5
IPSec einrichten klappt nicht
Hallo,
meine Bastelstunde geht weiter.
Heute habe ich auf meinem SBS2003 folgendes Problem:
Ich habe den VPN-Server eingerichtet. Per PPTP können die Clients ohne Probleme zugreifen. Leider klappt das nicht mit IPSec. Ich habe mich exackt an folgende Anleitung gehalten:
http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Ze ...
Aber beim verbinden selbst im LAN erhalte ich Fehler 792. HAbe dann die TCP/IP Filter aktiviert, und nun erscheint Fehler 789.
Habe daraufhin den Server so umgestellt, dass er nur noch eine Naetzwerkkarte für intern und extern verwendet. Aber das klappt auch nicht. Bin die anleitung wirklich nochmal mit der Lupe durchegegangen, aber keine Lösung.
Jemand von euch noch nen Tipp?
Grüße
bws
meine Bastelstunde geht weiter.
Heute habe ich auf meinem SBS2003 folgendes Problem:
Ich habe den VPN-Server eingerichtet. Per PPTP können die Clients ohne Probleme zugreifen. Leider klappt das nicht mit IPSec. Ich habe mich exackt an folgende Anleitung gehalten:
http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Ze ...
Aber beim verbinden selbst im LAN erhalte ich Fehler 792. HAbe dann die TCP/IP Filter aktiviert, und nun erscheint Fehler 789.
Habe daraufhin den Server so umgestellt, dass er nur noch eine Naetzwerkkarte für intern und extern verwendet. Aber das klappt auch nicht. Bin die anleitung wirklich nochmal mit der Lupe durchegegangen, aber keine Lösung.
Jemand von euch noch nen Tipp?
Grüße
bws
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145748
Url: https://administrator.de/contentid/145748
Printed on: April 24, 2024 at 14:04 o'clock
5 Comments
Latest comment
Steht vor dem Server ein NAT Router ?? Leider teilst du uns das ja nicht mit 
Wenn ja, solltest du besonderes Augenmerk auf diesen Abschnitt legen:
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Für L2TP musst du die folgenden Ports auf die lokale IP Adresse des Servers forwarden (Sofern du einen NAT Router benutzt)
Wenn ja, solltest du besonderes Augenmerk auf diesen Abschnitt legen:
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Für L2TP musst du die folgenden Ports auf die lokale IP Adresse des Servers forwarden (Sofern du einen NAT Router benutzt)
- ESP Protokoll mit der IP Protokollnumer 50 (Achtung: **nicht UDP oder TCP 50 ! ESP ist ein eigenes Protokoll !)
- UDP 500
- UDP 1701
- ggf. UDP 4500 sofern der Server NAT Traversal spricht.
Danke für die Hilfe.
NAT-Router ist vorhanden, aber es klappt ja nicht mal im internen LAN. Sprich im Server sind zwei Netzwerkadapter. Intern mit 10.0.0.x und extern am Router mit 192.168.0.x Beide auch wieder aktiv.
Da es ein Server 2003 ist sollte das NAT-T ja ohne weitres arbeiten. Aber wie gesagt, intern geht es auch nicht. Habe gerade mal auf Pre-Shared Key umgeschaltet, um ein Zertifikats-Problem aus zu schließen, aber es bleibt bei den Meldungen.
Grüße
bws
PS: erhalte folgende Meldung mit dem Oakley.log - 6 mal nacheinander:
6-27: 18:13:09:819:4a8 Receive: (get) SA = 0x00000000 from 10.0.0.16.500
6-27: 18:13:09:819:4a8 ISAKMP Header: (V1.0), len = 312
6-27: 18:13:09:819:4a8 I-COOKIE d59191c67dde493f
6-27: 18:13:09:819:4a8 R-COOKIE 0000000000000000
6-27: 18:13:09:819:4a8 exchange: Oakley Main Mode
6-27: 18:13:09:819:4a8 flags: 0
6-27: 18:13:09:819:4a8 next payload: SA
6-27: 18:13:09:819:4a8 message ID: 00000000
6-27: 18:13:09:819:4a8 Filter to match: Src 10.0.0.16 Dst 10.0.0.1
6-27: 18:13:09:819:4a8 MatchMMFilter failed 13013
6-27: 18:13:09:819:4a8 Responding with new SA 0
6-27: 18:13:09:819:4a8 HandleFirstPacketResponder failed 3601
NAT-Router ist vorhanden, aber es klappt ja nicht mal im internen LAN. Sprich im Server sind zwei Netzwerkadapter. Intern mit 10.0.0.x und extern am Router mit 192.168.0.x Beide auch wieder aktiv.
Da es ein Server 2003 ist sollte das NAT-T ja ohne weitres arbeiten. Aber wie gesagt, intern geht es auch nicht. Habe gerade mal auf Pre-Shared Key umgeschaltet, um ein Zertifikats-Problem aus zu schließen, aber es bleibt bei den Meldungen.
Grüße
bws
PS: erhalte folgende Meldung mit dem Oakley.log - 6 mal nacheinander:
6-27: 18:13:09:819:4a8 Receive: (get) SA = 0x00000000 from 10.0.0.16.500
6-27: 18:13:09:819:4a8 ISAKMP Header: (V1.0), len = 312
6-27: 18:13:09:819:4a8 I-COOKIE d59191c67dde493f
6-27: 18:13:09:819:4a8 R-COOKIE 0000000000000000
6-27: 18:13:09:819:4a8 exchange: Oakley Main Mode
6-27: 18:13:09:819:4a8 flags: 0
6-27: 18:13:09:819:4a8 next payload: SA
6-27: 18:13:09:819:4a8 message ID: 00000000
6-27: 18:13:09:819:4a8 Filter to match: Src 10.0.0.16 Dst 10.0.0.1
6-27: 18:13:09:819:4a8 MatchMMFilter failed 13013
6-27: 18:13:09:819:4a8 Responding with new SA 0
6-27: 18:13:09:819:4a8 HandleFirstPacketResponder failed 3601
So,
ich habe mich an folgende anleitung gehalten:
http://support.microsoft.com/kb/323441/de
Dann gin zwar die Einwahl intern, aber die Clients hatten alle kein Internet mehr. Daraufhin habe ich nochmal den in der aufgabenliste genannten Punkt 2 durchgeführt. Und nun geht es. Habe mittlerweile die Zertifikate nochmals erstellt, und alles ist gewünscht. warum nicht gleich so!?!?!?!???
Unterschied bei RRAS: Vorher war kein IGMP und DHCP-Relay vorhanden.
Grüße
bws
ich habe mich an folgende anleitung gehalten:
http://support.microsoft.com/kb/323441/de
Dann gin zwar die Einwahl intern, aber die Clients hatten alle kein Internet mehr. Daraufhin habe ich nochmal den in der aufgabenliste genannten Punkt 2 durchgeführt. Und nun geht es. Habe mittlerweile die Zertifikate nochmals erstellt, und alles ist gewünscht. warum nicht gleich so!?!?!?!???
Unterschied bei RRAS: Vorher war kein IGMP und DHCP-Relay vorhanden.
Grüße
bws
jawohl!
Alles muss seine Ordnung haben. Jedoch heute geht es schon wieder nicht. Wirklich, ohne das auch nur irgendwas geändert wurde. Fehler 678. Mit pptp klappt die Einwahl jedoch sofort. Schon seltsam. Bin jetzt doch auf OpenVPN umgestiegen.
grüße
bws
Alles muss seine Ordnung haben. Jedoch heute geht es schon wieder nicht.
Wirklich, ohne das auch nur irgendwas geändert wurde. Fehler 678. Mit pptp klappt die Einwahl jedoch sofort. Schon seltsam. Bin jetzt doch auf OpenVPN umgestiegen.grüße
bws
