3
VPN-L2TP in W2k3 Problem
Hallo,
wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.
Es läuft, aber folgendes seltsame Problem kostet mich Nerven:
Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?
Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.
Danke!
wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.
Es läuft, aber folgendes seltsame Problem kostet mich Nerven:
Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?
Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 49159
Url: https://administrator.de/contentid/49159
Printed on: April 19, 2024 at 10:04 o'clock
3 Comments
Latest comment
Das ist etwas merkwürdig... Scheinbar benutzen dann beide Clients unterschiedliche Methoden. L2TP hat keine eigenen Verschlüsselungsmechanismen und benutzt zur übertragung dann IPsec. IPSec nutzt aber mehrere Methoden. Entweder AH (Authentication Header) oder ESP (Encapsulation Security Payload) und neuerdings IPsec mit NAT Traversal (RFC 3947 und 3948)
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.
Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.
Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.
Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.
Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Vielen Dank für die ausführliche Info.
Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.
Sind Macs cleverer?
Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.
EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.
Edit2:
Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.
EDIT3:
mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.
Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.
Danke an alle Mithelfer!
Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.
Sind Macs cleverer?
Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.
EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.
Edit2:
Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.
EDIT3:
mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.
Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.
Danke an alle Mithelfer!
Macs waren schon immer cleverer !!! Das war nie anders.... Windows kopiert ja bloß davon 
(Was L2TP angeht wohl scheinbar nicht richtig....!)
(Was L2TP angeht wohl scheinbar nicht richtig....!)
