Jump to content

VPN(RAS)-Server Grundsäzlich wieviel Netzwerkkarten ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich möchte an unserem DC die VPN-Einwahl über L2TP und IPsec einrichten und probiere auch schon einige Zeit lang, allerdings ohne positives Ergebnis...bekomme einfach keine Verbindung zustande.

 

Ich habe mich bisher an die Anleitung von gruppenrichtlinien.de gehalten, komme aber nicht weiter.

 

Da es bei Gruppenrichtlinien so erklärt wird, dass man nur eine Netzwerkkarte benötigt, hab ich das auch so probiert.

Es handelt sich um einen Win 2k3-Server, der als DC und Notes-Server läuft. Er hat nur eine Netzwerkkarte und auf dieser laufen 2 IP`s, eine für den DC und eine extra für den Notes-Server.

Ich habe an der Firewall die Ports für L2TP (UDP 1701 und UDP 500) auf die interne IP des DC weiterleiten lassen (kann ich nicht selbst konfigurieren, gehört der Telekom).

 

Bei Microsoft steht allerdings hier , dass man 2 Netzwerkkarten braucht.

 

Jetzt grundsätzlich: Reicht die eine Netzwerkkarte aus, oder brauch ich definitiv eine zweite ?

 

Bin schon langsam am verzweifeln :confused:

 

Danke für eure Tipps, werde mit Sicherheit noch eine Menge Fragen haben :cry:

Link zu diesem Kommentar

So, erstmal vielen Dank für die Hinweise.

 

Um zu testen, ob es mit nur einer Netzwerkkarte am Server geht und ich von aussen überhaupt an den Server komme, hab ich mal die PTPP-Ports freischalten lassen (TCP 1723 und Protokoll 47) und darüber einen Verbindungsaufbau probiert. Siehe da, es geht.

 

Aber das Ziel ist ja L2TP und IPsec. Da hatten die Weiterleitungen von Port UDP 4500 und IP-Protokoll 50 (ESP) gefehlt. Die sind jetzt auch auf die Server-IP weitergeleitet.

Leider kann ich aber immernoch keine von extern kommende L2TP-Verbindung aufbauen. Ich habe von intern aus dem Netzt eine Verbindung über L2TP auf den Server aufbauen können. Wenn ich das über extern versuche, kommt eine Fehlermeldung: "Fehler 791: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da keine Sicherheitsrichtlinie für die Verbindung gefunden wurde." Für diese Fehler habe ich bis jetzt nichts aussagekräftiges im Netz finden können, vll. wisst ihr, was ich da noch vergessen habe. Höchstwahrscheinlich eine Lokale Sicherheitsrichtlinie an dem Computer, der die externe Verbindung aufbauen soll ??!

Link zu diesem Kommentar

Wird denn jetzt die UDP 4500 Umleitung bei einem Zugriff mit L2TP/IPSec benötigt oder nicht ? Ich stelle sie immer ein und habe nie Probleme gehabt, habe es aber auch noch nie ohne diese Umleitung versucht. Bei meinen Watchguards, die kein L2TP untersützen, muss ich es ebenso auf dem Zugangsrouter eintragen ...

Ich glaube, ich schmeiss mal meinen Sniffer an :)

Link zu diesem Kommentar
Wird denn jetzt die UDP 4500 Umleitung bei einem Zugriff mit L2TP/IPSec benötigt oder nicht ?

Sobald eines der Tunnelenpunktgeräte sich hinter einem NAT-Device befindet, egal welches, oder gar beide, bruacht man zwingend NAT-T für L2TP/IPSec.

 

Eine genauere Erklärung dafür findest du auf unserer Firmenhomepage (kein Link hier ;) , siehe mein Profil), dort in der Sektion HowTo/Securtiy/VPN mit.../Troubleshooting/Abschnitt H.

Falls du es je liest, für Korrekturen oder VVs bin ich dankbar :)

 

 

grizzly999

Link zu diesem Kommentar
Da das Ganze von Extern über NAT geht, der Client ist entsprechend gepatcht? Für XPSP1 und 2000 einen extra Patch einspielen:

http://support.microsoft.com/kb/818043/en-us

 

Das war`s noch, hatte noch gefehlt. Jetzt geht`s.

 

Also erstmal: Ein ganz dickes Dankeschön an euch !!! Ich rammel da seit Tagen...... also an der Konfiguration herum *g*.

 

Desweiteren möchte ich die Authentifikation über Zertifikate machen und was sehe ich da bei grizzly auf der HP ??? Eine komplette Anleitung !! Warum hast du das nicht schon früher gepostet *lol*.

 

Also nochmal vielen Dank an Euch !

Link zu diesem Kommentar

Was hast Du jetzt noch alles verändern müssen ?

 

Es hatte noch die Weiterleitung auf die Server-IP von den Ports UDP 4500 und IP-Protokoll 50 gefehlt.

 

Also aktuell durchgeleitet an der Firewall ist für L2TP und IPsec jetzt:

 

UDP Port 500 für Internet Key Exchange (IKE)

UDP Port 4500 für IPsec NAT-T

IP-Protokoll 50 Encapsulating Security Payload (ESP)

 

Damit funktioniert der Verbindungsaufbau über L2TP.

 

 

*g* Allerdings häng ich schonwieder.... bei den Zertifikaten. Hab die Installation genauso durchgeführt, wie auf grizzly999`s Webpage beschrieben. Dennoch bringt er mir jetzt die Fehlermeldung: "Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

 

Das Stammzertifikat liegt unter Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifizierungsstellen und unter Eigene Zertifikate (auch lokaler Computer) liegt auch das von der Stammzertifizierungsstelle ausgestellte Eigene Zertifikat. Aber scheinbar will er`s nicht ?!

 

[:edit:]

Ich sehe gerade, dass wenn ich auf die Eigenen Zertifikate gehen und mir die Details des eigenen Zertifikates anschaue, dass da nicht steht: "IP-Sicherheits-IKE, dazwischenliegend" sondern "Microsoft Vertrauenslistensignatur... Verschlüsseltes Dateisystem... Sichere E-Mail und Clientauthentifizierung". Da hab ich irgendwas versaut, hab`s nur noch nicht gefunden.

 

[:edit2:]

Hab`s nochmal vom Zertifizierungsserver exportiert und neu eingebunden. Jetzt steht das mit dem "IP-Sicherheits-IKE, dazwischenliegend" drinn. Die Fehlermeldung 798 kommt aber immernoch, hmm.....

Link zu diesem Kommentar

Wenn ich am RAS-Server bei den RAS-Richtlinien die Authentifizierungsmethode auf EAP ändere und dann Smartcard oder anders Zertifikat auswähle, kommt die gleiche Fehlermeldung: "Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

 

Der Zertifikatsserver läuft auf dem selben Server. Wo bekomme ich ein EAP-fähiges Zertifikat nun her ? :confused::confused:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...