4
L2TP IPSec VPN schlägt fehlt, Fehler 676 Telefonverbindung besetzt
VPN WinXP L2TP/IPSec
Hallo Forum, benötige dringend Hilfe,
der Versuch eine VPN-Verbindung zwischen 2 WinXP Rechnern herzustellen schlägt fehl mit der Meldung "676, Telefonanschluss besetzt".
Folgendes System:
Client: WinXP SP3, UMTS, xxx.dyndns.org
Server: WinXP SP3, IP-Sicherheitsrichtlinien für "Eingehende Verbindungen"
hinter
FritzBox 7050
Kabelmodem ARRIS Euro-DOCSIS 2.0
NAT-Forwarding Port UDP 4500, 500, ESP Proto50 auf 192.168.xxx.xxx
Phase1 und Phase2 werden erfolgreich abgeschlossen, SPI's entsprechend übertragen. (Oakley-Log)
Phase1: 3DES, SHA1, PFS, PSK
Phase2: 3DES, MD5
Der Fehler tritt im WAN alsauch im LAN auf.
Wer weiss eine Erklärung?
der Versuch eine VPN-Verbindung zwischen 2 WinXP Rechnern herzustellen schlägt fehl mit der Meldung "676, Telefonanschluss besetzt".
Folgendes System:
Client: WinXP SP3, UMTS, xxx.dyndns.org
Server: WinXP SP3, IP-Sicherheitsrichtlinien für "Eingehende Verbindungen"
hinter
FritzBox 7050
Kabelmodem ARRIS Euro-DOCSIS 2.0
NAT-Forwarding Port UDP 4500, 500, ESP Proto50 auf 192.168.xxx.xxx
Phase1 und Phase2 werden erfolgreich abgeschlossen, SPI's entsprechend übertragen. (Oakley-Log)
Phase1: 3DES, SHA1, PFS, PSK
Phase2: 3DES, MD5
Der Fehler tritt im WAN alsauch im LAN auf.
Wer weiss eine Erklärung?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201942
Url: https://administrator.de/contentid/201942
Printed on: April 20, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hast du einen NAT Router vor den beiden VPN Rechneren ??
Wenn ja ist es klar, denn du kannst ohne aktives NAT Traversal im IPsec keinerlei NAT Firewall überwinden die ja bekanntlich in jedem Router ist.
Zu 99% ist das bei dir der Fall.
Bei der Seite die "Server" spielt also dort wo die eingehende L2TP Session ankommt musst du folgende Ports im Port Forwarding Setup des Routers auf die lokale IP des Rechners forwarden:
UDP 500
UDP 4500
UDP 1701
ESP Protokoll, IP Protokoll Nr. 51 ( Achtung: kein TCP/UDP 51, ESP ist ein eigenes IP Protokoll !)
Ohne das Port Forwarding wirst du sonst nix !!
Guckst du hier:
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Lies dir bitte zusätzlich die IPsec Protokollspecs durch.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit solltest du das im Handumdrehen lösen können !
Wenn ja ist es klar, denn du kannst ohne aktives NAT Traversal im IPsec keinerlei NAT Firewall überwinden die ja bekanntlich in jedem Router ist.
Zu 99% ist das bei dir der Fall.
Bei der Seite die "Server" spielt also dort wo die eingehende L2TP Session ankommt musst du folgende Ports im Port Forwarding Setup des Routers auf die lokale IP des Rechners forwarden:
UDP 500
UDP 4500
UDP 1701
ESP Protokoll, IP Protokoll Nr. 51 ( Achtung: kein TCP/UDP 51, ESP ist ein eigenes IP Protokoll !)
Ohne das Port Forwarding wirst du sonst nix !!
Guckst du hier:
http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...
Lies dir bitte zusätzlich die IPsec Protokollspecs durch.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Damit solltest du das im Handumdrehen lösen können !
Hallo Aqui,
vielen Dank für Deine Antwort. Hab' die fehlende Info noch nachgetragen. Das Portforwarding ist selbstverständlich realisiert. Tatsache ist, daß die Sicherheitsaushandlungen stattfinden, die beiden Teilnehmer sich also "sehen". Es scheint demnach irgend etwas mit dem PPP-Transport nicht zu stimmen.
Wenn ich die Verbindung im LAN erstellen kommt der gleiche Fehler.
vielen Dank für Deine Antwort. Hab' die fehlende Info noch nachgetragen. Das Portforwarding ist selbstverständlich realisiert. Tatsache ist, daß die Sicherheitsaushandlungen stattfinden, die beiden Teilnehmer sich also "sehen". Es scheint demnach irgend etwas mit dem PPP-Transport nicht zu stimmen.
Wenn ich die Verbindung im LAN erstellen kommt der gleiche Fehler.
Was hat PPP Transport mit IPsec zu tun ?? Bzw. WAS willst du uns damit sagen ?? Hast du das obige IPsec Tutorial wirklich gelesen ??
Im LAN kannst du diese verbindung nicht erstellen, denn dann hättest du identische IP Adressen an den Tunnelendpunkten das wäre nicht nur Blödsinn, sondern technisch nicht möglich.
Ist auch die Frage ob bei L2TP ein Ende den Serverpart emulieren kann, vermutlich scheitert das daran schon.
Bei PPTP VPNs unter XP ist das wenigstens möglich sofern man nicht gerade ein Home Version hat...
http://www.wintotal.de/artikel/artikel-2005/40.html
Vielleicht solltest du es erstmal damit versuchen...das klappt wenigstens !
Achte darauf das dann die Ports anders sind, da anderes VPN Protokoll
TCP 1723
GRE Protokoll IP Nummer 47 (Achtung kein TCP/UDP 47, GRE ist ein eigenes IP Protokoll !)
Im LAN kannst du diese verbindung nicht erstellen, denn dann hättest du identische IP Adressen an den Tunnelendpunkten das wäre nicht nur Blödsinn, sondern technisch nicht möglich.
Ist auch die Frage ob bei L2TP ein Ende den Serverpart emulieren kann, vermutlich scheitert das daran schon.
Bei PPTP VPNs unter XP ist das wenigstens möglich sofern man nicht gerade ein Home Version hat...
http://www.wintotal.de/artikel/artikel-2005/40.html
Vielleicht solltest du es erstmal damit versuchen...das klappt wenigstens !
Achte darauf das dann die Ports anders sind, da anderes VPN Protokoll
TCP 1723
GRE Protokoll IP Nummer 47 (Achtung kein TCP/UDP 47, GRE ist ein eigenes IP Protokoll !)
Der Artikel bringt mir leider keine neueren Erkenntnisse über das hier vorliegende Problem. Ich baue ja keinen reinen IPSEC-Tunnel auf.
Zitat:
L2TP/IPsec-Architektur
Zuerst wird die IPsec-Verbindung aufgebaut. Danach folgt durch die sichere Verbindung der L2TP-Tunnel, durch den die privaten Netzwerk-Pakete in PPP-Paketen transportiert werden.
Die IP-Pakte werden in PPP-Frames eingekapselt. Die werden in L2TP-Pakete eingekapselt. Dann folgt der UDP-Paket. Und dann wird noch ein IPsec-Header und -Trailer drumherum gebaut. Die Daten sind somit verschlüsselt. Danach werden die Pakete noch von einem Schicht-2-Protokoll (L2), zum Beispiel PPP, PPPoE oder Ethernet, nochmals eingekapselt und vom VPN-Router weitergeleitet.
Die Verarbeitung ist recht aufwändig und der Paket-Overhead im Vergleich zu den Nutzdaten groß. Allerdings ist das die einzige Möglichkeit Nicht-IP-Pakete mit höchstmöglichster Sicherheit zu übertragen.
Zitat Ende: (aus Netzwerktechnikfibel)
PPTP funktioniert natürlich ohne Probleme. Wegen Sicherheitsbedenken möchte ich aber die L2TP-Tunnelung herstellen.
Zitat:
L2TP/IPsec-Architektur
Zuerst wird die IPsec-Verbindung aufgebaut. Danach folgt durch die sichere Verbindung der L2TP-Tunnel, durch den die privaten Netzwerk-Pakete in PPP-Paketen transportiert werden.
Die IP-Pakte werden in PPP-Frames eingekapselt. Die werden in L2TP-Pakete eingekapselt. Dann folgt der UDP-Paket. Und dann wird noch ein IPsec-Header und -Trailer drumherum gebaut. Die Daten sind somit verschlüsselt. Danach werden die Pakete noch von einem Schicht-2-Protokoll (L2), zum Beispiel PPP, PPPoE oder Ethernet, nochmals eingekapselt und vom VPN-Router weitergeleitet.
Die Verarbeitung ist recht aufwändig und der Paket-Overhead im Vergleich zu den Nutzdaten groß. Allerdings ist das die einzige Möglichkeit Nicht-IP-Pakete mit höchstmöglichster Sicherheit zu übertragen.
Zitat Ende: (aus Netzwerktechnikfibel)
PPTP funktioniert natürlich ohne Probleme. Wegen Sicherheitsbedenken möchte ich aber die L2TP-Tunnelung herstellen.
