Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN L2TP IPSec zu einem Windows Server 2012 R2 bei Hoster

Frage Microsoft Windows Server

Mitglied: detektei-magnet

detektei-magnet (Level 1) - Jetzt verbinden

12.11.2014, aktualisiert 14.11.2014, 2027 Aufrufe, 13 Kommentare, 1 Danke

Hallo zusammen,

Folgendes Problem:

Ich habe bei eienem Hoster einen VServer gemietet auf dem Windows Server 2012 R2 läuft

Es soll ein VPN zwischen dem Server und meinem Heimnetzwerk aufgebaut werden.

Heimnetzwerk
Vigor 2820n (baut Verbindung zum Server auf)

Über PPTP kein Thema aber wenn ich L2TP nehme bekomme ich keine Verbindung

RAS ist Instaliert und die Firewall Regel für Routing und RAS sind auch Aktiv hat jemand eine Lösung?

Hier ist der Log vom Router:

2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Dialing Node2 (Server) : 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet Initiating IKE Main Mode to 81.169.xxx.xxx
2014-11-12 17:45:46 Nov 12 17:45:11 DetekteiMagnet IKE ==>, Next Payload=ISAKMP_NEXT_SA, Exchange Type = 0x2, Message ID = 0x0
2014-11-12 17:45:59 Nov 12 17:45:23 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:00 Nov 12 17:45:24 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:02 Nov 12 17:45:26 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:06 Nov 12 17:45:30 DetekteiMagnet L2TP ==> Control(0xC802)-L-S Ver:2 Len:118, Tunnel ID:0, Session ID:0, Ns:0, Nr:0
2014-11-12 17:46:14 Nov 12 17:45:38 DetekteiMagnet PPP Drop VPN : Dial-out Profile Index = 2, Name = Server
2014-11-12 17:46:14Nov 12 17:45:38 DetekteiMagnet [L2L][DOWN][L2TP][@2:Server]

Ich bedanke mich schon einmal im Voraus

Mitglied: colinardo
12.11.2014, aktualisiert um 19:41 Uhr
Hallo detektei-magnet,

hier fehlen uns noch diverse Infos deiner VPN-Konfiguration:

1. Welche Art L2TP/IPSec Verbindung wird verwendet : Mit Preshared Key oder mit Zertifikaten ?

2. Wurden im LAN2LAN Profil des Draytek die richtigen IPs hinterlegt und PFS deaktiviert, bei Preshared Key Konfiguration der richtige Key hinterlegt ?

3. Stimmen die IPSec Parameter für Phase 1 und 2 auf dem Server mit den vom Draytek unterstützten Verfahren überein (Siehe IPSec Einstellungen in der erweiterten Firewall) ?

Grüße @colinardo
Bitte warten ..
Mitglied: detektei-magnet
12.11.2014 um 20:08 Uhr
Hallo colinardo,

Ich habe es nun hinbekommen und habe eine Verbindung.

Nun hab ich das problem das der Draytek den Server pingen kann und der Server den Draytek aber mein PC der ab Draytek hängt kommt nicht zum server und der Server nicht zum Rechner.

Der draytek schreibt sich selbst die Route rein wenn ich das netz angebe was dahinter hängt aber ich komme trotzdem nicht zum Server.

hast du da eine Idee was das sein kann

vielen dank für deine hilfe
Bitte warten ..
Mitglied: colinardo
12.11.2014, aktualisiert um 21:01 Uhr
klar die Probleme kommen hier täglich rein , wenn du deine Verbindung auf dem Server nicht NATest musst du auf der Server-Seite entsprechende statische Routen für das jeweilige fremde Subnetz anlegen, zusätzlich müssen auf den Rechnern in der Firewall ICMP Requests von fremden Subnetzen erlaubt werden, damit Pings überhaupt durchkommen !

Mehr dazu kannst du hier nachlesen:
http://www.administrator.de/contentid/245342#comment-940826
Bitte warten ..
Mitglied: detektei-magnet
13.11.2014 um 00:27 Uhr
Hallo Colinardo,

Ich habe jetzt einmal bei mir geschaut

in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.

NAT habe ich unter IPv4 auch die Ethernet0 aktiviert aber es will nicht gelingen.

Hast du da noch eine Idee was es noch sein könnte.


Gruß André
Bitte warten ..
Mitglied: colinardo
13.11.2014, aktualisiert 14.11.2014
Zitat von detektei-magnet:
in der Firewall ist die Regel bei mir bereits aktiv aber der Ping geht trotzdem nicht.
Aktiv ist die sicherlich, jedoch in den Einstellungen musst du die Bereiche prüfen von denen "Requests" erlaubt sind.
NAT habe ich unter IPv4 auch die Ethernet0 aktiviert aber es will nicht gelingen.
welche IP-Adresse versuchst du den anzupingen? Du musst dem VPN ein eigenes Subnetz verpassen, da du ja nur eine einzige IP-Adresse von deinem Hoster für den Server bekommen hast: Routing und RAS > Kontextmenü > Eigenschaften > IPv4 > IPv4 Adresszuweisung > Statischen Adresspool. Dieses Subnetz musst du auch auf dem Vigor angeben, das dieser die entsprechende Route für das Zielnetz hat.
Anpingen tust du dann die Serveradresse aus diesem statischen Adresspool.

Routing Grundlagen

Grüße Uwe
Bitte warten ..
Mitglied: detektei-magnet
14.11.2014 um 08:58 Uhr
Hallo Uwe

Ich habe im Router folgende Config

Remote Network IP 192.168.2.0
Remote Network Mask 255.255.255.0
Local Network IP 192.168.1.1
Local Network Mask 255.255.255.0

Windows Server 2012 R2
IPv4
192.168.2.1 - 192.168.2.254
255.255.255.0

NAT Die Ethernet Karte aktiv

Wenn ich die Ip prüfe auf dem server über CMD ipconfig

Bekomme ich 192.168.2.1 255.255.255.0 angezeigt

Wo muss ich beim Server das noch eintragen

Gruß André
Bitte warten ..
Mitglied: colinardo
14.11.2014, aktualisiert um 12:29 Uhr
Zitat von detektei-magnet:
Bekomme ich 192.168.2.1 255.255.255.0 angezeigt
dann solltest du die 192.168.2.1 schon anpingen können (diese IP nutzt du dann auch in deinem LAN für den Zugriff auf den Server), wenn du die Firewall ICMP-Regel auf dem Server nach meiner Vorgabe konfiguriert hast.
http://www.administrator.de/forum/routing-zwischen-2-subnetzen-%C3%BCbe ...

-edit- was hast du hier auf dem Draytek in deinem VPN-Profil konfiguriert ?

a1a9d4f3a001116f6cf13530e6ade027 - Klicke auf das Bild, um es zu vergrößern

  • Wenn du hier Routest musst du auf deinem Server eine statische Route im ROUTING und RAS zurück in dein LAN anlegen.
  • Wenn du hier stattdessen NATest ist dies nicht nötig.
Bitte warten ..
Mitglied: detektei-magnet
14.11.2014 um 21:36 Uhr
Hallo Uwe,

- Im Router ist im VPN Tunnel alles eingetragen auch auf Route gestellt

- Im RAS habe ich auch den IP bereich vergeben Server hat die 192.168.2.1

- Router kann den Server auf 192.168.2.1 pingen PC im lan aber nicht!

- Server kann den Router auf 192.168.2.2 Pingen.

mehr geht dann aber auch nicht

Wenn in der Firewall was falsch wäre dürfte dies doch eigendlich schon nich gehen oder sehe ich das falsch

Gruß André
Bitte warten ..
Mitglied: colinardo
14.11.2014 um 21:46 Uhr
siehe oben
Wenn du hier Routest musst du auf deinem Server eine statische Route im ROUTING und RAS zurück in dein LAN anlegen.
Bitte warten ..
Mitglied: detektei-magnet
14.11.2014 um 21:56 Uhr
ja die Statische route habe ich angegeben ich kann bei den Statischen routen nur Ethernet auswälen ist dies so richtig

Als Gateway habe ich dann die 192.168.2.2 genommen da er diese bei der einwahl bekommt
Bitte warten ..
Mitglied: colinardo
14.11.2014 um 22:12 Uhr
geb die Route erst mal testweise auf der Konsole ein:
route add 192.168.1.0 MASK 255.255.255.0 192.168.2.2
Bitte warten ..
Mitglied: detektei-magnet
14.11.2014 um 22:23 Uhr
so Route habe ich wie du geschriebn hast eingetragen aber leider ohne erfolg

Router Server klappt

Pinging 192.168.2.1 with 64 bytes of Data through WAN7:
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=30ms
Receive reply from 192.168.2.1, time=20ms
Receive reply from 192.168.2.1, time=50ms
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)

PC ohne erfolg
Bitte warten ..
Mitglied: colinardo
14.11.2014, aktualisiert um 22:48 Uhr
Wenn in der Firewall was falsch wäre dürfte dies doch eigendlich schon nich gehen oder sehe ich das falsch
Das siehst du falsch, wenn man durchgängig routet steht als Absender IP immer die Originale IP des Absenders im IP-Paket. Wenn also z.B. der PC 192.168.1.10 ein Ping(ICMP) Request an 192.168.2.1 schickt, wird dieser diese Anfrage an sein Default GW schicken, welches der Draytek ist. Dieser kennt wiederum das 192.168.2.x Netz und leitet deshalb das Paket über das VPN an den Server mit der IP 192.168.2.1. Nun ist das Paket am Ziel, jedoch steht als Absenderadresse im Paket die 192.168.1.10 welches eben ein fremdes, dem Server unbekanntes Subnetz ist, deswegen weist er den Ping ab wenn man dieses Subnetz nicht in der Firewall-Regel freischaltet !! So kommt kein Antwort-Paket zum Absender zurück und der Ping ist fehlgeschlagen. Zusätzlich benötigt der Server die o.g. Route damit er überhaupt weiß wohin er das Antwortpaket zurückschicken soll.
Die Firewall-Regeln müssen natürlich für beide Seiten vorgenommen werden !!
Das ganze ist beim NAT anders: Hier wird im Paket welches von der 192.168.1.10 kommt, die Absenderadresse durch die VPN-IP des Draytek ersetzt, und somit entfällt die Route, da das Paket ja dann von der 192.168.2.2 kommt.
Hoffe das war jetzt klar.

Wenn es mit dem Vigor nicht per Routing klappt musst du im Draytek für die Verbindung NAT auswählen, dann läuft das sofort von der LAN-Seite Richtung Server. In die andere Richtung, also Server -> LAN sind dann allerdings Portforwardings für den Zugriff auf bestimmt Rechner im LAN notwendig.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VPN von ZyXEL USG zu Windows Server 2012 R2 (13)

Frage von itschloegl zum Thema Router & Routing ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...