7
VPN auf einmal Fehler 800 ohne das etwas verändert wurde
VPN Verbindung wird nicht mehr aufgebaut (Fehler 800) obwohl nichts verändert wurde
Hallo
Eine VPN (PPTP) Verbindung auf einen Vigor Router lief mehrere Monate und auf einen schlag ist keine Verbindung mehr möglich (Es kommt immer Fehler 800).
Das Merkwürdige ist das keine Veränderung meinerseits passiert ist.
Kann sich ein Treiber (z.b. fürs PPTP) aufgehangen haben und kann man diesen neu Installieren ?
Es handelt sich um XP Prof, bei Vista habe ich gelesen das man 2 Treiber per Netcfg neu aufspielen soll, allerdings gibts diesen Befehl in XP nicht.
Eventuell hat jemand Ideen ?
Danke
Gruß
Rico
Eine VPN (PPTP) Verbindung auf einen Vigor Router lief mehrere Monate und auf einen schlag ist keine Verbindung mehr möglich (Es kommt immer Fehler 800).
Das Merkwürdige ist das keine Veränderung meinerseits passiert ist.
Kann sich ein Treiber (z.b. fürs PPTP) aufgehangen haben und kann man diesen neu Installieren ?
Es handelt sich um XP Prof, bei Vista habe ich gelesen das man 2 Treiber per Netcfg neu aufspielen soll, allerdings gibts diesen Befehl in XP nicht.
Eventuell hat jemand Ideen ?
Danke
Gruß
Rico
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151274
Url: https://administrator.de/contentid/151274
Printed on: April 25, 2024 at 09:04 o'clock
7 Comments
Latest comment
Na ja das schreiben alle das nix verändert wurde und meistens stimmt es nicht, denn Computer, Router usw. können sich nicht von Geisterhand selber verändern, das ist dir vermutlich auch klar. (Obwohl bei Winblows ist man sich da nicht so ganz sicher...)
Das sagt die MS Knowledgebase: http://support.microsoft.com/kb/319108/de
Aktiviere bei deinem Vigor den Syslog Dienst und lass die Router Log Meldungen auf einem lokalen Syslog Server laufen wie z.B. den freien Kiwi Syslog
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder den Syslog Server von Microtik:
http://www.mikrotik.com/download/MT_Syslog.exe
Doku:
http://www.mikrotik.com/documentation/SyslogManual.html
Dann siehst du sofort wo das Problem ist.
Auf alle Fälle solltest du ebenfalls die Router Firmware auf den allerneuesten Stand bringen:
http://www.draytek.de/Downloads.htm
Das sagt die MS Knowledgebase: http://support.microsoft.com/kb/319108/de
Aktiviere bei deinem Vigor den Syslog Dienst und lass die Router Log Meldungen auf einem lokalen Syslog Server laufen wie z.B. den freien Kiwi Syslog
http://www.kiwisyslog.com/kiwi-syslog-server-overview/
oder den Syslog Server von Microtik:
http://www.mikrotik.com/download/MT_Syslog.exe
Doku:
http://www.mikrotik.com/documentation/SyslogManual.html
Dann siehst du sofort wo das Problem ist.
Auf alle Fälle solltest du ebenfalls die Router Firmware auf den allerneuesten Stand bringen:
http://www.draytek.de/Downloads.htm
Also ich habe jetzt eine Weile Rumprobiert.
Also das Syslog zeigt mir nichts an, keinerlei eingehende Verbindung.
Aus dem Lokalen Netz kann ich ohne Probleme verbinden, sobald ich dort die Wan IP nutze gehts auch dort nichtmehr, also gehe ich davon aus das der Vigor zu macht.
Wenn ich mit der Lan to Lan Funktion andersrum vorgehe kommt die verbindung zu stande, also auf dem XP Client eine Eingehende verbindung zugelassen und vom Vigor aus angewählt, das fuktioniert ohne Probleme, kann untereinander im Tunnel Pingen, nur bekomme aus dem Router raus keine Verbindung ins Netzwerk.
Also nochmal: am Vigor Router wurde vorher nichts geändert, jetzt kommt keine Verbindung mehr zu stande (Fehler 769 wenn PPTP ausgewählt wurde, 800 bei Automatisch), andersrum Funktioniert es.
Nur habe ich das Problem das irgendwie die Routing einträge auf der Routerseite nicht funktionieren.
Beim normalen VPN wo sich der Client einwählt war es ja nicht nötig, da dieser automatisch eine Netzinterne IP hatte und somit wie ein Netzwerk Computer gehandelt wurde.
IP´s
Eingehende Verbindung Client 192.168.2.40
Client 192.168.2.3
Ausgehende Verbindung Vigor 192.168.178.50
Also hatte ich auf dem Client 192.168.178.0 mask 255.255.255.0 1492.168.2.40
Funktioniert auch, ich kann auf 192.168.178.50 durch den Tunnel Pingen
Auf einem Client auf der anderen Seite hatte ich probiert
192.168.2.0 mask 255.255.255.0 192.168.178.50
Und auf dem Vigor das gleiche.
Nur kann der Client nur bis zum Gateway also 192.168.178.50 Pingen und nicht durch den Tunnel, also geht es andersrum auch nicht nach dem Tunnel.
Eigentlich währe es nur Pfusch wenn ich das so mache das ich den Vigor eine Verbindung auf den Client machen lasse, nur frage ich mich wie es sein kann das Ausgehender Tunnel klappt, aber eingehender Tunnel nicht mehr ?
Sonst habe ich eben noch ein Problem mit den Routing Tables
Also das Syslog zeigt mir nichts an, keinerlei eingehende Verbindung.
Aus dem Lokalen Netz kann ich ohne Probleme verbinden, sobald ich dort die Wan IP nutze gehts auch dort nichtmehr, also gehe ich davon aus das der Vigor zu macht.
Wenn ich mit der Lan to Lan Funktion andersrum vorgehe kommt die verbindung zu stande, also auf dem XP Client eine Eingehende verbindung zugelassen und vom Vigor aus angewählt, das fuktioniert ohne Probleme, kann untereinander im Tunnel Pingen, nur bekomme aus dem Router raus keine Verbindung ins Netzwerk.
Also nochmal: am Vigor Router wurde vorher nichts geändert, jetzt kommt keine Verbindung mehr zu stande (Fehler 769 wenn PPTP ausgewählt wurde, 800 bei Automatisch), andersrum Funktioniert es.
Nur habe ich das Problem das irgendwie die Routing einträge auf der Routerseite nicht funktionieren.
Beim normalen VPN wo sich der Client einwählt war es ja nicht nötig, da dieser automatisch eine Netzinterne IP hatte und somit wie ein Netzwerk Computer gehandelt wurde.
IP´s
Eingehende Verbindung Client 192.168.2.40
Client 192.168.2.3
Ausgehende Verbindung Vigor 192.168.178.50
Also hatte ich auf dem Client 192.168.178.0 mask 255.255.255.0 1492.168.2.40
Funktioniert auch, ich kann auf 192.168.178.50 durch den Tunnel Pingen
Auf einem Client auf der anderen Seite hatte ich probiert
192.168.2.0 mask 255.255.255.0 192.168.178.50
Und auf dem Vigor das gleiche.
Nur kann der Client nur bis zum Gateway also 192.168.178.50 Pingen und nicht durch den Tunnel, also geht es andersrum auch nicht nach dem Tunnel.
Eigentlich währe es nur Pfusch wenn ich das so mache das ich den Vigor eine Verbindung auf den Client machen lasse, nur frage ich mich wie es sein kann das Ausgehender Tunnel klappt, aber eingehender Tunnel nicht mehr ?
Sonst habe ich eben noch ein Problem mit den Routing Tables
Erstmal musst du dich entscheiden WAS du nun genau machen willst:
Statische Routen oder sowas benötigst du in so einem banalen Szenario de facto NICHT, denn das machen die Router alles dynmaisch bzw. müssen sie nicht machen, da die IP Netze immer direkt an sie angeschlossen sind !
Deine Bemerkung oben: "...Also das Syslog zeigt mir nichts an, keinerlei eingehende Verbindung." hört sich generell schon mal nicht gut an denn das bedeutet das am Router überhaupt gar keine PPTP Pakete vom Client ankommen !!!
Da kann denn auch der tollste Router der Welt nichts mehr machen, denn selcher PPTP Pakete kann er sich nicht schnitzen.
Entweder filtert dein provider dann also GRE (IP Protokoll 47) Pakete oder dein Router hat eine Filterliste auf GRE oder TCP 1723 am WAN Port und lässt diese nicht durch, was in der Regel bei einer standard PPTP Konfig am Vigor nicht der Fall ist !
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Wie die Clients einzustellen sind kannst du hier nachlesen:
VPNs einrichten mit PPTP
- a.) Eine LAN zu LAN Kopplung 2er Netze über den Vigor
- b.) Eine VPN Einwahl remoter Clients
- c.) beides
Statische Routen oder sowas benötigst du in so einem banalen Szenario de facto NICHT, denn das machen die Router alles dynmaisch bzw. müssen sie nicht machen, da die IP Netze immer direkt an sie angeschlossen sind !
Deine Bemerkung oben: "...Also das Syslog zeigt mir nichts an, keinerlei eingehende Verbindung." hört sich generell schon mal nicht gut an denn das bedeutet das am Router überhaupt gar keine PPTP Pakete vom Client ankommen !!!
Da kann denn auch der tollste Router der Welt nichts mehr machen, denn selcher PPTP Pakete kann er sich nicht schnitzen.
Entweder filtert dein provider dann also GRE (IP Protokoll 47) Pakete oder dein Router hat eine Filterliste auf GRE oder TCP 1723 am WAN Port und lässt diese nicht durch, was in der Regel bei einer standard PPTP Konfig am Vigor nicht der Fall ist !
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
Wie die Clients einzustellen sind kannst du hier nachlesen:
VPNs einrichten mit PPTP
Also erstmal danke für deine schnelle Antwort (wiedermal)
Ich möchte eine Funktionierende Netzwerklösung dafür:
1 Hauptfiliale mit Vigor Router, kleiner "Server" 10 Clients
1 Nebenfiliale mit 1 Client der Verbindung in die Hauptfiliale benötigt und Speedport Router
Alle Rechner sollen sich unternander Verbinden können / Netzlaufwerke + Drucker
Eine VPN Teleworker Einwahl war für mich die Ideale Lösung weil man dort hätte noch weitere z.b. Laptops einbinden können, allerdings funktioniert diese wie bereits gesagt seit 2 Wochen nicht mehr (zur Zeit nutze ich Hamachi als Notlösung, so das der Client der Nebenfiliale wenigstens Arbeitsfähig ist).
Aber für die Dauer ist das ja nichts.
Also war mein erster Lösungsansatz die Reparatur der Teleworker Einwahl.
Wobei ich 20 mal alle Einstellungen überprüft habe und alle Port Freigegeben habe (Gre 47 + TCP / UDP 1723) ohwohl das vorher nur im Speedport nötig war.
Dann habe ich Probiert was passiert wenn ich den Client eingehende Verbindungen akzeptieren lasse und den Vigor "wählen" lasse und siehe da sorum gibt es keine Probleme und der Tunnel stand beim ersten Anlauf.
Nur kann ich da von keinem Client einen anderen Anpingen, wie geschrieben von der Nebenfiliale komm ich durch den Tunnel bis zum VPN Gateway des Vigor und dann ist schluss, von der anderen Seite komm ich auch nur bis zum Vigor.
Fazit
Am liebsten währe mir wenn der Teleworker zugang wieder funktionieren würde, allerdings fällt mir nichts mehr ein, per Telnet ist der Port 1723 vom Intranet aus offen, vom Internet aus keine Verbindung, also gehe ich davon auß das der Vigor den Port 1723 Blockt, obwohl es früher ohne freigabe ging und ich jetzt den Port 1723 für die Router IP geöffnet habe.
Und das es am ISP liegt kann ich mir auch nicht Vorstellen, da es von einer Seite aus Funktioniert, von der anderen leider nicht
Ich möchte eine Funktionierende Netzwerklösung dafür:
1 Hauptfiliale mit Vigor Router, kleiner "Server" 10 Clients
1 Nebenfiliale mit 1 Client der Verbindung in die Hauptfiliale benötigt und Speedport Router
Alle Rechner sollen sich unternander Verbinden können / Netzlaufwerke + Drucker
Eine VPN Teleworker Einwahl war für mich die Ideale Lösung weil man dort hätte noch weitere z.b. Laptops einbinden können, allerdings funktioniert diese wie bereits gesagt seit 2 Wochen nicht mehr (zur Zeit nutze ich Hamachi als Notlösung, so das der Client der Nebenfiliale wenigstens Arbeitsfähig ist).
Aber für die Dauer ist das ja nichts.
Also war mein erster Lösungsansatz die Reparatur der Teleworker Einwahl.
Wobei ich 20 mal alle Einstellungen überprüft habe und alle Port Freigegeben habe (Gre 47 + TCP / UDP 1723) ohwohl das vorher nur im Speedport nötig war.
Dann habe ich Probiert was passiert wenn ich den Client eingehende Verbindungen akzeptieren lasse und den Vigor "wählen" lasse und siehe da sorum gibt es keine Probleme und der Tunnel stand beim ersten Anlauf.
Nur kann ich da von keinem Client einen anderen Anpingen, wie geschrieben von der Nebenfiliale komm ich durch den Tunnel bis zum VPN Gateway des Vigor und dann ist schluss, von der anderen Seite komm ich auch nur bis zum Vigor.
Fazit
Am liebsten währe mir wenn der Teleworker zugang wieder funktionieren würde, allerdings fällt mir nichts mehr ein, per Telnet ist der Port 1723 vom Intranet aus offen, vom Internet aus keine Verbindung, also gehe ich davon auß das der Vigor den Port 1723 Blockt, obwohl es früher ohne freigabe ging und ich jetzt den Port 1723 für die Router IP geöffnet habe.
Und das es am ISP liegt kann ich mir auch nicht Vorstellen, da es von einer Seite aus Funktioniert, von der anderen leider nicht
Der Teleworker Zugang ist definitiv der falsche Ansatz hier. Machbar, besser ist aber ein LAN zu LAN Kopplung beider Netze, denn dann sind die Netze transparent über Routing erreichbar.
Teleworker ist auch denkbar aber der Client ist ja nicht mobil in wechselnden Netzen so ist die LAN zu LAN Kopplung besser.
Damit sollte es eigentlich klappen.
Wenn du bei beiden Verfahren keine eingehenden PPTP Pakete siehst (Syslog) und du eine Fehlkonfiguration ausschliessen kannst, dann filtert dein Provider vermutlich PPTP GRE Pakete. Ist bei einem Business Anschluss nicht unüblich, denn dort lassen sich Provider VPN Support meist zusätzlich bezahlen !
Bevor du dir also einen Wolf suchst kläre das vorab !!
Hamachi ist mit Vorsicht zu geniessen. Das ist ein Consumer VPN hauptsächlich für Spieler. Dort rennt alles über einen zentralen Server. Sicherheitstechnisch ist sowas aus Firmensicht eigentlich ein absolutes no go bei VPNs !!
Was meinst du mit es funktioniert auf einer Seite ??? Wenn, dann wählst du dich doch NUR auf der Hauptfiliale ein wenn du einen Teleworker Zugang hast !
Das Argument ist irgendwie unverständlich !
Teleworker ist auch denkbar aber der Client ist ja nicht mobil in wechselnden Netzen so ist die LAN zu LAN Kopplung besser.
Damit sollte es eigentlich klappen.
Wenn du bei beiden Verfahren keine eingehenden PPTP Pakete siehst (Syslog) und du eine Fehlkonfiguration ausschliessen kannst, dann filtert dein Provider vermutlich PPTP GRE Pakete. Ist bei einem Business Anschluss nicht unüblich, denn dort lassen sich Provider VPN Support meist zusätzlich bezahlen !
Bevor du dir also einen Wolf suchst kläre das vorab !!
Hamachi ist mit Vorsicht zu geniessen. Das ist ein Consumer VPN hauptsächlich für Spieler. Dort rennt alles über einen zentralen Server. Sicherheitstechnisch ist sowas aus Firmensicht eigentlich ein absolutes no go bei VPNs !!
Was meinst du mit es funktioniert auf einer Seite ??? Wenn, dann wählst du dich doch NUR auf der Hauptfiliale ein wenn du einen Teleworker Zugang hast !
Das Argument ist irgendwie unverständlich !
Das Hamachi ein No Go ist. ist mir klar, aber besser als nicht Arbeitsfähig, es handelt sich bei diesem Netzwerk nicht um Exestenzielle Daten, aber es soll nicht so bleiben.
Also ich versuche es nochmal etwas schlüssiger zu schreiben:
Client 1 aus Nebenfiliale versucht über XP VPN Wahlverbindung bzw Smart VPN Client,.. auf den Vigor per PPTP zu Connecten, keinerlei Meldungen im Syslog nichtmal eine Anfrage wo die IP des Client auftauchen würde.
Also Funktioniert nicht
Versuch mit Client intern in der Hauptfiliale auf den Vigor zu Connecten = Funktioniert, sobald dort die Dyndns Adresse eingetragen wird kommt es zu keiner Verbindung mehr.
Client 1 in Nebenfiliale eingerichtet um Eingehende Verbindungen anzunehmen, Vigor per Lan to Lan ausgehende Verbindung starten lassen, sofort Verbunden.
Also habe ich nicht 2 Router verbunden sondern den Vigor Router als Client und den Client 1 der Nebenfiliale als Server.
Schlussfolgerung:
PPTP Pakete werden vom ISP nicht Gefiltert, sonst würde diese Variante nicht gehen.
Pakete werden vom Speedport vom Internet zum Client 1 durchgelassen
VPN Server des Vigor ist aus dem Intranet erreichbar
VPN Server des Vigor ist aus dem Internet nicht Erreichbar
Test VPN Server des Client 1 Nebenfiliale ist aus dem Internet erreichbar, also geh ich davon aus das auch der Client arbeiten könnte.
Es bleib meinr Meinung nach nur eine Stelle, der Vigor Router, aber was soll damit sein.
Und bei der Lan to Lan Veriante habe ich wie gesagt das Problem das das Routing zwischen den Subneten nicht Funktioniert.
Ach ich krieg noch die Kriese
Also ich versuche es nochmal etwas schlüssiger zu schreiben:
Client 1 aus Nebenfiliale versucht über XP VPN Wahlverbindung bzw Smart VPN Client,.. auf den Vigor per PPTP zu Connecten, keinerlei Meldungen im Syslog nichtmal eine Anfrage wo die IP des Client auftauchen würde.
Also Funktioniert nicht
Versuch mit Client intern in der Hauptfiliale auf den Vigor zu Connecten = Funktioniert, sobald dort die Dyndns Adresse eingetragen wird kommt es zu keiner Verbindung mehr.
Client 1 in Nebenfiliale eingerichtet um Eingehende Verbindungen anzunehmen, Vigor per Lan to Lan ausgehende Verbindung starten lassen, sofort Verbunden.
Also habe ich nicht 2 Router verbunden sondern den Vigor Router als Client und den Client 1 der Nebenfiliale als Server.
Schlussfolgerung:
PPTP Pakete werden vom ISP nicht Gefiltert, sonst würde diese Variante nicht gehen.
Pakete werden vom Speedport vom Internet zum Client 1 durchgelassen
VPN Server des Vigor ist aus dem Intranet erreichbar
VPN Server des Vigor ist aus dem Internet nicht Erreichbar
Test VPN Server des Client 1 Nebenfiliale ist aus dem Internet erreichbar, also geh ich davon aus das auch der Client arbeiten könnte.
Es bleib meinr Meinung nach nur eine Stelle, der Vigor Router, aber was soll damit sein.
Und bei der Lan to Lan Veriante habe ich wie gesagt das Problem das das Routing zwischen den Subneten nicht Funktioniert.
Ach ich krieg noch die Kriese
Ich hasse es ja in ältere Threads reinzuschreiben, aber dennoch: Hast das Problem inzwischen gelöst? Bei mir hier sieht es ähnlich aus - bisher alles einwandfrei funktioniert, plötzlich Fehler 769/800. Allerdings funktioniert mein site-to-site VPN weiterhin. Nur die VPN Einwahl nicht...
