Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN-L2TP in W2k3 Problem

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.01.2007, aktualisiert 23:07 Uhr, 5713 Aufrufe, 3 Kommentare

Hallo,

wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.

Es läuft, aber folgendes seltsame Problem kostet mich Nerven:

Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?

Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.

Danke!
Mitglied: aqui
18.01.2007 um 14:19 Uhr
Das ist etwas merkwürdig... Scheinbar benutzen dann beide Clients unterschiedliche Methoden. L2TP hat keine eigenen Verschlüsselungsmechanismen und benutzt zur übertragung dann IPsec. IPSec nutzt aber mehrere Methoden. Entweder AH (Authentication Header) oder ESP (Encapsulation Security Payload) und neuerdings IPsec mit NAT Traversal (RFC 3947 und 3948)
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.

Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.

Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Bitte warten ..
Mitglied: sysad
18.01.2007 um 19:27 Uhr
Vielen Dank für die ausführliche Info.

Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.

Sind Macs cleverer?

Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.

EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.

Edit2:

Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.

EDIT3:

mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.

Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.

Danke an alle Mithelfer!
Bitte warten ..
Mitglied: aqui
18.01.2007 um 23:07 Uhr
Macs waren schon immer cleverer !!! Das war nie anders.... Windows kopiert ja bloß davon
(Was L2TP angeht wohl scheinbar nicht richtig....!)
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

Router & Routing

VPN-Verbindung - Client über WS12 L2TP zu externem L2TP VPN-Server

Frage von bugzzzRouter & Routing46 Kommentare

Guten Morgen, bei mir läuft seit nun seit einiger Zeit ein WS12 mit L2TP ohne Probleme. Habe mir überlegt, ...

LAN, WAN, Wireless

L2TP-IPsec VPN pfSense 2.3

gelöst Frage von maddigLAN, WAN, Wireless6 Kommentare

Hallo, ich bin zurzeit am versuchen einen VPN Server mit L2TP/IPsec zum laufen zu bringen. Die meisten Tutorials basieren ...

Windows Server

L2TP VPN Server funktioniert nicht - Win2012R2

gelöst Frage von 118080Windows Server33 Kommentare

Moin :-) Ich fange gerade mit dem Thema VPN over L2TP auf Windows Server 2012 R2 an. Dazu habe ...

Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 22 StundenExchange Server4 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 1 TagSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 2 TageniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 2 TagenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerk einrichten - wie mache ich es richtig?
Frage von gintonikWindows Netzwerk23 Kommentare

Hallo, ich bin neu hier und erhoffe mir hier ein paar Antworten für meine Umsetzung zu erhalten. Kurz zu ...

CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Microsoft Office
Druckdatum nur auf ausgedrucktem Dokument anzeigen
gelöst Frage von eichi18Microsoft Office16 Kommentare

Hallo zusammen Ich versuche in einem Word Dokument das Druckdatum nur auf dem eigentlichen Ausdruck auszugeben und am Bildschirm ...

Batch & Shell
Auswahlfenster Batch
gelöst Frage von FrankreichBatch & Shell12 Kommentare

Liebes Forum! Ich habe ein Batch Script geschrieben, bei welchem man die IP changen kann denn Namen und den ...