Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN-L2TP in W2k3 Problem

Frage Microsoft Windows Server

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.01.2007, aktualisiert 23:07 Uhr, 5656 Aufrufe, 3 Kommentare

Hallo,

wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.

Es läuft, aber folgendes seltsame Problem kostet mich Nerven:

Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?

Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.

Danke!
Mitglied: aqui
18.01.2007 um 14:19 Uhr
Das ist etwas merkwürdig... Scheinbar benutzen dann beide Clients unterschiedliche Methoden. L2TP hat keine eigenen Verschlüsselungsmechanismen und benutzt zur übertragung dann IPsec. IPSec nutzt aber mehrere Methoden. Entweder AH (Authentication Header) oder ESP (Encapsulation Security Payload) und neuerdings IPsec mit NAT Traversal (RFC 3947 und 3948)
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.

Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.

Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Bitte warten ..
Mitglied: sysad
18.01.2007 um 19:27 Uhr
Vielen Dank für die ausführliche Info.

Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.

Sind Macs cleverer?

Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.

EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.

Edit2:

Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.

EDIT3:

mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.

Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.

Danke an alle Mithelfer!
Bitte warten ..
Mitglied: aqui
18.01.2007 um 23:07 Uhr
Macs waren schon immer cleverer !!! Das war nie anders.... Windows kopiert ja bloß davon
(Was L2TP angeht wohl scheinbar nicht richtig....!)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...