13
VPN L2TP IPSec zu einem Windows Server 2012 R2 bei Hoster
Hallo zusammen,
Folgendes Problem:
Ich habe bei eienem Hoster einen VServer gemietet auf dem Windows Server 2012 R2 läuft
Es soll ein VPN zwischen dem Server und meinem Heimnetzwerk aufgebaut werden.
Heimnetzwerk
Vigor 2820n (baut Verbindung zum Server auf)
Über PPTP kein Thema aber wenn ich L2TP nehme bekomme ich keine Verbindung
RAS ist Instaliert und die Firewall Regel für Routing und RAS sind auch Aktiv hat jemand eine Lösung?
Hier ist der Log vom Router:
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Dialing Node2 (Server) : 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Initiating IKE Main Mode to 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0
2014-11-12 17:45:59 Nov 12 17:45:23 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:00 Nov 12 17:45:24 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:02 Nov 12 17:45:26 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:06 Nov 12 17:45:30 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:14 Nov 12 17:45:38 DetekteiMagnet PPP Drop VPN : Dial-out Profile Index = 2, Name = Server
2014-11-12 17:46:14Nov 12 17:45:38 DetekteiMagnet [L2L][DOWN][L2TP][@2:Server]
Ich bedanke mich schon einmal im Voraus
Folgendes Problem:
Ich habe bei eienem Hoster einen VServer gemietet auf dem Windows Server 2012 R2 läuft
Es soll ein VPN zwischen dem Server und meinem Heimnetzwerk aufgebaut werden.
Heimnetzwerk
Vigor 2820n (baut Verbindung zum Server auf)
Über PPTP kein Thema aber wenn ich L2TP nehme bekomme ich keine Verbindung
RAS ist Instaliert und die Firewall Regel für Routing und RAS sind auch Aktiv hat jemand eine Lösung?
Hier ist der Log vom Router:
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Dialing Node2 (Server) : 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Initiating IKE Main Mode to 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0
2014-11-12 17:45:59 Nov 12 17:45:23 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:00 Nov 12 17:45:24 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:02 Nov 12 17:45:26 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:06 Nov 12 17:45:30 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:14 Nov 12 17:45:38 DetekteiMagnet PPP Drop VPN : Dial-out Profile Index = 2, Name = Server
2014-11-12 17:46:14Nov 12 17:45:38 DetekteiMagnet [L2L][DOWN][L2TP][@2:Server]
Ich bedanke mich schon einmal im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 254627
Url: https://administrator.de/contentid/254627
Printed on: April 25, 2024 at 04:04 o'clock
13 Comments
Latest comment
Hallo detektei-magnet,
hier fehlen uns noch diverse Infos deiner VPN-Konfiguration:
1. Welche Art L2TP/IPSec Verbindung wird verwendet : Mit Preshared Key oder mit Zertifikaten ?
2. Wurden im LAN2LAN Profil des Draytek die richtigen IPs hinterlegt und PFS deaktiviert, bei Preshared Key Konfiguration der richtige Key hinterlegt ?
3. Stimmen die IPSec Parameter für Phase 1 und 2 auf dem Server mit den vom Draytek unterstützten Verfahren überein (Siehe IPSec Einstellungen in der erweiterten Firewall) ?
Grüße @colinardo
hier fehlen uns noch diverse Infos deiner VPN-Konfiguration:
1. Welche Art L2TP/IPSec Verbindung wird verwendet : Mit Preshared Key oder mit Zertifikaten ?
2. Wurden im LAN2LAN Profil des Draytek die richtigen IPs hinterlegt und PFS deaktiviert, bei Preshared Key Konfiguration der richtige Key hinterlegt ?
3. Stimmen die IPSec Parameter für Phase 1 und 2 auf dem Server mit den vom Draytek unterstützten Verfahren überein (Siehe IPSec Einstellungen in der erweiterten Firewall) ?
Grüße @colinardo
Hallo colinardo,
Ich habe es nun hinbekommen und habe eine Verbindung.
Nun hab ich das problem das der Draytek den Server pingen kann und der Server den Draytek aber mein PC der ab Draytek hängt kommt nicht zum server und der Server nicht zum Rechner.
Der draytek schreibt sich selbst die Route rein wenn ich das netz angebe was dahinter hängt aber ich komme trotzdem nicht zum Server.
hast du da eine Idee was das sein kann
vielen dank für deine hilfe
Ich habe es nun hinbekommen und habe eine Verbindung.
Nun hab ich das problem das der Draytek den Server pingen kann und der Server den Draytek aber mein PC der ab Draytek hängt kommt nicht zum server und der Server nicht zum Rechner.
Der draytek schreibt sich selbst die Route rein wenn ich das netz angebe was dahinter hängt aber ich komme trotzdem nicht zum Server.
hast du da eine Idee was das sein kann
vielen dank für deine hilfe
klar die Probleme kommen hier täglich rein 
, wenn du deine Verbindung auf dem Server nicht NATest musst du auf der Server-Seite entsprechende statische Routen für das jeweilige fremde Subnetz anlegen, zusätzlich müssen auf den Rechnern in der Firewall ICMP Requests von fremden Subnetzen erlaubt werden, damit Pings überhaupt durchkommen !
Mehr dazu kannst du hier nachlesen:
VPN Einrchtung unter Windows Server 2012
, wenn du deine Verbindung auf dem Server nicht NATest musst du auf der Server-Seite entsprechende statische Routen für das jeweilige fremde Subnetz anlegen, zusätzlich müssen auf den Rechnern in der Firewall ICMP Requests von fremden Subnetzen erlaubt werden, damit Pings überhaupt durchkommen !Mehr dazu kannst du hier nachlesen:
VPN Einrchtung unter Windows Server 2012
1
Hallo Colinardo,
Ich habe jetzt einmal bei mir geschaut
in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.
NAT habe ich unter IPv4 auch die Ethernet0 aktiviert aber es will nicht gelingen.
Hast du da noch eine Idee was es noch sein könnte.
Gruß André
Ich habe jetzt einmal bei mir geschaut
in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.
NAT habe ich unter IPv4 auch die Ethernet0 aktiviert aber es will nicht gelingen.
Hast du da noch eine Idee was es noch sein könnte.
Gruß André
Zitat von @detektei-magnet:
in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.
Aktiv ist die sicherlich, jedoch in den Einstellungen musst du die Bereiche prüfen von denen "Requests" erlaubt sind.in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.
NAT habe ich unter IPv4 auch die Ethernet0 aktiviert aber es will nicht gelingen.
welche IP-Adresse versuchst du den anzupingen? Du musst dem VPN ein eigenes Subnetz verpassen, da du ja nur eine einzige IP-Adresse von deinem Hoster für den Server bekommen hast: Routing und RAS > Kontextmenü > Eigenschaften > IPv4 > IPv4 Adresszuweisung > Statischen Adresspool. Dieses Subnetz musst du auch auf dem Vigor angeben, das dieser die entsprechende Route für das Zielnetz hat.Anpingen tust du dann die Serveradresse aus diesem statischen Adresspool.
Routing Grundlagen
Grüße Uwe
Hallo Uwe
Ich habe im Router folgende Config
Remote Network IP 192.168.2.0
Remote Network Mask 255.255.255.0
Local Network IP 192.168.1.1
Local Network Mask 255.255.255.0
Windows Server 2012 R2
IPv4
192.168.2.1 - 192.168.2.254
255.255.255.0
NAT Die Ethernet Karte aktiv
Wenn ich die Ip prüfe auf dem server über CMD ipconfig
Bekomme ich 192.168.2.1 255.255.255.0 angezeigt
Wo muss ich beim Server das noch eintragen
Gruß André
Ich habe im Router folgende Config
Remote Network IP 192.168.2.0
Remote Network Mask 255.255.255.0
Local Network IP 192.168.1.1
Local Network Mask 255.255.255.0
Windows Server 2012 R2
IPv4
192.168.2.1 - 192.168.2.254
255.255.255.0
NAT Die Ethernet Karte aktiv
Wenn ich die Ip prüfe auf dem server über CMD ipconfig
Bekomme ich 192.168.2.1 255.255.255.0 angezeigt
Wo muss ich beim Server das noch eintragen
Gruß André
dann solltest du die
Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
-edit- was hast du hier auf dem Draytek in deinem VPN-Profil konfiguriert ?
192.168.2.1 schon anpingen können (diese IP nutzt du dann auch in deinem LAN für den Zugriff auf den Server), wenn du die Firewall ICMP-Regel auf dem Server nach meiner Vorgabe konfiguriert hast.Routing zwischen 2 Subnetzen über einen Cisco Router (1800er Series)
-edit- was hast du hier auf dem Draytek in deinem VPN-Profil konfiguriert ?
- Wenn du hier Routest musst du auf deinem Server eine statische Route im ROUTING und RAS zurück in dein LAN anlegen.
- Wenn du hier stattdessen NATest ist dies nicht nötig.
Hallo Uwe,
- Im Router ist im VPN Tunnel alles eingetragen auch auf Route gestellt
- Im RAS habe ich auch den IP bereich vergeben Server hat die 192.168.2.1
- Router kann den Server auf 192.168.2.1 pingen PC im lan aber nicht!
- Server kann den Router auf 192.168.2.2 Pingen.
mehr geht dann aber auch nicht
Wenn in der Firewall was falsch wäre dürfte dies doch eigendlich schon nich gehen oder sehe ich das falsch
Gruß André
- Im Router ist im VPN Tunnel alles eingetragen auch auf Route gestellt
- Im RAS habe ich auch den IP bereich vergeben Server hat die 192.168.2.1
- Router kann den Server auf 192.168.2.1 pingen PC im lan aber nicht!
- Server kann den Router auf 192.168.2.2 Pingen.
mehr geht dann aber auch nicht
Wenn in der Firewall was falsch wäre dürfte dies doch eigendlich schon nich gehen oder sehe ich das falsch
Gruß André
siehe oben
Wenn du hier Routest musst du auf deinem Server eine statische Route im ROUTING und RAS zurück in dein LAN anlegen.
ja die Statische route habe ich angegeben ich kann bei den Statischen routen nur Ethernet auswälen ist dies so richtig
Als Gateway habe ich dann die 192.168.2.2 genommen da er diese bei der einwahl bekommt
Als Gateway habe ich dann die 192.168.2.2 genommen da er diese bei der einwahl bekommt
geb die Route erst mal testweise auf der Konsole ein:
route add 192.168.1.0 MASK 255.255.255.0 192.168.2.2
so Route habe ich wie du geschriebn hast eingetragen aber leider ohne erfolg
Router Server klappt
Pinging 192.168.2.1 with 64 bytes of Data through WAN7:
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=50ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
PC ohne erfolg
Router Server klappt
Pinging 192.168.2.1 with 64 bytes of Data through WAN7:
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=50ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
PC ohne erfolg
Wenn in der Firewall was falsch wäre dürfte dies doch eigendlich schon nich gehen oder sehe ich das falsch
Das siehst du falsch, wenn man durchgängig routet steht als Absender IP immer die Originale IP des Absenders im IP-Paket. Wenn also z.B. der PC 192.168.1.10 ein Ping(ICMP) Request an 192.168.2.1 schickt, wird dieser diese Anfrage an sein Default GW schicken, welches der Draytek ist. Dieser kennt wiederum das 192.168.2.x Netz und leitet deshalb das Paket über das VPN an den Server mit der IP 192.168.2.1. Nun ist das Paket am Ziel, jedoch steht als Absenderadresse im Paket die 192.168.1.10 welches eben ein fremdes, dem Server unbekanntes Subnetz ist, deswegen weist er den Ping ab wenn man dieses Subnetz nicht in der Firewall-Regel freischaltet !! So kommt kein Antwort-Paket zum Absender zurück und der Ping ist fehlgeschlagen. Zusätzlich benötigt der Server die o.g. Route damit er überhaupt weiß wohin er das Antwortpaket zurückschicken soll.Die Firewall-Regeln müssen natürlich für beide Seiten vorgenommen werden !!
Das ganze ist beim NAT anders: Hier wird im Paket welches von der 192.168.1.10 kommt, die Absenderadresse durch die VPN-IP des Draytek ersetzt, und somit entfällt die Route, da das Paket ja dann von der 192.168.2.2 kommt.
Hoffe das war jetzt klar.
Wenn es mit dem Vigor nicht per Routing klappt musst du im Draytek für die Verbindung NAT auswählen, dann läuft das sofort von der LAN-Seite Richtung Server. In die andere Richtung, also Server -> LAN sind dann allerdings Portforwardings für den Zugriff auf bestimmt Rechner im LAN notwendig.
