Firewall und VPN (L2TP+IPSec+Zertifikat)

[Scherbe 10]

Hi,

 

ich habe meinn VPN-Server eingerichtet und kann auch von innen eine VPN-Verbindung aufbauen.

 

Nun besteht leider das Problem, dass noch keine Verbindungen von aussen auf meinen VPN-Server funktioniert haben und ich nehme an, dass es ein Firewall-Problem ist.

 

Also ich habe eine OfficeConnect Firewall von 3Com (3C16770) und auch die Ports, die ich hier im Forum gefunden habe freigeschaltet. (Bild der Rules -> LINK zum Bild

 

Mein Server, der VPN-Dienste macht ist der 192.168.174.34 ... der 192.168.174.35 ist mein Webserver.

 

Key Exchange (IKE) ist der Port 500 UDP

L2TP-IPSec-Port1701UDP ist der Port 1701 UDP

L2TP-IPSec-Port4500UDP ist der Port 4500 UDP

 

da gibt es noch eine IPSec (ESP) aber wozu das Ding gehört weiß ich leider nicht und auch den Port kann ich nicht rausfinden. Bei der 3Com Firewall wird der Port so verschlüsselt -> [Port,Portart] wobei die Portart 6 für TCP, 17 für UDP und 1 für ICMP ist bei dem IPSec (ESP) steht dahinter allerdings [0,50]... k.a. was das ist

 

Wäre echt hilfreich, wenn jemand mir sagen könnte ob und wo ich nen Fehler in meiner Firewallkonfiguration habe. THX

 

MfG Scherbe

[weg5st0 10]

Hi,

 

IPSec (ESP) steht dahinter allerdings [0,50]... k.a. was das ist

 

Hi Scherbe,

 

wo der Fehler is kann ich dir au net sagen.

 

Aber: ESP = Encapsulation Security Payload

Das Protokoll nutzt IP Port 50 (Weder UDP noch TCP noch ICMP sondern IP).

[grizzly999 11]

Hi Scherbe,

 

Das Protokoll nutzt IP Port 50 (Weder UDP noch TCP noch ICMP sondern IP).

Nein. ESP benutzt keinen Port sondern hat die Protokollkennung 50, das ist etwas anderes.

 

@Scherbe: mit was für einem Client versuchst du die Verbindung herzustellen? Man beachte, dass man für 2000/XPSP1 einen Patch für L2TP benötigt, für XPSP2 einen zusätzlcihen Registry Key.

 

 

grizzly999

[Velius 10]

Also eigentlich ist es mehr IP Protokoll... :p :D

IP arbeitet nicht mit Ports. ;)

 

 

P.S.: Huups, sorry Grizzly, war aber beinahe zeitgleich :D

[Scherbe 10]

Hmm... von Registry Keys und Patches hab ich noch nix bemerkt/gehört bisher...

 

Also ich habe 2 Clients mit jeweils Windows XP SP2 drauf und habe jedem von meinem Zertifikatsserver ein Zertifikat ausstellen lassen.

 

Der Client der innerhalb des Netzwerkes ist kann ohne Probleme die VPN-Verbindung zum Server herstellen aber der, der an einem anderen Standort ist (habe bei dem Kollegen die selben Einstellungen eintragen lassen) bekommt ne Art Timeout-Meldung. Irgendwo wird die Verbindung bzw. der Verbindungsaufbau geblockt oder so...

 

MfG Scherbe

[weg5st0 10]

Hi Experts,

 

Danke für die Korrektur.

Ich hab mich da unklar ausgedrückt. Aber ich hab mich beim tippen schon dabei erwischt über die berühmten 7 Schichten zu philosophieren und was IP50 mit TCP nicht zu tun hat und... ach zu kompliziert - ich schreib einfach Ip Prot 50. und schon - Naja....

[grizzly999 11]

Hmm... von Registry Keys und Patches hab ich noch nix bemerkt/gehört bisher...

Nicht, na dann wird das auch nix :D

http://support.microsoft.com/default.aspx?scid=kb;de;885407

 

Allerdings muss der VPN-Server auch NAT-T als VPN-Server unterstützen, das tut bei Microsoft erst der 2003 Server, für andere BS/OS kann ich nicht sprechen

 

 

grizzly999

[Scherbe 10]

Hmm... ok, dann werd ich das heute Abend mal von zuhause aus testen... Danke... ich berichte dann mal morgen ;)

 

MfG Scherbe

[Scherbe 10]

Also mein Test von Zuhause hat eben ergeben, dass VPN auch ohne den Registry-Eintrag funktioniert. Also liegt das Problem beim Gegenüber...

 

Achja, da fällt mir ein, dass ich atm gar kein NAT auf der Firewall aktiviert habe. Meine IP hatte ich in dem Bild natürlich verfremdet aber meine IP vom Server ist auch die öffentliche IP ins Internet. Hätte ich evtl. dazuschreiben sollen, sry ;)

Bin eben leider erst dahinter gekommen...

 

MfG Scherbe