZ gehts einwandfrei, mittlerweile jemand eine Lösung ? Habe auch Port 500 Gre ESP Tcp 4500 Udp 4600 1223 1701 bla alles durchgleietet von drinnen nach draussen ... nix ! Die Ports sehen teilweise sehr seltsam aus (4600, 1223 :suspect: ), ausserdem ist so ziemlich ALLES von deiner VPN-Umgebung hier unklar, und ausserdem sind Overtakes, weil verwirrend und nicht hilreich, hier nicht gerne gesehen: http://www.mcseboard.de/rules.php?s=#nr7 Nochmaaal....... :rolleyes: grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.