Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN-L2TP in W2k3 Problem

Frage Microsoft Windows Server

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.01.2007, aktualisiert 23:07 Uhr, 5672 Aufrufe, 3 Kommentare

Hallo,

wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.

Es läuft, aber folgendes seltsame Problem kostet mich Nerven:

Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?

Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.

Danke!
Mitglied: aqui
18.01.2007 um 14:19 Uhr
Das ist etwas merkwürdig... Scheinbar benutzen dann beide Clients unterschiedliche Methoden. L2TP hat keine eigenen Verschlüsselungsmechanismen und benutzt zur übertragung dann IPsec. IPSec nutzt aber mehrere Methoden. Entweder AH (Authentication Header) oder ESP (Encapsulation Security Payload) und neuerdings IPsec mit NAT Traversal (RFC 3947 und 3948)
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.

Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.

Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Bitte warten ..
Mitglied: sysad
18.01.2007 um 19:27 Uhr
Vielen Dank für die ausführliche Info.

Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.

Sind Macs cleverer?

Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.

EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.

Edit2:

Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.

EDIT3:

mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.

Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.

Danke an alle Mithelfer!
Bitte warten ..
Mitglied: aqui
18.01.2007 um 23:07 Uhr
Macs waren schon immer cleverer !!! Das war nie anders.... Windows kopiert ja bloß davon
(Was L2TP angeht wohl scheinbar nicht richtig....!)
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Netzwerke
VPN DHCP IPSec im Vergleich zu L2TP over IPSec (1)

Frage von TomJones zum Thema Netzwerke ...

Windows Server
gelöst L2TP over IPSEC (6)

Frage von sardldb zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (21)

Frage von zorlayan zum Thema Windows 10 ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Netzwerkgrundlagen
Pro Contra "echtes Subnetting" VLSM (12)

Frage von killing.Apfelkuchen zum Thema Netzwerkgrundlagen ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (11)

Frage von shearer9 zum Thema Voice over IP ...