6
L2TP over IPSEC
Hallo Zusammen
Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem damit, einen VPN in unsere Firma einzurichten. Nun habe ich folgendes Problem:
Server: Windows 2016 Datacenter mit DirectAccess und Routing installiert und konfiguriert
Clients: Windows 7 und Windows 10
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
VPN Anfrage wird per NAT an den VPN Server geleitet welcher in der DMZ platziert ist. Der Server hat 2 NICs, einmal DMZ_extern und einmal DMZ_intern mit einer statischen Route welche anfragen ins LAN über die DMZ_intern leitet.
Ich habe eine PPTP Verbindung eingerichtet, welche von beiden Clients aus super funktioniert. Ich möchte nun aber eine Tunnel mit L2TP/IPSEC einrichten und da klemmts momentan. Ich habe das Ganze mit einem PSK eingerichtet in dem Routing und RAS Feature.
Entferne ich in "Routing und RAS" den PSK, bekomme ich beim Verbinden nach ein paar Sekunden den Fehler 788. Macht ja Sinn, da der PSK nicht übereinstimmt. Ist der PSK eingetragen, geht der Wählvorgang viel länger, mit dem Resultat: Fehler 809, die Netzwerkverbindung konnte zwischen dem Computer und dem VPN Server nicht hergestellt werden usw.
Nun gehe ich davon aus, dass es nicht an der Firewall liegt, denn aufgrund des Fehler bei nicht vorhandenem PSK kommunizieren die 2 Geräte ja miteinander.
Hat jemand eine Idee oder einen Ahaltspunkt bei dem ich weitersuchen kann? Bis jetzt habe ich nur Tutorials zur Konfiguration von Routin und RAS gefunden, welche ich meiner Meinung nach auch so umgesetzt habe.
Danke für Eure Zeit und Hilfe schon im Voraus
gruss
sardldb
Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem damit, einen VPN in unsere Firma einzurichten. Nun habe ich folgendes Problem:
Server: Windows 2016 Datacenter mit DirectAccess und Routing installiert und konfiguriert
Clients: Windows 7 und Windows 10
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
VPN Anfrage wird per NAT an den VPN Server geleitet welcher in der DMZ platziert ist. Der Server hat 2 NICs, einmal DMZ_extern und einmal DMZ_intern mit einer statischen Route welche anfragen ins LAN über die DMZ_intern leitet.
Ich habe eine PPTP Verbindung eingerichtet, welche von beiden Clients aus super funktioniert. Ich möchte nun aber eine Tunnel mit L2TP/IPSEC einrichten und da klemmts momentan. Ich habe das Ganze mit einem PSK eingerichtet in dem Routing und RAS Feature.
Entferne ich in "Routing und RAS" den PSK, bekomme ich beim Verbinden nach ein paar Sekunden den Fehler 788. Macht ja Sinn, da der PSK nicht übereinstimmt. Ist der PSK eingetragen, geht der Wählvorgang viel länger, mit dem Resultat: Fehler 809, die Netzwerkverbindung konnte zwischen dem Computer und dem VPN Server nicht hergestellt werden usw.
Nun gehe ich davon aus, dass es nicht an der Firewall liegt, denn aufgrund des Fehler bei nicht vorhandenem PSK kommunizieren die 2 Geräte ja miteinander.
Hat jemand eine Idee oder einen Ahaltspunkt bei dem ich weitersuchen kann? Bis jetzt habe ich nur Tutorials zur Konfiguration von Routin und RAS gefunden, welche ich meiner Meinung nach auch so umgesetzt habe.
Danke für Eure Zeit und Hilfe schon im Voraus
gruss
sardldb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 337607
Url: https://administrator.de/contentid/337607
Printed on: April 18, 2024 at 19:04 o'clock
6 Comments
Latest comment
Hallo,
generell hinterfrage ich mal ob ein Microsoft Betriebssystem wirklich in dieser Form exponiert werden sollte.
VPN sollte tunlichst auf einer Hardware Firewall umgesetzt werden.
Zum Thema PPTP zitiere ich mal den Wikipedia und den ct' Artikel:
Wikipedia:
ct':
brammer
generell hinterfrage ich mal ob ein Microsoft Betriebssystem wirklich in dieser Form exponiert werden sollte.
VPN sollte tunlichst auf einer Hardware Firewall umgesetzt werden.
Zum Thema PPTP zitiere ich mal den Wikipedia und den ct' Artikel:
Wikipedia:
2012 präsentierte Verschlüsselungsexperte Moxie Marlinspike ein Webangebot, das beliebige VPN- und WLAN-Verbindungen innerhalb eines Tages > knacken können soll. Die Zeitschrift c't konnte das Verfahren erfolgreich anwenden und sprach deshalb vom „Todesstoß für PPTP“.[4]
ct':
Wer noch PPTP einsetzt, sollte sich schleunigst Gedanken machen, wie er davon weg kommt. Alternativen sind L2TP/IPSec, IPSec mit IKEv2 oder > OpenVPN.
brammer
Hallo brammer
Danke für deinen Beitrag. Genau deshalb möchte ich L2TP einsetzen und nicht PPTP da nicht nur Wikipedia und ct wissen, dass PPTP nicht mehr genug sicher ist. Hatte diese Verbindung nur um zu testen ob die Instalation grundsätzlich funktioniert.
Klar könnte ich den Tunnel direkt auf der Firewall umsetzen. Da Windows diese Möglichkeit anbietet, gehe ich davon aus, dass das aber trotzdem funktioniere sollte.
sardldb
Danke für deinen Beitrag. Genau deshalb möchte ich L2TP einsetzen und nicht PPTP da nicht nur Wikipedia und ct wissen, dass PPTP nicht mehr genug sicher ist. Hatte diese Verbindung nur um zu testen ob die Instalation grundsätzlich funktioniert.
Klar könnte ich den Tunnel direkt auf der Firewall umsetzen. Da Windows diese Möglichkeit anbietet, gehe ich davon aus, dass das aber trotzdem funktioniere sollte.
sardldb
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
Das ist aber nur native IPsec und auch das ist noch unvollständig weil das ESP Protokoll komplett fehlt !Damit wird weder native IPsec noch L2TP funktionieren.
Für native IPsec brauchst du zwingen:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 4500
L2TP:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 1701
UDP 4500
Siehe auch:
https://technet.microsoft.com/en-us/library/dd458955(v=ws.10).aspx
Klar könnte ich den Tunnel direkt auf der Firewall umsetzen.
Aus Sicherheitssicht kann man dir das auch nur dringenst raten !Weitere Infos auch hier:
L2TP:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Native IPsec:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo,
@sardldb
Ja, funktionieren wird das... aber wenn du schon aus Sicherheitsgründen den wechsle von PPTP auf L2TP umsetzt solltest du gleich einen Schritt weiter gehen...
Was nützt es ein unsicheres gegen ein sicheres Protokoll zu tauschen wenn die Basis darunter unsicher ist....
brammer
@sardldb
Ja, funktionieren wird das... aber wenn du schon aus Sicherheitsgründen den wechsle von PPTP auf L2TP umsetzt solltest du gleich einen Schritt weiter gehen...
Was nützt es ein unsicheres gegen ein sicheres Protokoll zu tauschen wenn die Basis darunter unsicher ist....
brammer
Hallo,
Danke euch für die Inputs. Da ich neben VPN auch Direct Access für unsere Windows 10 Geräte nutzen möchte, wollte ich beides auf dem Server einrichten.
Das Protokoll 50 sowie den UDP Port 1701 hatte ich auch schon freigegeben auf der Firewall jedoch mit dem gleichen Resultat.
Ich bin euch dankbar für den Tipp mit der Hardware Firewall, mich würde jedoch sehr interessieren, weshalb der Tunnel nicht aufgebaut werden kann.
vielen Dank
sardldb
Danke euch für die Inputs. Da ich neben VPN auch Direct Access für unsere Windows 10 Geräte nutzen möchte, wollte ich beides auf dem Server einrichten.
Das Protokoll 50 sowie den UDP Port 1701 hatte ich auch schon freigegeben auf der Firewall jedoch mit dem gleichen Resultat.
Ich bin euch dankbar für den Tipp mit der Hardware Firewall, mich würde jedoch sehr interessieren, weshalb der Tunnel nicht aufgebaut werden kann.
vielen Dank
sardldb
Edit: Das Problem ist behoben. Ich habe das Protokoll und den Port nochmals hinzugefügt und nun geht es. Ich hatte diese beiden gestern auch schon drin. vielleicht war ich zu ungeduldig oder was auch immer.
Ich werde mit jedoch eure Inputs zum Thema VPN direkt auf die Firewall zu Herzen nehmen. Vielen Dank Euch für die schnelle Hilfe und Inputs.
schönes Wochenende und Gruss
sardldb
Ich werde mit jedoch eure Inputs zum Thema VPN direkt auf die Firewall zu Herzen nehmen. Vielen Dank Euch für die schnelle Hilfe und Inputs.
schönes Wochenende und Gruss
sardldb
