Jump to content

Problem: VPN mit L2TP und Preshared Key


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

bin leider mit der Suche hier im Board nicht viel weiter gekommen.

Habe eine Frage zu VPN:

Einwahl mit PPTP klappt einwandfrei. nun wollte ich das ganze auf L2TP umstellen, allerdings (erst einmal) nicht mit Zertifikaten, sondern mit Preshared Key.

Habe also auf dem "Rounting und Ras" den Haken bei "Benutzerdefinierte IPSec-Richtlinie..." gesetzt und den Key eingetragen.

Auf der Client-Seite (nicht Mitglied der AD-Domain!) habe ich in der VPN-Verbindung den typ von "Automatisch" auf "L2TP" gesetzt sowie den Preshared Key ebenfalls eingetragen.

Sonst habe ich keine Einstellung vorgenommen.

Nun klappt es nicht mit der Einwahl. Kann mir jemand auf die Sprünge helfen und sagen, was ich nun noch einstellen muss?

Würde mich über eine Antwort sehr freuen.

Danke und Gruß

Markus

Link zu diesem Kommentar

Hallo und willkommen im Board :)

 

Ist das im LAN? Ich denke nicht, dann hätte es auf Anhieb geklappt. Da ist demnach ein Router daziwschen, der NAT macht, entweder auf Seiten des Servers oder des Clients?!

 

In dem Fall brauchst du NAT-T, was der 2003 Server von Haus aus unterstützt, XPSP2 auch, aber da muss man noch einen Registry Key setzen:

http://support.microsoft.com/default.aspx?scid=kb;en-us;885407

 

Für XPSP1 muss man einen Patch installieren:

http://support.microsoft.com/default.aspx?scid=kb;en-us;818043

 

Leitet dein Router auch ESP-Pakete weiter (Protokoll 50)?

 

P.S.: Bitte nubedingt angewöhnen, bei Problemen immer alles mit zu schildern, Umgebung, BS, Phänomene, Logmeldungen, etc ;)

 

 

grizzly999

Link zu diesem Kommentar

Hallo,

 

danke erst einmal für die Antwort!

 

Den Registry-Wert hatte ich noch nicht gesetzt, habe es jetzt nachgeholt. Und - ja, es ist ein Router auf Seite des Servers dazwischen. ESP hab ich auf ihm schon freigegeben.

 

Sehe ich das richtig, dass ich auf Server und Client dann eine IPSec-Richtlinie aktivieren muss? Habe auf dem Server die "Server (Sicherheit anfordern)" und auf dem Client die "Client (nur Antwort)" Regel ausgewählt.

 

Nun bekomme ich beim Versuch, mich einzuloggen die Meldung

"Fehler 788: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsstufe keine kompatiblen Parameter mit dem Remotecomputer aushandeln konnte."

 

Was nun? jemand eine Idee?

 

Dachte vom bloßen Lesen in den Boards, dass es nicht allzu schwer sein kann, L2TP zu nutzen, aber irgendein entscheidendes Puzzleteil scheint mir noch zu fehlen.

 

Danke und Gruß

Markus

 

P.S. Noch 'ne kleine Frage: benötige ich auf dem Router auch die Weiterleitung der AH-Pakete? Habs zwar zugelassen, aber frage mich ob es nötig ist, da Du oben nur ESP erwähnt hast.

Link zu diesem Kommentar

hi !

 

ok mal folgendes welches server hast du 2003 ?

wenn du mit 2003 arbeitest brauchst du keine ipsec-richtlinie !

eine ipsec richtlinie brauchst du nur wenn du entweder host to host machen willst oder 2000 verwendest mit pre-shared key !

 

Ich würde die Optionen Sicherheit usw.. auf default lassen !

 

Zu initieren der Verbindung vom client aus einfach den eingebauten VPN-Client nehmen !

 

 

lg

rossi

 

http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx

Link zu diesem Kommentar

Leider habe ich (meiner Meinung nach) alles auf Standardwerten. Halt bis auf die 2 Preshared Keys auf Server 2003 und XP Seite.

 

So, die Richtlinie habe ich jetzt rausgenommen. Jetzt kommt die Fehlermeldung:

 

"Fehler 791: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde."

 

?? Kennst Du vielleicht 'nen Link, wo alle Schritte mal aufgelistet sind? Oder weisst Du, was das Problem sein könnte?

Link zu diesem Kommentar

Wenn Du einen Router auf der Server Seite hast, dann muss der DNAT machen. Bei einer IPSEC Verbindung wo der header der Packete nicht verschlüsselt ist reicht es , so wie grizly999 schon geschrieben, das ESP Protokoll auf dem Router zu aktivieren. Ansonsten auch noch das AH Protokoll (51). Zudem braucht Deine Ipsec Verbindung auch noch den UDP500 port. Ist der denn auch weitergegeben worden ??

 

mirki

Link zu diesem Kommentar
Nein, du benötigst am Router nur die Weiterleitung von ESP, UDP-Port 500 und UDP-Port 45000, sonst nichts (für L2TP/IPSec)

UDP 45000 kenne ich nur bei IDS und dem Spiel Splinter Cell.

 

@ grizzly999

Wofür soll denn der hier gut sein. ESP und UDP 500 reichen nach Ipsec spekifikationen doch aus, wenn NAT-T dazu kommt wird sowieso ein weiterer Port ausgehandelt, ist das der UDP45000 nach Microsoft spec. ?

Link zu diesem Kommentar

Ihr habt ja Recht. Konzentriere mich momentan darauf, erst einmal lokal einen Zugriff hinzubekommen. Jedoch (bisher) ohne Erfolg.

Situation: mein Client (XP mit SP2) ist NICHT Mitglied der Domäne, daher halt auch Zugriff per Preshared Key gewünscht.

Ich weiss echt nicht, was ich vergessen habe. Gerade DAS sollte doch ohne Probleme laufen oder?

Also zusammenfassend habe ich folgendes getan, um von PPTP auf L2TP umzuswitchen:

1. Auf XP Client den Registry-Wert "AssumeUDPEncapsulationContextOnSendRule" auf 1 gesetzt

2. In den Eigenschaften des RRAS Servers 2003 die Option für den Preshared Key aktiviert und den Key eingetragen

3. In der Standard-RAS-Richtlinie auf dem IAS lediglich den Zugriff gewährt (steht ja standardmäßig auf verweigert), allerdings das ja schon für PPTP

4. In der VPN-Verbindung des Clients lediglich unter "IPSec-Einstellungen" den Preshared Key eingetragen, alles andere auf Standard gelassen (muß ich noch etwas spezielles einstellen?)

Ich sag nur Hiiiilfeee :)

Hoffe, einer hat noch den entscheidenden Tip parat. Wenn es einmal lokal läuft, denke ich dass es mit dem Router auch funktioniert (habe auf ihm sowie im RRAS selbst die Ports 500,1701,1723 und 4500 freigegeben, auf dem Router noch das GRE-Protokoll).

Danke schon mal....

Markus

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...