129277
Goto Top

Verbindung mit VPN-Verbindung nicht möglich

Schaffe es nach wie vor nicht einen VPN Tunnel aufzubauen. Nach Vorschlag im Administrator Forum habe
ich die "SoftEther" Entwicklung installiert und quäle mich durch. Habe ja schon viel bewerkstelligt mit Computern aber hier habe ich mich völlig "aufgehängt".

Erhalte jetzt immer die Meldung ein paar Sekunden nach dem VPN-Verbindungsversuch am Client:
"""Eine Zertifikatkette wurde zwar verarbeitet, endet jedoch mit einem Stammzertifikat das beim Vertrauensanbieter nicht als vertrauenswürdig gilt.""

Ausgangslage: Server (SoftEther Server Software installiert) und Client (Windows eigene VPN Client Software in Verweundung) auf beiden Rechnern läuft Windows 10 Prof.

Habe jetzt die “Dynamic DNS function” deaktiviert weil wir eh eine fixe offizielle IP v4 haben.
Als VPN Type is “Secure Socket Tunneling Protokoll (SSTP) ausgewählt (weils angelblich so leicht geht, ha ha).
Habe nirgends was gefunden, dass ich da ein bestimmtes Protokoll am NAT Router brauche für das SSTP, stimmt das?

Der VPN Pfad verläuft so: Client von außen über Internet > auf Pirelli NAT Router mit Portforwardung für 4 TCP ports 443, 992, 1194, 5555 > auf die interne IP des VPN Servers, der dahinter steht.
Bei den Eigenschaften der VPN Verbindung am Client ist unter "Sicherheit" nichts aktiviert außer VPN Typ (SSTP)
Nicht der Punkt Datenverschlüsselung, nicht die Atuehtifizierung und nicht folgende Protokolle zulassen wie zB. unverschl Kennw. (PAP; Challenge Handshake Auth........ (CHAP), nicht Microsoft CHAP Version 2 oder so.
Muss ich da bei den Protokollen was aktivieren???

Danke im voraus:
PS: Ersuche euch hier im Forum, da im SoftEther Forum die Unterstützung schlecht bis gar net rennt, obwohl mei Englisch sicher net schlecht is.

Content-Key: 309117

Url: https://administrator.de/contentid/309117

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Vision2015
Vision2015 06.07.2016 um 21:07:29 Uhr
Goto Top
Mitglied: aqui
aqui 07.07.2016 um 10:56:08 Uhr
Goto Top
auf Pirelli NAT Router mit Portforwardung für 4 TCP ports 443, 992, 1194, 5555
Das ist gefährlicher Blödsinn diese Löcher in die Router Firewall zu bohren !!
TCP 443 = HTTPS und SSTP
TCP 992 = TELNET protocol over TLS/SSL = kein VPN !
1194 = OpenVPN Port = Machts du ja nicht da du SSTP machst !
5555 = Freeciv, Hewlett-Packard Data Protector, McAfee EndPoint Encryption Database Server, SAP, XCP = kein VPN !
Siehe: https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#600_.E2.8 ...

Mit anderen Worten: Bis auf TCP 443 ist dein Port Forwarding völliger Unsinn am Router. Schlimmer noch, es bohrt gefährliche und sinnfreie Löcher in die Firewall die du gar nicht nutzt und dein Netz angreifbar machen !!
Bis auf TCP 443 solltest du diese also besser wieder löschen.

Der Rest ist dann kinderleicht:
  • Der SSTP Server hinter der Router Firewall sollte keine Dynamische DHCP IP Adresse haben, sondern immer eine feste statische !
  • Logisch, denn das Port Forwarding des Routers zeigt auf diese IP Adresse und sollte die sich wg. DHCP mal ändern ists aus mit dem VPN !
  • Starte auf dem SSTP Server mal einen Wireshark Sniffer und checke ob SSTP (TCP 443) Pakete von außen sauber an dem Server ankommen. So kannst du sicherstellen das das Port Forwarding im Router sauber funktioniert !
Es ist gut möglich das der Router selber auf TCP 443 reagiert und sein GUI Setup startet. Dann gibt er keine SSTP Pakete weiter und das VPN scheitert. Hier musst du also zwingend den HTTPS Zugriff von extern deaktivieren im Router Setup !! Mal abgesehen davon sollte man das aus Sicherheitsgründen generell IMMER machen !!
  • 2te Falle: Ist der SSTP VPN Server eine Winblows Kiste kann dir hier die lokale Firewall einen Strick drehen. Denn die lässt im Default nur Pakete aus dem lokalen LAN Netz rein. Kommt also was von außen via Router blockt sie das !
Hier musst du also zusätzlich noch die lokale Firewall anpassen !

Wenn du diese 2 Punkte beachtest und snifferst bekommst du das in 10 Minuten zum Fliegen.
Ansonsten beschaff dir einen gescheiten VPN Router wo der Router selber gleich VPN Server ist oder noch besser:
Kauf dir einen kleinen Raspberry Pi ! in 10 Minuten hast du mit dem einen OpenVPN Server aufgesetzt und dein VPN am Laufen:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
bzw.:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Alles kein Hexenwerk und im Handumdrehen erledigt !