Fehler 789 bei L2TP over IPSec

[alexstarke 10]

Hallo Gemeinde,

 

ich hab mal wieder ein Problem:

 

Ich habe vor eine Testumgebung zum Thema VPN aufzubauen. Hierzu habe ich auf einer VM-Ware einen Windows 2003 Server installiert. IIS, RRAS installiert. Domäne aufgesetzt (netdiag und dcdiag sind i.O.) und nun versuche ich eine VPN Verbindung aufzubauen. mit PPTP geht es ohne weiteres. L2TP bringt folgenden Fehler:

 

Fehler 789:

 

Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist.

[/Quote]

 

Preshared Key ist eingestellt. Im Endeffekt soll es eigentlich mit Zertifikaten laufen, aber bevor der Preshared Key nicht läuft, kann das ja auch nicht gehen. CA und Zertifikate sind aber schon nach folgendem Tutorial installiert: http://www.tippex.net/anleitung/

 

Die VPN verbindung steht im Moment auf Preshared Key (L2TP). Ich versuche die Verbindung vom Client aus herzustellen (auf dem auch der Server mit der VM-Ware läuft...

Windows Firewalls sind nicht aktiv.

 

Hat jemand eine idee, wo das Problem liegen könnte?

 

Danke,

 

Alex

[Hr_Rossi 10]

hi

 

nattest du irgendwo zwischen den netzen !?

 

lg

rossi

[alexstarke 10]

nein eigentlich nicht.

 

ist ja direkt auf die VMWare Session im "Bridged Mode" IP des Clients: 192.168.0.100, IP des Servers: 192.168.0.2

 

danke für die schnelle reaktion!

[Hr_Rossi 10]

hmm

 

 

also in der 1. aushandlung !

 

es gibt zwei varianten in phase 1 den "main mode" und den "aggresiv mode" !

stimmen die überein !?

 

stimmen die verschlüsselungseinstellungen überein !?

 

lg

rossi

 

was ist der client xp welches SP ?

[alexstarke 10]

ja. fehler in der ersten aushandlung. authentifizierung ist client und serverseitig auf ms-chap und ms-chap v2 eingestellt. wo finde ich die einstellungen zum agressive und main mode??

 

client ist xp sp2 aktuellstes patchlevel.

 

einstellungen zum main und agressive mode habe ich weder am server noch am client (wissentlich) gemacht.

 

danke, alex

[Hr_Rossi 10]

hi

 

aktivier mal das oakley loging !

dazu musst du einen reg-eintrag erstellen

 

Erstellen es, wenn der Unterschlüssel nicht vorhanden ist.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley

 

Fügen den Eintrag des REG_DWORD-Typenwerts, der "EnableLogging" benannt wird, hinzu Gib den Eintrag einen Wert 1 an. Wenn dieser Eintrag wirksam wird, wird eine Datei Oakley.log in dem %systemroot%\Debug-Ordner erstellt.

 

Dann initiere die verbindung, und schau einmal das log an !

 

lg

rossi

[grizzly999 11]

Ähm, Windows kennt keinen Aggressive Mode, nur einen Quick mode und einen Main Mode.

Das Oakley Logging ist ein guter Ansatz aber schwer auszuwerten. Zusätzlich solltest du auf dem VPN-Server die fehlgeschlagenen Überwachungen anschalten und das Sicherheitsprotokoll, sowie die anderen Ereignisprotokolle anschauen. Da steht bestimmt was drin ....

 

 

 

grizzly999

[alexstarke 10]

Oakley log zeigt nur folgendes:

 

11-03: 19:12:21:859:760 Initialization OK

[/Quote]

 

Ereignislog's bleiben unauffällig. Logging im RRAS ist aktiviert.

 

IN511.log (Logfile des RRAS Debug) zeigt nur folgendes:

 

192.168.0.2,,11/03/2005,19:13:27,RAS,SECLAB-VPN,4,192.168.0.2,44,3,40,7,4108,192.168.0.2,4155,2,4136,4,4142,0

[/Quote]

 

irgendwie als würde gar nichts ankommen?!?

[grizzly999 11]

Das sehe ich genauso. Wenn im Oakley Log nichts drin steht, dann kommt da auch nichts an. ein Netzwerkmonitor Trace würde das auch zeigen.

D.h. su soltest weiter vorne schauen (Router, FW, oder was auch immer) dass da was durchkommt, bzw. beim Client, dass der die richtige Ziel-IP.....usw.

 

grizzly999

[alexstarke 10]

es ist kein router und keine fw dazwischen! das isses ja!

 

es ist nur von der lokalen maschiene auf die vmware, die auf der kiste läuft. ohne nat o.ä. im bridged mode..

 

die selbe verbindung auf pptp eingestellt --> geht..

verbindungstyp auf L2TP und preshared key eingeben--> geht nicht mehr!

 

was kann das sein zum teufel... Das gibts doch gar nicht.

 

(Windows Firewalls sind auch aus!)

[Hr_Rossi 10]

hi

 

poste mal ipconfig der physikalischen sprich host maschine, und ipconfig von der vmware maschine !

 

lg

[janmadera 10]

-gelöscht-

 

ups, falscher thread, sorry.

[janmadera 10]

Hallo Alex

 

Ich hätte eine Anleitung, war mal eine Projektarbeit von mir. Vielleich hilft Dir diese. Ich habe es mit W2K3 Server geschafft eine Verbindung mit Zertifikaten herzustellen. Evtl. findest Du darin anhaltspunkte.

 

Ich kann Dir ein PDF schicken, kontaktier mich unter

jan -atzeichen- madera -punkt- ch

 

Gruss,

 

Jan

[alexstarke 10]

Hostmaschine:

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : ast-nb1

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

 

Ethernetadapter VMware Network Adapter VMnet8:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet8

Physikalische Adresse . . . . . . : 00-50-56-C0-00-08

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.244.1

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

 

Ethernetadapter VMware Network Adapter VMnet1:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet1

Physikalische Adresse . . . . . . : 00-50-56-C0-00-01

DHCP aktiviert. . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.3

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server. . . . . . . . . . . . : 192.168.0.2

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast

Ethernet NIC

Physikalische Adresse . . . . . . : 00-E0-00-F3-07-2A

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.0.100

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DHCP-Server . . . . . . . . . . . : 192.168.0.1

DNS-Server. . . . . . . . . . . . : 217.237.150.33

217.237.151.161

Lease erhalten. . . . . . . . . . : Montag, 7. November 2005 18:51:34

Lease läuft ab. . . . . . . . . . : Mittwoch, 9. November 2005 20:51:34

 

[/Quote]

 

Da die VMWare im Bridged Mode läuft, werden die Adapter VMnet8 und VMnet1 nicht genutzt.

 

Nun die VMWare:

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : seclab-vpn

Primäres DNS-Suffix . . . . . . . : VPN.local

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : VPN.local

 

Ethernet-Adapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix: VPN.local

Beschreibung . . . . . . . . . . : Ethernet-Adapter der AMD-PCNET-Familie

Physikalische Adresse . . . . . . : 00-0C-29-21-BD-65

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.0.2

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.0.1

DNS-Server . . . . . . . . . . . : 192.168.0.2

[/Quote]

 

wie gesagt: ping, PPTP, Freigaben etc funktionieren...

Werde am Wochenende mal Ethereal anwerfen und mal sehen was genau passiert. Und bis wohin er kommt. Ist schon kurios.

 

Alex

[Hr_Rossi 10]

hi

 

windows 2003 mit sp1 ?

vielleicht leigt es auch an den vmware adaptern ?

welche vmware version ?

 

lg

 

 

 

 

 

 

http://support.microsoft.com/default.aspx?scid=kb;de;323441