halber-mcse 10 Geschrieben 21. Mai 2006 Melden Teilen Geschrieben 21. Mai 2006 Hallo, ich habe ein kleines Problem, und zwar habe ich einen Windows 2003 VPn Server welcher L2tp over IPsec macht. Dieser Server ist hinter einem Linksys Wrt54G Router. Auf dem Router habe ich IPsec Passthrough und L2tp Passthrough eingestellt. Ebendfalls sind auf dem Router folgende Port weitergeleitet L2tp = 1701 UDP, isakmp = 500 UDP. Trotzdem bekommt mein VPN Client keine Verbindung zum Server. Wenn ich den IP Sicherheitsmonitor auf dem Win 2k3 starte sehe ich das mein Client eine Sicherheitszuordnung bekommt aber das war es dann auch. Beim Client kommt die Fehlermeldung Remotecomputer antwortet nicht. Jetzt habe ich um zu gucken ob es am VPn Server liegt eine DSL karte in den Server eingebaut und getestet ob der Client sich dann einwählen kann. Das funktioniert. Also muss ich irgendwie am Router liegen. Muss ich noch irgendwelche Ports freischalten usw...? Der Router macht auf NAT. Kann das vielleicht das Problem sein? BIn über jede antwort erfreut. Danke Mit freundlichem Gruß Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 21. Mai 2006 Melden Teilen Geschrieben 21. Mai 2006 Hi, nat bzw. nat-t braucht den Port 4500! zusätzlich muss das ip protokoll 50 für den esp header noch durchgelassen werden. gruß kai Zitieren Link zu diesem Kommentar
halber-mcse 10 Geschrieben 21. Mai 2006 Autor Melden Teilen Geschrieben 21. Mai 2006 Hi, nat bzw. nat-t braucht den Port 4500! zusätzlich muss das ip protokoll 50 für den esp header noch durchgelassen werden. gruß kai kannst du mir sagen wie ich ip protokoll 50 bei einem Linksys wrt54g durchlasse? Ich dachte das ist bei IPSEC Passtrought mit drin. Port 4500 UDP habe ich schon freigeschaltet und es geht nicht. Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 21. Mai 2006 Melden Teilen Geschrieben 21. Mai 2006 Hi, gute frage habe eben mal geguckt auf l2tp und ipsec geht linksys nirgends ein, nur auf pptp-vpn server hinter einer linksys firewall. wenn es mit passthrough und port 4500 nicht geht, fällt mir auch gerade nichts ein. hier die statements von linksys zu pptp http://linksys.custhelp.com/cgi-bin/linksys.cfg/php/enduser/std_adp.php?p_faqid=593&p_created=1084217852&p_sid=2z8ae38i&p_accessibility=0&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9MTU5JnBfcHJvZHM9MSwyMCZwX2NhdHM9JnBfcHY9Mi4yMCZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfc2NmX2xhbmc9MSZwX3BhZ2U9Mw**&p_li=&p_topview=1 http://linksys.custhelp.com/cgi-bin/linksys.cfg/php/enduser/std_adp.php?p_faqid=737&p_created=1084220437&p_sid=2z8ae38i&p_accessibility=0&p_lva=&p_sp=cF9zcmNoPTEmcF9zb3J0X2J5PSZwX2dyaWRzb3J0PSZwX3Jvd19jbnQ9MTU5JnBfcHJvZHM9MSwyMCZwX2NhdHM9JnBfcHY9Mi4yMCZwX2N2PSZwX3NlYXJjaF90eXBlPWFuc3dlcnMuc2VhcmNoX25sJnBfc2NmX2xhbmc9MSZwX3BhZ2U9Mw**&p_li=&p_topview=1 im zweiten link sagen sie ja dass man das GRE 47 Protokoll auch als port weiterleiten soll und das angeblich funktioniert, kannst du ja auch mal mit esp probieren! mfg kai Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. Mai 2006 Melden Teilen Geschrieben 21. Mai 2006 Wir hatten hier im Board mal ein solches Problem mit PPTP (mit einem WRV54G). Dort war ein RRAS hinter dem Router und sollte PPTP-Verbindungen terminieren. Also wurden, wie von Linksys vorgeschlagen, GRE und PPTP durchgeleitet, was aber trotzdem nicht funktionierte. Der Fehler liess sich nur so beheben, dass die Config des Routers in Textform heruntergeladen , manuell abgeändert und schliesslich wieder raufgeladen werden musste. Es wurde eine Umleitung mit dem Namen "GRE" angelegt und folgendermassen abgeändert ... ... ein kleiner Ausschnitt der Config (name(GRE)) (trigger (0 (dst (start(47)) (end(47)) ) (protocol(47)) <--- hier stand vorher 6 oder 17 für TCP bzw. UDP ) (1 (dst (start(47)) (end(47)) ) (protocol(47)) Ob es bei L2TP/IPSec das gleiche Problem ist, weiss ich nicht, ein Blick in die Config sollte aber Aufschluss geben ... Ich denke aber , das ein zusätzliches Durchleiten von UDP 4500 ausreichen sollte ohne IP-Protokoll 50 durchleiten zu müssen (wenn der Router NAT macht) Zitieren Link zu diesem Kommentar
halber-mcse 10 Geschrieben 27. Mai 2006 Autor Melden Teilen Geschrieben 27. Mai 2006 Am WRT54G habe ich eine Option namens DMZ. Dort habe ich meinen VPN Server eingetragen. Also müssten doch alle Ports offen sein und NAT dürfte es doch auch nicht mehr geben. Trotzdem bekomme ich keine Einwahl mit meinem Client zustande. Kann es sein das man am Routing und RAS noch was einstellen muss? Das komische ist sobald ich meinen VPN Server direkt ins internet stelle über ein DSL Modem funktioniert die einwahl. Was könnte noch flasch sein? Laut Hersteller unterstützt der router auch L2tip IPsec. Am VPN Server kann ich auch die Sicherheitszuordnungen sehen. Nach 6 anfragen bricht die Einwahl ab. Im eventlog des Server stehen aber keine Fehler. Laut eventlog findet die authentifizierung statt im Hauptmodus und schnellmodus. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Mai 2006 Melden Teilen Geschrieben 27. Mai 2006 Sicher gibt es noch NAT oder benutzt Du intern keine privaten IP-Adressen ? Was für Fehler bekommst Du denn ? Müssen auf dem Router eventuell zusätzlich noch Firewallfilter gesetzt werden ? Es gibt eine Option VPN-Passthrough (oder so ähnlich), ist diese Option aktiviert ? Ist die Firmware aktuell ? Wenn der Server direkt am Netz hängt und die Einwahl funktioniert, dann wird es am Router liegen, der offensichtlich nicht korrekt durchleitet ... Zitieren Link zu diesem Kommentar
halber-mcse 10 Geschrieben 27. Mai 2006 Autor Melden Teilen Geschrieben 27. Mai 2006 Fehler gefunden. Musste am Client noch folgenden Reg Wert eintragen. AssumeUDPEncapsulationContextOnSendRule und diesen auf 1 oder 2 setzten. Danach können sich meine Clients einwählen. Endlich den doofen Fehler gefunden Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 27. Mai 2006 Melden Teilen Geschrieben 27. Mai 2006 Hi, mit dem server in der DMZ oder "normal" hinter der firewall? gruß kai Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Mai 2006 Melden Teilen Geschrieben 27. Mai 2006 Fehler gefunden. Musste am Client noch folgenden Reg Wert eintragen.AssumeUDPEncapsulationContextOnSendRule und diesen auf 1 oder 2 setzten. Danach können sich meine Clients einwählen. Endlich den doofen Fehler gefunden Aha, NAT-Traversal (da waren wir ja auch schon, allerdings auf der Server-und nicht auf der Clientseite) , danke für die Rückmeldung :) Deswegen lief es, wenn der Server direkt angeschlossen war, wahrscheinlich bist Du vom Client aus gesehen mit einer ISDN-Verbindung oder so gekommen (jedenfalls nicht hinter einem Router) , denn so gibt es kein NAT ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.