Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

(VPN) L2TP-IPsec zwischen Windows Server 2003 und Mac OS X

Frage Microsoft Windows Netzwerk

Mitglied: schmidtshauser

schmidtshauser (Level 1) - Jetzt verbinden

23.04.2010, aktualisiert 18.10.2012, 8199 Aufrufe, 9 Kommentare

Wir besitzen einen Windows Server 2003 als Domänencontroller und einen zweiten als Terminalserver mit VPN-Zugang.
Hierbei wird L2TP/IPse mit Zertifikate verwendet, was sehr gut mit Windows-Rechnern funktioniert.

Nun möchten wir gern auch MACs per VPN auf den Terminalserver zugreifen lassen. Leider habe ich bis heute noch keine Lösung gefunden.
Obwohl es eigentlich nicht so schwer ist. Folgendes habe ich bereits ausprobiert:

Anleitung zur Einrichtung:
http://www.carbonwind.net/ISA/MacOSXVPNL2TP/MacOSXVPNL2TP1.htm

http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ...

Einrichten von X509Anchors :
http://www.augusta.de/Services/CA/camacosx/

Folgende Fehlermeldung bekomme ich:

MAC (ppp.log)

Fri Apr 23 16:40:56 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:40:56 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:41:14 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:41:14 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:41:56 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:41:56 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:42:30 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:42:30 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:43:11 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:11 2010 : L2TP: no user shared secret found.
Fri Apr 23 16:43:21 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:24 2010 : L2TP sent SCCRQ
Fri Apr 23 16:43:24 2010 : IPSec connection started
Fri Apr 23 16:43:24 2010 : IPSec phase 1 client started
Fri Apr 23 16:43:34 2010 : IPSec connection failed
Fri Apr 23 16:43:48 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:43:51 2010 : L2TP sent SCCRQ
Fri Apr 23 16:43:51 2010 : IPSec connection started
Fri Apr 23 16:43:51 2010 : IPSec phase 1 client started
Fri Apr 23 16:44:01 2010 : IPSec connection failed
Fri Apr 23 16:44:35 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:44:38 2010 : L2TP sent SCCRQ
Fri Apr 23 16:44:38 2010 : IPSec connection started
Fri Apr 23 16:44:38 2010 : IPSec phase 1 client started
Fri Apr 23 16:44:38 2010 : IPSec phase 1 server replied
Fri Apr 23 16:44:38 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:44:45 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:44:48 2010 : L2TP sent SCCRQ
Fri Apr 23 16:44:48 2010 : IPSec connection started
Fri Apr 23 16:44:53 2010 : IPSec connection failed
Fri Apr 23 16:45:07 2010 : L2TP connecting to server 'mykita.dyndns.org' (87.159.179.242)...
Fri Apr 23 16:45:10 2010 : L2TP sent SCCRQ
Fri Apr 23 16:45:10 2010 : IPSec connection started
Fri Apr 23 16:45:10 2010 : IPSec phase 1 client started
Fri Apr 23 16:45:10 2010 : IPSec phase 1 server replied
Fri Apr 23 16:45:10 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:45:29 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:45:32 2010 : L2TP sent SCCRQ
Fri Apr 23 16:45:32 2010 : IPSec connection started
Fri Apr 23 16:45:32 2010 : IPSec phase 1 client started
Fri Apr 23 16:45:32 2010 : IPSec phase 1 server replied
Fri Apr 23 16:45:32 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:49:50 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:49:53 2010 : L2TP sent SCCRQ
Fri Apr 23 16:49:53 2010 : IPSec connection started
Fri Apr 23 16:49:53 2010 : IPSec phase 1 client started
Fri Apr 23 16:49:53 2010 : IPSec phase 1 server replied
Fri Apr 23 16:49:53 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:50:32 2010 : PPTP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:50:32 2010 : PPTP connection established.
Fri Apr 23 16:50:32 2010 : Using interface ppp0
Fri Apr 23 16:50:32 2010 : Connect: ppp0 <--> socket[34:17]
Fri Apr 23 16:50:32 2010 : MPPE 128-bit stateless compression enabled
Fri Apr 23 16:50:34 2010 : route_interface: write routing socket failed, File exists
Fri Apr 23 16:50:34 2010 : local IP address 192.168.2.66
Fri Apr 23 16:50:34 2010 : remote IP address 192.168.2.72
Fri Apr 23 16:50:34 2010 : primary DNS address 192.168.2.200
Fri Apr 23 16:50:34 2010 : secondary DNS address 192.168.2.201
Fri Apr 23 16:50:39 2010 : Hangup (SIGHUP)
Fri Apr 23 16:50:39 2010 : MPPE disabled
Fri Apr 23 16:50:39 2010 : Connection terminated.
Fri Apr 23 16:50:39 2010 : Connect time 0.2 minutes.
Fri Apr 23 16:50:39 2010 : Sent 0 bytes, received 0 bytes.
Fri Apr 23 16:50:39 2010 : PPTP disconnecting...
Fri Apr 23 16:50:39 2010 : PPTP disconnected
Fri Apr 23 16:50:44 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:50:47 2010 : L2TP sent SCCRQ
Fri Apr 23 16:50:47 2010 : IPSec connection started
Fri Apr 23 16:50:47 2010 : IPSec phase 1 client started
Fri Apr 23 16:50:47 2010 : IPSec phase 1 server replied
Fri Apr 23 16:50:47 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:51:13 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:51:16 2010 : L2TP sent SCCRQ
Fri Apr 23 16:51:16 2010 : IPSec connection started
Fri Apr 23 16:51:16 2010 : IPSec phase 1 client started
Fri Apr 23 16:51:16 2010 : IPSec phase 1 server replied
Fri Apr 23 16:51:16 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 16:51:42 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 16:51:45 2010 : L2TP sent SCCRQ
Fri Apr 23 16:51:45 2010 : IPSec connection started
Fri Apr 23 16:51:45 2010 : IPSec phase 1 client started
Fri Apr 23 16:51:45 2010 : IPSec phase 1 server replied
Fri Apr 23 16:51:45 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:21:38 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:21:41 2010 : L2TP sent SCCRQ
Fri Apr 23 17:21:41 2010 : IPSec connection started
Fri Apr 23 17:21:41 2010 : IPSec phase 1 client started
Fri Apr 23 17:21:41 2010 : IPSec phase 1 server replied
Fri Apr 23 17:21:41 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:22:12 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:22:15 2010 : L2TP sent SCCRQ
Fri Apr 23 17:22:15 2010 : IPSec connection started
Fri Apr 23 17:22:15 2010 : IPSec phase 1 client started
Fri Apr 23 17:22:15 2010 : IPSec phase 1 server replied
Fri Apr 23 17:22:15 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>
Fri Apr 23 17:22:53 2010 : L2TP connecting to server '192.168.2.201' (192.168.2.201)...
Fri Apr 23 17:22:56 2010 : L2TP sent SCCRQ
Fri Apr 23 17:22:56 2010 : IPSec connection started
Fri Apr 23 17:22:56 2010 : IPSec phase 1 client started
Fri Apr 23 17:22:56 2010 : IPSec phase 1 server replied
Fri Apr 23 17:22:56 2010 : IPSec connection failed <IKE Error 18 (0x12) Invalid id information>


Hat jemand vielleicht Erfahrung mit der Problematik, irgendwie scheitert er am Schlüsselaustausch, aber warum?
Mitglied: sysad
23.04.2010 um 22:16 Uhr
Kommt eine Verbindung zustande, wenn statt der Zertifikate probeweise mit preshared secret authentifiziert wird?

Ist das in einem WAN oder LAN?
Bitte warten ..
Mitglied: aqui
25.04.2010, aktualisiert 18.10.2012
Steht der Mac hinter eine NAT Router ??
Wenn ja: Hast du entsprechendes Port Forwarding für L2TP eingerichtet ??
Hast du bei VPN die Ip Adress Design Grundlagen beachtet:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Nach dem Fehlerlog sieht es so aus als ob gar kein Shared Secret eingerichtet ist für den User !! Der IKE Error bestätigt das nur (Key Exchange) ! Es stimmt also irgendwas mit den beidseitigen Passwörtern nicht !!
Bitte warten ..
Mitglied: schmidtshauser
26.04.2010 um 11:36 Uhr
Vielen Dank für die Antworten

@sysad: Kann ich leider nicht ausprobieren, da der zugang bereits von anderen Windows Clienten per VPN verwendet wird, außerdem erhalte ich stets eine andere Fehlermeldung wenn ich die Zertifikate auf dem MAC lösche. Diese Fehlermeldung erscheint auch viel früher als die oben gepostete. Anscheinend werden die Zertifikate schon überprüft, aber Schlüsselaustausch findet nicht statt


@aqui
NAT-T Portforwarding ist auf den Server und den Windows Clienten einrichtet: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule" auf den Wert 2 gestellt, vgl. http://support.microsoft.com/kb/818043/de
Bei dem MAC gibt es diese Einstellmöglichkeit leider nicht.
Bitte warten ..
Mitglied: aqui
26.04.2010 um 11:55 Uhr
Port Forwarding für L2TP wird NICHT auf dem Server eingestellt sondern auf dem NAT Router um dessen Firewall zu überwinden.
Für L2TP gilt:
UDP 500
UDP 1701
UDP 4500
ESP
Bitte warten ..
Mitglied: schmidtshauser
26.04.2010 um 12:22 Uhr
Also NAT-Router läuft übrigends Tomato 1.25!

Die Ports sind alle freigeschalten, ansonsten würde es mit den Windowsclienten auch nicht funktionieren.
Aber was ist mit dem ESP-Protokoll, frag ich mich gerade?
Bitte warten ..
Mitglied: aqui
29.04.2010 um 13:30 Uhr
Ja...und ?? Wie ist die Frage ausgegangen ??
ESP ist ein eigenständiges IP Protokoll mit der Protokoll Nummer 50. Das muss der Router auch forwarden sonst wirds nix mit dem L2TP VPN !!
ESP übertägt um Tunnel die Produktivdaten.
Der Fehler sieht aber nicht nach dem Router aus sondern nach der Passwort Authentifizierung das zeigt der IKE Error. Du solltest also eher in dieser Richtung suchen... Vermutlich nutzt der Mac Zertifikate und die Winblows Machinen PSK Passwörter oder sowas... das klappt dann natürlich nicht !
Bitte warten ..
Mitglied: sysad
29.04.2010 um 13:49 Uhr
Zitat von aqui:
Ja...und ?? Wie ist die Frage ausgegangen ??

Würde mich auch interessieren. Bislang hab ich es nicht geschafft, W2003 L2TP-IPSEC per Zertifikaten für Macs zu realisieren. Bei mir geht nur PSK. Wenn das schon mal jemand besser hinbekommen hat, wäre ich interessiert, wie es geht.

Danke!
Bitte warten ..
Mitglied: schmidtshauser
29.04.2010 um 16:27 Uhr
Hallo,

sorry für die später Rückmeldung, also es läuft noch nicht.
Ich denke ebenfalls, dass es kein Routerproblem ist da
1.) es mit Windows-Rechnern läuft und
2.) ich es auch schon im Firmennetzwerk ausprobiert hab, um alle NAT-Fehler auszuschließen.

Bei mir läuft zwar PSK, aber dass ist nicht der Sinn der Sache, da wir gern Benutzerzertifikate einrichten bzw. entziehen wollen. Mit PSK ist das nicht möglich.

L2TP/IPSEC bleibt vorerst eine Baustelle, sobald sich eine Lösung findet, (neues OS X etc.) würde ich das hier posten.
Bitte warten ..
Mitglied: schmidtshauser
22.02.2012 um 14:01 Uhr
Ich mach hier mal zu!

Problem wurde alternativ gelöst: Arbeitgeberwechsel und keine Applerechner mehr
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...