Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

(VPN) L2TP-IPsec zwischen Windows Server 2003 und Mac OS X

Frage Microsoft Windows Netzwerk

Mitglied: schmidtshauser

schmidtshauser (Level 1) - Jetzt verbinden

23.04.2010, aktualisiert 18.10.2012, 8304 Aufrufe, 9 Kommentare

Wir besitzen einen Windows Server 2003 als Domänencontroller und einen zweiten als Terminalserver mit VPN-Zugang.
Hierbei wird L2TP/IPse mit Zertifikate verwendet, was sehr gut mit Windows-Rechnern funktioniert.

Nun möchten wir gern auch MACs per VPN auf den Terminalserver zugreifen lassen. Leider habe ich bis heute noch keine Lösung gefunden.
Obwohl es eigentlich nicht so schwer ist. Folgendes habe ich bereits ausprobiert:

Anleitung zur Einrichtung:
http://www.carbonwind.net/ISA/MacOSXVPNL2TP/MacOSXVPNL2TP1.htm

http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...

Einrichten von X509Anchors :
http://www.augusta.de/Services/CA/camacosx/

Folgende Fehlermeldung bekomme ich:

MAC (ppp.log)

Fri Apr 23 16:40:56 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:40:56 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:41:14 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:41:14 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:41:56 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:41:56 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:42:30 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:42:30 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:43:11 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:11 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:43:21 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:24 2010 : L2TP sent SCCRQ
Fri Apr 23 16:43:24 2010 : IPSec connection started
Fri Apr 23 16:43:24 2010 : IPSec phase 1 client started
Fri Apr 23 16:43:34 2010 : IPSec connection failed
Fri Apr 23 16:43:48 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:51 2010 : L2TP sent SCCRQ
Fri Apr 23 16:43:51 2010 : IPSec connection started
Fri Apr 23 16:43:51 2010 : IPSec phase 1 client started
Fri Apr 23 16:44:01 2010 : IPSec connection failed
Fri Apr 23 16:44:35 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:44:38 2010 : L2TP sent SCCRQ
Fri Apr 23 16:44:38 2010 : IPSec connection started
Fri Apr 23 16:44:38 2010 : IPSec phase 1 client started
Fri Apr 23 16:44:38 2010 : IPSec phase 1 server replied
Fri Apr 23 16:44:38 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:44:45 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:44:48 2010 : L2TP sent SCCRQ
Fri Apr 23 16:44:48 2010 : IPSec connection started
Fri Apr 23 16:44:53 2010 : IPSec connection failed
Fri Apr 23 16:45:07 2010 : L2TP connecting to server 'mykita.dyndns.org' (87.159.179.242)...
Fri Apr 23 16:45:10 2010 : L2TP sent SCCRQ
Fri Apr 23 16:45:10 2010 : IPSec connection started
Fri Apr 23 16:45:10 2010 : IPSec phase 1 client started
Fri Apr 23 16:45:10 2010 : IPSec phase 1 server replied
Fri Apr 23 16:45:10 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:45:29 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:45:32 2010 : L2TP sent SCCRQ
Fri Apr 23 16:45:32 2010 : IPSec connection started
Fri Apr 23 16:45:32 2010 : IPSec phase 1 client started
Fri Apr 23 16:45:32 2010 : IPSec phase 1 server replied
Fri Apr 23 16:45:32 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:49:50 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:49:53 2010 : L2TP sent SCCRQ
Fri Apr 23 16:49:53 2010 : IPSec connection started
Fri Apr 23 16:49:53 2010 : IPSec phase 1 client started
Fri Apr 23 16:49:53 2010 : IPSec phase 1 server replied
Fri Apr 23 16:49:53 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:50:32 2010 : PPTP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:50:32 2010 : PPTP connection established.
Fri Apr 23 16:50:32 2010 : Using interface ppp0
Fri Apr 23 16:50:32 2010 : Connect: ppp0 <--> socket[34:17]
Fri Apr 23 16:50:32 2010 : MPPE 128-bit stateless compression enabled
Fri Apr 23 16:50:34 2010 : route_interface: write routing socket failed, File exists
Fri Apr 23 16:50:34 2010 : local IP address 192.168.2.66
Fri Apr 23 16:50:34 2010 : remote IP address 192.168.2.72
Fri Apr 23 16:50:34 2010 : primary DNS address 192.168.2.200
Fri Apr 23 16:50:34 2010 : secondary DNS address 192.168.2.201
Fri Apr 23 16:50:39 2010 : Hangup (SIGHUP)
Fri Apr 23 16:50:39 2010 : MPPE disabled
Fri Apr 23 16:50:39 2010 : Connection terminated.
Fri Apr 23 16:50:39 2010 : Connect time 0.2 minutes.
Fri Apr 23 16:50:39 2010 : Sent 0 bytes, received 0 bytes.
Fri Apr 23 16:50:39 2010 : PPTP disconnecting...
Fri Apr 23 16:50:39 2010 : PPTP disconnected
Fri Apr 23 16:50:44 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:50:47 2010 : L2TP sent SCCRQ
Fri Apr 23 16:50:47 2010 : IPSec connection started
Fri Apr 23 16:50:47 2010 : IPSec phase 1 client started
Fri Apr 23 16:50:47 2010 : IPSec phase 1 server replied
Fri Apr 23 16:50:47 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:51:13 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:51:16 2010 : L2TP sent SCCRQ
Fri Apr 23 16:51:16 2010 : IPSec connection started
Fri Apr 23 16:51:16 2010 : IPSec phase 1 client started
Fri Apr 23 16:51:16 2010 : IPSec phase 1 server replied
Fri Apr 23 16:51:16 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:51:42 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:51:45 2010 : L2TP sent SCCRQ
Fri Apr 23 16:51:45 2010 : IPSec connection started
Fri Apr 23 16:51:45 2010 : IPSec phase 1 client started
Fri Apr 23 16:51:45 2010 : IPSec phase 1 server replied
Fri Apr 23 16:51:45 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:21:38 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:21:41 2010 : L2TP sent SCCRQ
Fri Apr 23 17:21:41 2010 : IPSec connection started
Fri Apr 23 17:21:41 2010 : IPSec phase 1 client started
Fri Apr 23 17:21:41 2010 : IPSec phase 1 server replied
Fri Apr 23 17:21:41 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:22:12 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:22:15 2010 : L2TP sent SCCRQ
Fri Apr 23 17:22:15 2010 : IPSec connection started
Fri Apr 23 17:22:15 2010 : IPSec phase 1 client started
Fri Apr 23 17:22:15 2010 : IPSec phase 1 server replied
Fri Apr 23 17:22:15 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:22:53 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:22:56 2010 : L2TP sent SCCRQ
Fri Apr 23 17:22:56 2010 : IPSec connection started
Fri Apr 23 17:22:56 2010 : IPSec phase 1 client started
Fri Apr 23 17:22:56 2010 : IPSec phase 1 server replied
Fri Apr 23 17:22:56 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>


Hat jemand vielleicht Erfahrung mit der Problematik, irgendwie scheitert er am Schlüsselaustausch, aber warum?
Mitglied: sysad
23.04.2010 um 22:16 Uhr
Kommt eine Verbindung zustande, wenn statt der Zertifikate probeweise mit preshared secret authentifiziert wird?

Ist das in einem WAN oder LAN?
Bitte warten ..
Mitglied: aqui
25.04.2010, aktualisiert 18.10.2012
Steht der Mac hinter eine NAT Router ??
Wenn ja: Hast du entsprechendes Port Forwarding für L2TP eingerichtet ??
Hast du bei VPN die Ip Adress Design Grundlagen beachtet:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Nach dem Fehlerlog sieht es so aus als ob gar kein Shared Secret eingerichtet ist für den User !! Der IKE Error bestätigt das nur (Key Exchange) ! Es stimmt also irgendwas mit den beidseitigen Passwörtern nicht !!
Bitte warten ..
Mitglied: schmidtshauser
26.04.2010 um 11:36 Uhr
Vielen Dank für die Antworten

@sysad: Kann ich leider nicht ausprobieren, da der zugang bereits von anderen Windows Clienten per VPN verwendet wird, außerdem erhalte ich stets eine andere Fehlermeldung wenn ich die Zertifikate auf dem MAC lösche. Diese Fehlermeldung erscheint auch viel früher als die oben gepostete. Anscheinend werden die Zertifikate schon überprüft, aber Schlüsselaustausch findet nicht statt


@aqui
NAT-T Portforwarding ist auf den Server und den Windows Clienten einrichtet: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule" auf den Wert 2 gestellt, vgl. http://support.microsoft.com/kb/818043/de
Bei dem MAC gibt es diese Einstellmöglichkeit leider nicht.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 11:55 Uhr
Port Forwarding für L2TP wird NICHT auf dem Server eingestellt sondern auf dem NAT Router um dessen Firewall zu überwinden.
Für L2TP gilt:
UDP 500
UDP 1701
UDP 4500
ESP
Bitte warten ..
Mitglied: schmidtshauser
26.04.2010 um 12:22 Uhr
Also NAT-Router läuft übrigends Tomato 1.25!

Die Ports sind alle freigeschalten, ansonsten würde es mit den Windowsclienten auch nicht funktionieren.
Aber was ist mit dem ESP-Protokoll, frag ich mich gerade?
Bitte warten ..
Mitglied: aqui
29.04.2010 um 13:30 Uhr
Ja...und ?? Wie ist die Frage ausgegangen ??
ESP ist ein eigenständiges IP Protokoll mit der Protokoll Nummer 50. Das muss der Router auch forwarden sonst wirds nix mit dem L2TP VPN !!
ESP übertägt um Tunnel die Produktivdaten.
Der Fehler sieht aber nicht nach dem Router aus sondern nach der Passwort Authentifizierung das zeigt der IKE Error. Du solltest also eher in dieser Richtung suchen... Vermutlich nutzt der Mac Zertifikate und die Winblows Machinen PSK Passwörter oder sowas... das klappt dann natürlich nicht !
Bitte warten ..
Mitglied: sysad
29.04.2010 um 13:49 Uhr
Zitat von aqui:
Ja...und ?? Wie ist die Frage ausgegangen ??

Würde mich auch interessieren. Bislang hab ich es nicht geschafft, W2003 L2TP-IPSEC per Zertifikaten für Macs zu realisieren. Bei mir geht nur PSK. Wenn das schon mal jemand besser hinbekommen hat, wäre ich interessiert, wie es geht.

Danke!
Bitte warten ..
Mitglied: schmidtshauser
29.04.2010 um 16:27 Uhr
Hallo,

sorry für die später Rückmeldung, also es läuft noch nicht.
Ich denke ebenfalls, dass es kein Routerproblem ist da
1.) es mit Windows-Rechnern läuft und
2.) ich es auch schon im Firmennetzwerk ausprobiert hab, um alle NAT-Fehler auszuschließen.

Bei mir läuft zwar PSK, aber dass ist nicht der Sinn der Sache, da wir gern Benutzerzertifikate einrichten bzw. entziehen wollen. Mit PSK ist das nicht möglich.

L2TP/IPSEC bleibt vorerst eine Baustelle, sobald sich eine Lösung findet, (neues OS X etc.) würde ich das hier posten.
Bitte warten ..
Mitglied: schmidtshauser
22.02.2012 um 14:01 Uhr
Ich mach hier mal zu!

Problem wurde alternativ gelöst: Arbeitgeberwechsel und keine Applerechner mehr
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN Verbindung L2TP IPSec
gelöst Frage von MasterBlaster88LAN, WAN, Wireless3 Kommentare

Hi Leute, ich hab folgendes Problem: ich habe seit neustem Windows 8.1. Jetzt hatte ich vorher auf meinem Win7 ...

Xenserver
Mac Server oder Virtueller Mac OS x Desktop
gelöst Frage von Hans3003Xenserver4 Kommentare

Hallo, Habe leider noch nicht die Zeit gehabt es zu testen. Ist es möglich via Citrix xen Server und ...

LAN, WAN, Wireless
L2TP-IPsec VPN pfSense 2.3
gelöst Frage von maddigLAN, WAN, Wireless6 Kommentare

Hallo, ich bin zurzeit am versuchen einen VPN Server mit L2TP/IPsec zum laufen zu bringen. Die meisten Tutorials basieren ...

LAN, WAN, Wireless
VPN (bevorzugt mit IPSec L2TP) von Windows-Notebook zu Digitalisierungsbox
Frage von SinzalLAN, WAN, Wireless3 Kommentare

Hallo Admins, ich habe einen Kunden mit Digitalisierungsbox, der von seinem Notebook (Win 8.1) aus dem Web auf sein ...

Neue Wissensbeiträge
Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 4 MinutenWindows 10

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 3 StundenMicrosoft Office13 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 9 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office10 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...