NAT-T und NAT für L2TP

[Mr.John_Doe 10]

VPN ist ja hier DAS Thema.

VPN über PPTP funktioniert problemlos, nun möchte ich aber L2TP verwenden. Leider haben wir einen ROuter zwischen dem Server und dem Intenret.

Jetzt hab ich schon überall gesucht und gelesen, ich müsse NAT-T verwenden. Leider finde ich nirgends angaben, welche Ports ich forwarden muss ode was ich noch beachten muss. Der Client ist ein XP SP2 und der Server ein Server 2003.

Das muss doch irgendwie zu schaffen sein und mir läuft die Zeit davon....

[00sieben 10]

Portforwarding vom Router auf den VPN-Server von Port 1723 tcp + udp

[Mr.John_Doe 10]

Danke für die schnelle Antwort...

Leider hat das nicht geklappt.

[grizzly999 11]

Der Router macht NAT , oder?!

Er muss die Ports 1701 und 500 UDP weiterleiten, ausserdem das Protokoll 50 (ESP) <==NICHT PORT 50 !!

 

Auf Clientseite sollte man noch den KB-Artikel lesen. Link hatte ich mal hier gepostet: http://www.mcseboard.de/showthread.php?t=48223

 

 

 

grizzly999

[Mr.John_Doe 10]

Ich kann bei dem Router (ein D-Link 624) keine Protokolle weiterleiten. Nur Ports. Ich kenne keinen Router, der das kann. Kann man dass irgendwie umgehen?

[Mr.John_Doe 10]

Danke Grizzly.

Ich hab die haue an mich geforwarded und den KB-Artikel gelesen. Jetzt klappt das.

Nur noch eine Frage: Wie gehe ich da bei den anderen Betriebssystemen vor (2000,98,ME,NT)?

 

Danke nochmal

[zuschauer 10]

Win 9x/ME/NT unterstützen von Haus aus nur PPTP, da ist mit Board-Mitteln IPSec nichts drin (nur mit Lösungen von Drittanbietern).

Für w2k-Clients kenn ich persönlich auch keine Lösung von MS zu NAT-T. :(

[grizzly999 11]

Kleine Korrektur: ;)

Es gibt einen L2TP Client von Microsoft (zum Download) für NT 4.0, 98, ME:

http://support.microsoft.com/kb/325032/EN-US/

 

Der erweitert aber nur die Fähigkeit auf L2TP mit IPsec, nicht die generelle IPSec-Fähigkeit im Lan

 

grizzly999

[rablu 10]

VPN ueber L2TP:

 

IKE: UDP Port 500

L2TP: UDP Port 1701

NAT-T: UDP Port 4500

 

Richtung: bei allen dreien zum VPN-Server

 

Falls NAT-T nicht funktioniert, kannst Du evtl. ueber die Angabe der IPsec-Protokolle Erfolg haben.

Anstelle von NAT-T (Port 4500) diese beiden einstellen:

 

IPsec ESP: Protokoll Nr. 50 (beide Richtungen)

IPsec AH: Protokoll Nr. 51 (beide Richtungen)

 

Allerdings mit der Einschraenkung, dass IPsec ohne NAT-T ueber NAT nicht betrieben werden kann.

 

 

Zur Vollstaendigkeit halber gibt es auch die aeltere VPN-Variante ueber PPTP:

PPTP: TCP Port 1723 (zum VPN-Server)

GRE: Protokoll Nr. 47 (beide Richtungen)

 

PPTP funktioniert auch ueber NAT. Allerdings ist L2TP das sichere VPN-Protokoll von beiden.;)

[zuschauer 10]

Kleine Korrektur: ;)

Es gibt einen L2TP Client von Microsoft (zum Download) für NT 4.0, 98, ME:

http://support.microsoft.com/kb/325032/EN-US/

 

Der erweitert aber nur die Fähigkeit auf L2TP mit IPsec, nicht die generelle IPSec-Fähigkeit im Lan

 

grizzly999

Den hab ich voll verpaßt ! :shock:

[Velius 10]

.....

Für w2k-Clients kenn ich persönlich auch keine Lösung von MS zu NAT-T. :(

 

 

Nicht? Im Artikel hier ist aber W2K auch erwähnt...

L2TP/IPSec-NAT-T-Update für Windows XP und Windows 2000

 

 

:suspect: :) :D

[Mr.John_Doe 10]

OK, unter XP läuft das jetzt.

 

Jetzt ist W2K dran...

Leider habe ich da nirgends die Möglichkeit, die Passphrase für IPSec einzugeben, da wir vorerst nicht mit Zertifikaten arbeiten wollen/können.

 

Kann jemand vielleicht einen guten Client für W2K und vielleicht für ME/98 empfehlen?

 

Danke im voraus