Problem: VPN mit L2TP und Preshared Key

[IThome 10]

Ähm, Du benutzt also RADIUS zum Authentifizieren ?

[MarkCoolio 10]

Ähm, Du benutzt also RADIUS zum Authentifizieren ?

 

Ja. Aber ich hab's auch mit RRAS only probiert. Selbes Ergebnis :(

Zumal es mit RADIUS und PPTP ja funktioniert.

[mirki 10]

habe auf ihm sowie im RRAS selbst die Ports 500,1701,1723 und 4500 freigegeben

 

Was hast Du denn da genau gemacht ??

[MarkCoolio 10]

Was hast Du denn da genau gemacht ??

 

Auf dem Router die Ports 500,1701,1723 und 4500 geNATted.

Die Ports UDP500,UDP1701,UDP4500 und TCP1723 sowie Protokoll 47 (GRE), ESP und AH per Firewall für Incoming Traffic erlaubt.

 

Im RRAS dann halt unter Eigenschaften des Servers unter "Dienste und Ports" bei der externen NAT-Schnittstelle die Ports 500,1701,1723 und 4500 wieder geNATted.

[grizzly999 11]

Wenn es hier in dem Bereich Probleme gibt, dann findet man überlicherweise auch was in den Logs.

Steht was im Ereignislog (Anwendung/System) des Clients?

Steht was im Ereignislog (Anwendung/System) des Servers?

 

Per Gruppenrichtlinine Überwachung für "Anmeldeereignisse Fehlgeschlagen" einschalten.

Was steht jetzt im Sicherheitslog?

 

Oakley Logging einschalten und IPSecDienste neu starten, hier beschrieben

http://support.microsoft.com/default.aspx?scid=kb;en-us;257225

 

Oakly Log Auswertung ist aber schwierig

 

 

grizzly999

[MarkCoolio 10]

Also ich hab gerade mal auf dem Server nachgeschaut. Im Anwendungsprotokoll stehen folgende 2 Einträge pro missglücktem Versuch:

 

Kennung 1030: "Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp."

 

Kennung 1058: "Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=test,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\test.local\sysvol\test.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Der Netzwerkpfad wurde nicht gefunden. ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp."

 

Kann die Datei über den erwähnten Pfad ohne Probleme ansprechen, aber wahrscheinlich der Einwahluser nicht?!

[Hr_Rossi 10]

hi

 

also ich würde mal folgendes probieren !

 

nimm den client mal in die domäne auf, und dann probier nochmals die vpn verbindung !

 

lg

 

edit1:

 

hast du im AD angegebn bei den Eigenschaften des Users unter "Einwählen"

"Zugriff gestatten" angegeben oder "Zugriff über RAS-Richtlinie steuern" ????

[Jeb 10]

Hallo,

ich weiß , meine Antwort ist hier vielleicht nicht mehr von nöten , aber ich möchte einfach hier nur eine mögliche Fehlerursache Dokumentieren , dass nachfolgende Leute nicht das gleiche Problem haben.

Mein Problem war, dass ich die gleiche Fehlermeldung bekommen hab:

"Fehler 788: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsstufe keine kompatiblen Parameter mit dem Remotecomputer aushandeln konnte."

Die Verbindung sollte ein Windows Server 2008 mit einer Zyxell Firewall herstellen.

 

Die Ursache war der Preshared Key der Zahlen beeinhaltete.

Die Zahlen entfernt und schon gings.