Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco 1812 PPTP VPN funktioniert nicht von extern

Frage Netzwerke Router & Routing

Mitglied: ozer

ozer (Level 1) - Jetzt verbinden

23.05.2013, aktualisiert 17:15 Uhr, 1760 Aufrufe, 5 Kommentare

Hallo Community,

bin am schieren Verzweifeln aktuell.

Folgendes Szenario:

Ein Cisco 1812 Router fungiert als WAN Router. Klappt soweit.
Der gleiche Router hat auch die VPN PPTP Server Rolle. Zum authentifizieren wird ein Radius genutzt. Server2008. Über die Cisco CLI bekomme ich korrekte Ergebnisse, wenn ich username + passwort zum radius schicke (test aaa group radius benutzername passwort legacy). Also funktioniert die Verbindung zum Radius ebenfalls. Wenn ich Netzintern eine PPTP Verbindung zum Cisco Aufbaue, klappt das. User wird authentifiziert, bekommt eine ip.

Wenn ich das aber netzextern probiere, bekomme ich auf der Win7 Maschine eine Fehlermeldung.
(Fehler 734 auf dem Client). Habe mich bereits im Internet schlau gemacht und die gängigen Verdächtigen ausgeschlossen (Mehrfachverbindungen für Einzelverbindungen aushandeln, ...).

Auf der Cisco Console bekomme ich auch eine Fehlermeldung (term mon):
01.
013025: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f 
02.
013026: *May 23 14:39:57.342: AAA/BIND(0000001D): Bind i/f Virtual-Template1 
03.
013027: *May 23 14:39:57.342: ppp24 PPP: Send Message[Dynamic Bind Response] 
04.
013028: *May 23 14:39:57.342: ppp24 PPP: Using vpn set call direction 
05.
013029: *May 23 14:39:57.342: ppp24 PPP: Treating connection as a callin 
06.
013030: *May 23 14:39:57.342: ppp24 PPP: Session handle[500001D] Session id[24] 
07.
013031: *May 23 14:39:57.342: ppp24 PPP: Phase is ESTABLISHING, Passive Open 
08.
013032: *May 23 14:39:57.342: ppp24 LCP: State is Listen 
09.
013033: *May 23 14:39:59.338: ppp24 LCP: Timeout: State Listen 
10.
013034: *May 23 14:39:59.338: ppp24 LCP: O CONFREQ [Listen] id 1 len 15 
11.
013035: *May 23 14:39:59.338: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
12.
013036: *May 23 14:39:59.338: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
13.
013037: *May 23 14:40:01.354: ppp24 LCP: Timeout: State REQsent 
14.
013038: *May 23 14:40:01.354: ppp24 LCP: O CONFREQ [REQsent] id 2 len 15 
15.
013039: *May 23 14:40:01.354: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
16.
013040: *May 23 14:40:01.354: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
17.
013041: *May 23 14:40:03.370: ppp24 LCP: Timeout: State REQsent 
18.
013042: *May 23 14:40:03.370: ppp24 LCP: O CONFREQ [REQsent] id 3 len 15 
19.
013043: *May 23 14:40:03.370: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
20.
013044: *May 23 14:40:03.370: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
21.
013046: *May 23 14:40:05.386: ppp24 LCP: Timeout: State REQsent 
22.
013047: *May 23 14:40:05.386: ppp24 LCP: O CONFREQ [REQsent] id 4 len 15 
23.
013048: *May 23 14:40:05.386: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
24.
013049: *May 23 14:40:05.386: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
25.
013050: *May 23 14:40:07.402: ppp24 LCP: Timeout: State REQsent 
26.
013051: *May 23 14:40:07.402: ppp24 LCP: O CONFREQ [REQsent] id 5 len 15 
27.
013052: *May 23 14:40:07.402: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
28.
013053: *May 23 14:40:07.402: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
29.
013054: *May 23 14:40:09.418: ppp24 LCP: Timeout: State REQsent 
30.
013055: *May 23 14:40:09.418: ppp24 LCP: O CONFREQ [REQsent] id 6 len 15 
31.
013056: *May 23 14:40:09.418: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
32.
013057: *May 23 14:40:09.418: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
33.
013058: *May 23 14:40:11.434: ppp24 LCP: Timeout: State REQsent 
34.
013059: *May 23 14:40:11.434: ppp24 LCP: O CONFREQ [REQsent] id 7 len 15 
35.
013060: *May 23 14:40:11.434: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
36.
013061: *May 23 14:40:11.434: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
37.
013062: *May 23 14:40:13.450: ppp24 LCP: Timeout: State REQsent 
38.
013063: *May 23 14:40:13.450: ppp24 LCP: O CONFREQ [REQsent] id 8 len 15 
39.
013064: *May 23 14:40:13.450: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
40.
013065: *May 23 14:40:13.450: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
41.
013066: *May 23 14:40:15.466: ppp24 LCP: Timeout: State REQsent 
42.
013067: *May 23 14:40:15.466: ppp24 LCP: O CONFREQ [REQsent] id 9 len 15 
43.
013068: *May 23 14:40:15.466: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
44.
013069: *May 23 14:40:15.466: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
45.
013070: *May 23 14:40:17.482: ppp24 LCP: Timeout: State REQsent 
46.
013071: *May 23 14:40:17.482: ppp24 LCP: O CONFREQ [REQsent] id 10 len 15 
47.
013072: *May 23 14:40:17.482: ppp24 LCP:    AuthProto MS-CHAP-V2 (0x0305C22381) 
48.
013073: *May 23 14:40:17.482: ppp24 LCP:    MagicNumber 0x1FA69738 (0x05061FA69738) 
49.
013075: *May 23 14:40:19.498: ppp24 LCP: Timeout: State REQsent 
50.
013076: *May 23 14:40:19.498: ppp24 LCP: O TERMREQ [REQsent] id 10 len 4 
51.
013077: *May 23 14:40:19.498: ppp24 PPP: Phase is TERMINATING 
52.
013078: *May 23 14:40:19.498: ppp24 LCP: State is Listen 
53.
013079: *May 23 14:40:19.498: ppp24 PPP: Sending Acct Event[Down] id[1D] 
54.
013080: *May 23 14:40:19.498: ppp24 LCP: State is Closed 
55.
013081: *May 23 14:40:19.498: ppp24 PPP: Phase is DOWN 
56.
013082: *May 23 14:40:19.498: ppp24 PPP: Send Message[Disconnect] ^^
Und hier die betreffenden Configteile:
01.
vpdn enable 
02.
03.
vpdn-group 1 
04.
 accept-dialin 
05.
  protocol pptp 
06.
  virtual-template 1 
07.
08.
interface FastEthernet0 
09.
 description $ETH-LAN$$FW_INSIDE$ 
10.
 ip address 192.168.100.111 255.255.255.0 
11.
 ip access-group 102 in 
12.
 no ip redirects 
13.
 no ip unreachables 
14.
 no ip proxy-arp 
15.
 ip nat inside 
16.
 ip virtual-reassembly 
17.
 ip route-cache flow 
18.
 speed auto 
19.
 full-duplex 
20.
 no cdp enable 
21.
22.
interface FastEthernet1 
23.
 description $ETH-WAN$$FW_OUTSIDE$ 
24.
 ip address xx.xx.xx.xx 255.255.255.252 
25.
 ip access-group 103 in 
26.
 ip verify unicast reverse-path 
27.
 no ip redirects 
28.
 no ip unreachables 
29.
 no ip proxy-arp 
30.
 ip nat outside 
31.
 ip inspect SDM_LOW out 
32.
 ip virtual-reassembly 
33.
 ip route-cache flow 
34.
 duplex auto 
35.
 speed auto 
36.
 no cdp enable 
37.
38.
interface Virtual-Template1 
39.
 ip unnumbered FastEthernet0 
40.
 ip mroute-cache 
41.
 peer default ip address pool DIAL-IN 
42.
 no keepalive 
43.
 ppp encrypt mppe 128 required 
44.
 ppp authentication ms-chap-v2 
45.
46.
ip local pool DIAL-IN 192.168.100.180 192.168.100.185 ^^
Ich hoffe Ihr könnt mir helfen...
Mitglied: aqui
23.05.2013, aktualisiert um 19:03 Uhr
Ohne deine Access List 103 zu kennen ist ein Troubleshooting nicht einfach !
Vermutlich blockt die entweder das GRE Protokoll oder TCP 1723 oder beides ?!
Oder...du hast den IP Pool doppelt im lokalen LAN vergeben ?!
Oder oder...
Hier findest du eine lauffähige Konfiguration zum Abtippen:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Bitte warten ..
Mitglied: ozer
24.05.2013, aktualisiert um 08:51 Uhr
Hallo Aqui,

vielen Dank für die Antwort.

Anbei meine ACL 103
access-list 103 permit udp host 80.69.100.174 eq domain host xx.xx.xx.xx
access-list 103 permit udp host 8.8.8.8 eq domain host xx.xx.xx.xx
access-list 103 deny ip 192.168.100.0 0.0.0.255 any
access-list 103 permit gre any any
access-list 103 permit tcp any any eq 1723
access-list 103 permit icmp any host xx.xx.xx.xx echo-reply
access-list 103 permit icmp any host xx.xx.xx.xx time-exceeded
access-list 103 permit icmp any host xx.xx.xx.xx unreachable
access-list 103 deny ip 10.0.0.0 0.255.255.255 any
access-list 103 deny ip 172.16.0.0 0.15.255.255 any
access-list 103 deny ip 192.168.0.0 0.0.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip host 0.0.0.0 any
access-list 103 deny ip any any log


GRE und 1723 lasse ich durch, wie man sieht. IP ist auch nicht doppelt. Von intern nach intern klappts ja.
Was vermutlich noch ganz interessant ist: Der Fehler kommt erst wenn beim CLient steht: Benutzername und Kennwort werden verifiziert.
Deine Anleitung habe ich mir natürlich vor dem posten bereits angeguckt

Testweise hatte ich auch die ACL103 und 102 aus den beiden INterfaces rausgenommen. Selbes Ergebnis.

EDIT:
Habe auch mal den radius raus und einen lokalen Benutzer auf der Cisco eingerichtet. Selbes Ergebnis.
Bitte warten ..
Mitglied: aqui
24.05.2013, aktualisiert um 10:29 Uhr
Nach dem Cisco Debug Output zu urteilen liegt es auch klar am Client !!
Der Cisco sendet ja ein Config Request an den Client (O=Outbound=Raussenden). Dann wartet er immer 3 Sekunden (Seine Timeout Zeit) auf die Antwort des Clients und reportet dann ein "Timeout: State REQsent".
Fazit: Er bekommt kein Acknowledge vom Client ! Wenn du das mal mit einem Wireshark mitsnifferst wirst du das auch sehen.
Kann es sein das hier irgendeine lokale Firewall am Client dir Probleme macht oder eine Miskonfiguration des Clients ?
Bitte warten ..
Mitglied: ozer
24.05.2013, aktualisiert um 14:01 Uhr
Muss ich mir gleich mal anschauen. Sag mal muss ich nicht auch für VPN ein ip inspect erstellen???

Kein IP Inspect nötig. Hätte mir die Frage eigentlich auch selber beantworten können ;)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
PPTP-VPN Abbruch nach 20 Sekunden (13)

Frage von Otomombe zum Thema Windows Netzwerk ...

Windows 10
VPN funktioniert mit Win10 nicht, mit Win 7 schon? (11)

Frage von peter-g zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...