Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN-L2TP in W2k3 Problem

Frage Microsoft Windows Server

Mitglied: sysad

sysad (Level 3) - Jetzt verbinden

18.01.2007, aktualisiert 23:07 Uhr, 5681 Aufrufe, 3 Kommentare

Hallo,

wir haben hier einen W2k3 Server mit einem Speedport W501V, das den DSL-Zugang herstellt. Jetzt soll diversen Aussendienstlern der Zugang mit VPN ermöglicht werden.

Es läuft, aber folgendes seltsame Problem kostet mich Nerven:

Wenn man mit einem Mac reinwill (OSX 10.3.9 und OSX 10.4.8), geht RAS mit VPN sowohl mit PPTP als auch mit L2TP und Shared Secret problemlos.
Die Mitarbeiter mit einer Windows XP Maschine können nur mit PPTP rein, beim Versuch mit L2TP kommt nach einer Minute die Fehlermeldung 678 'Gegner antwortet nicht o.ä'. Woran kann das liegen?

Ich möchte wegen der besseren Sicherheit nur noch L2TP verwenden.

Danke!
Mitglied: aqui
18.01.2007 um 14:19 Uhr
Das ist etwas merkwürdig... Scheinbar benutzen dann beide Clients unterschiedliche Methoden. L2TP hat keine eigenen Verschlüsselungsmechanismen und benutzt zur übertragung dann IPsec. IPSec nutzt aber mehrere Methoden. Entweder AH (Authentication Header) oder ESP (Encapsulation Security Payload) und neuerdings IPsec mit NAT Traversal (RFC 3947 und 3948)
Da der NAT Prozess im Router Header-Adressen und Ports umschreibt geht eine Verbindung im AH Mode immer schief, da die HMAC nicht mehr stimmt über NAT.
IPsec AH ist also generell technisch nicht möglich mit NAT Routern ins interne Netz zu übertragen (Direkt zwischen den Router hingegen schon...)
Bleibt dir nur noch ESP und NAT Traversal. Die Frage ist jetzt wo die Unterschiede der L2TP Implementation zwischen MAC und Win sind.
Fakt ist, das für eine Übertragung revers über einen NAT Router bei ESP immer UDP Port 500 (IKE) geforwardet werden muss und zusätzlich das GRE (Generic Route Encapsulation) Protokoll mit der Protokoll Nummer 47 (Achtung nicht TCP 47 !)
Eine ESP Verbindung ist dann aber durch das Portforwarding immer nur für einen einzigen Client zur Zeit möglich !
NAT Traversal nutzt TCP 4500 als Port zum Aushandeln der Parameter und Portöffnung des Routers. Da muss dann auch dieser Port freigegeben werden.
Sehr wahrscheinlich nutzen die Clients unterschiedliche Methoden die der Router einmal durchlässt und einem blockt. Als Standard Einstellungen solltest du also immer UDP 500, TCP 4500 und GRE forwarden.

Generell gesehen ist die Lösung mit VPN Clients revers durch NAT Router auf einen VPN Server im lokalen LAN genau wegen dieser Problematiken zu gehen keine gute Lösung !!!
Schon gar nicht, wenn man einen Consumer Router mit einem sehr schwachen Featureset diesbezüglich nutzt wie den Speedport. (Otto Normalsurfer mit Speedport nutz normalerweise keine VPNs !!). Andere Router haben erheblich mehr Möglichkeiten durch ein besseres featureset zur Steuerung.

Erheblich besser ist in jedem Falle die Lösung den VPN Client bzw. die VPN Verbindung direkt auf dem Router zu terminieren, also einen VPN fähigen Router wie z.B. Draytek und andere einzusetzen.
Damit umgehst du die Serverproblematik (Portforwarding) im lokalen LAN und kannst auch dann immer noch eine VPN Verbindung in das LAN herstellen wenn der Server mal nicht online ist. Diese Lösung ist erheblich flexibler und VPN fähige Router kosten nur unwesentlich mehr als nicht VPN fähige Maschinen.
Bitte warten ..
Mitglied: sysad
18.01.2007 um 19:27 Uhr
Vielen Dank für die ausführliche Info.

Natürlich habe ich die 'richtigen' Ports und Protokolle geforwardet, sonst ginge ja auch der L2TP mit Mac nicht. Bei weiterer Forschung heute hat sich ergeben, dass L2TP vom LAN aus bei XP auch geht, also ist Deine Vermutung richtig, dass es was mit dem Router zu tun haben muss.

Sind Macs cleverer?

Werde weiter experimentieren. Vielleicht hast Du ja noch eine Idee.

EDIT:
Wenn man alle Ports auf den Server forwardet, geht es auch nicht.

Edit2:

Habe gerade den KB Artikel 885407 gefunden, das steht, dass es mit XPSP2 nicht geht, ausser man ändert die Registry. Werde mich gleich dran machen.

EDIT3:

mit der Registryänderung wie in KB885407 beschrieben (die deutsche Übersetzung ist so schlecht, dass ich damit nicht klarkam, aber das Original in englisch geht) funktioniert jetzt L2TP mit IPSec auch auf den XP-Maschinen (jedenfalls dort, wo ich bisher Zugruff hatte). Nervig, dass man das auf jedem Client von Hand eintragen muss.

Interessanterweise kann man auch mit mehreren Clients gleichzeitig rein, obwohl 'aqui' das angezweifelt hatte. Die Geschwindigkeit ist 'gefühlt' etwa 25% lahmer als mit PPTP.

Danke an alle Mithelfer!
Bitte warten ..
Mitglied: aqui
18.01.2007 um 23:07 Uhr
Macs waren schon immer cleverer !!! Das war nie anders.... Windows kopiert ja bloß davon
(Was L2TP angeht wohl scheinbar nicht richtig....!)
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VPN (bevorzugt mit IPSec L2TP) von Windows-Notebook zu Digitalisierungsbox
Beitrag von 3 Kommentare

Frage von Sinzal zum Thema LAN, WAN, Wireless

Router & Routing
VPN UniFi-Synology: PPTP geht, L2TP geht nicht
Beitrag von 6 Kommentare

Frage von DaniWa zum Thema Router & Routing

Router & Routing
MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider
Beitrag von 5 Kommentare

Frage von Ch3p4cK zum Thema Router & Routing

Netzwerkmanagement
Sonicwall zugriff per L2TP
Beitrag von 2 Kommentare

Frage von sandisk1 zum Thema Netzwerkmanagement

Neue Wissensbeiträge
Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Beitrag von 2 Kommentare

Information von admtech zum Thema Administrator.de Feedback

Vmware

VMware Desktopprodukte sind verwundbar

Beitrag von

Information von Penny.Cilin zum Thema Vmware

Datenschutz

Session-Replay: Viele beliebte Webseiten zeichnen jegliche Texteingabe auf

Beitrag von 2 Kommentare

Information von Penny.Cilin zum Thema Datenschutz

Sicherheit

Zufällige Speicherzuweisung: Windows-Bug hebelt Sicherheitsmechanismus ASLR aus

Beitrag von 1 Kommentar

Information von Penny.Cilin zum Thema Sicherheit

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Beitrag von 24 Kommentare

Frage von ahstax zum Thema Visual Studio

Windows Netzwerk
Netzwerk Neustrukturierung
Beitrag von 16 Kommentare

Frage von IT-Dreamer zum Thema Windows Netzwerk

Windows Server
RDP macht Server schneller???
Beitrag von 16 Kommentare

Frage von JaniDJ zum Thema Windows Server

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Beitrag von 15 Kommentare

Frage von Akcent zum Thema Windows 10