Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WS12 als VPN-Server L2TP PSK über Netzwerk I.O. über Internet Fehler 789

Frage Netzwerke Router & Routing

Mitglied: bugzzz

bugzzz (Level 1) - Jetzt verbinden

23.12.2014 um 00:00 Uhr, 3227 Aufrufe, 14 Kommentare

Hallo,
habe mir meinen VPN-Server eingerichtet und der funktioniert mit PPTP auch wunderbar und auch L2TP scheint keine größeren Probleme zu haben, denn auf Netzwerkebene funktioniert auch L2TP ohne Probleme (also mit direkter Netzwerk-IP), auch das mit dem NAT passt soweit - denke ich, denn ich bekomme vom Server eine neue IP in einem anderen Adressbereich zugewiesen. Doch sobald ich über Dyndns, direkte Internet-IP oder MyFritz connecten möchte, benötigt es erst mal lange und dann bekomme ich nach einer Zeit den Fehler 789. Sowohl mit Android als auch mit Windows 8.1 Geräten.

Für mich sieht es so aus als ob es irgendein Problem mit einer Firewall gibt, aber welches und wo?!

Ports sind frei =>

GRE GRE
PPTP TCP 1723
L2TP UDP 1701
IKE UDP 500
NAT-T UDP 4500
L2TP UDP 10000
ESP ESP
Kerberos TCP 88
Kerberos UDP 88

Habe auch schon mit Exposed Host probiert, aber ohne Erfolg. Wie gesagt auf Netzwerkebene funktioniert es problemlos und PPTP funktioniert übers Internet auch ohne Probleme, jedoch muss es irgendwo ein Problem mit L2TP geben.

Was meint ihr?

Vielen Dank schon mal im voraus!
Mitglied: colinardo
23.12.2014, aktualisiert um 12:15 Uhr
Hallo bugzz,
häufigste Ursache ist bei diesem Fehler das NAT-Traversal:

Grüße Uwe

p.s. Kerberos hat auf der Firewall nichts zu suchen, für L2TP o. IPSec reichen 1701/500/4500UDP und ESP(50) Protokoll. Die Probleme sind hier meist bei den Clients zu suchen, bei denen oft falsche Verschlüsselungsparameter aktiviert sind. Ebenso müssen die des Servers (Phase1 und Phase2) dazu passen.

Ein Trace mit Wireshark bringt dir hier sofort Klarheit woran die Verbinung scheitert! Da du eine Fritte hast kannst du zur Aufzeichnung der Pakete diese benutzen.
Bitte warten ..
Mitglied: bugzzz
23.12.2014 um 12:17 Uhr
Danke für deine Antwort.

Habe gestern mich auch schon umgeschaut, aber habe irgendwie nichts passendes gefunden. Diese Registryänderung habe ich schon durchgeführt, aber ohne Erfolg!

Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge, theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über meinen DynDns machen will oder?
Bitte warten ..
Mitglied: colinardo
23.12.2014, aktualisiert um 12:39 Uhr
Zitat von bugzzz:
Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge,
theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über
meinen DynDns machen will oder?
auf Fehler bei der Sicherheitsaushandlung (nicht passende Algorithmen Phase1 und 2) und nicht ankommende ESP Pakete. Das hier zu erklären würde aber den Rahmen sprengen. Du könntest höchstens das Capture-File irgendwo zu Download bereitstellen, oder dich via PM melden dann kannst du mir das File mal per Mail schicken. Natürlich mit Angabe welches Device welche IP hat.

Grüße Uwe
Bitte warten ..
Mitglied: bugzzz
23.12.2014 um 15:32 Uhr
Danke für deine Hilfe. Hoffe du verstehst, dass ich ein solches Protokoll ungern weitergebe. Habe mal ein paar Ausschnitte als Screen geuppt.

http://www.directupload.net/file/d/3845/85ub4fj8_png.htm
http://www.directupload.net/file/d/3845/srmjxd6y_png.htm

Habe mal die wichtigsten Zeilen ausgeschnitten... denke der Aufbau beginnt bei Zeile 17 von meinem Rechner aus über den Router. Der bekommt vom DynDNS die öffentliche IP und startet die Anfrage ab Zeile 22 bis 27 und dann läuft ein Aufbau ab Zeile 31 bis 54 oder was macht er da?!

Ich denke der Fehler liegt irgendwo zwischen Zeile 22 und 27, denn in Zeile 39 versucht der Server irgendwie was mit dem Protokoll IGMPv3 mit der IP 224.0.0.22 zu machen. Das tritt weiter oben mit der IP meines Rechners auch auf, falscher DNS?!
Bitte warten ..
Mitglied: bugzzz
23.12.2014 um 15:35 Uhr
Wenn ich mir das selbe im eigenen Netzwerk anschaue, also über direkte IP einen L2TP VPN zu öffnen, dann geht das innerhalb von Sekunden und genau die Abfrage die hier an in obigen Beispielen an den Router gehen, gehen hier direkt an den Server.
Bitte warten ..
Mitglied: colinardo
23.12.2014, aktualisiert um 15:55 Uhr
mit den Bildern kann man natürlich so leider nix anfangen ...
genau die Abfrage die hier an in obigen Beispielen an den Router gehen, gehen hier direkt an den Server.
ahaaaa, du hast in der Fritte die integrierte VPN-Funktion nicht deaktiviert dort dürfen keinerlei Profile vorhanden sein!!
Bitte warten ..
Mitglied: bugzzz
23.12.2014 um 16:01 Uhr
Was benötigst um damit was anzufangen? Ich mein mit dem File könntest alles mögliche mit meinem Netzwerk anfangen... ^^

Ja die ist aktiviert, aber ich benötige die Verbindung zwischen der Box zu anderen Boxen! Allerdings ist die Verbindung der anderen Boxen dauerhaft aufgebaut!
Bitte warten ..
Mitglied: bugzzz
23.12.2014 um 16:12 Uhr
Das stimmt, daran lag es... ohne Fritz Profile funktioniert es. Mal überlegen wie ich dann die Verbindung zu anderen Netzwerken halte, hast du deine Idee?
Bitte warten ..
Mitglied: colinardo
23.12.2014, aktualisiert um 16:18 Uhr
Zitat von bugzzz:
Das stimmt, daran lag es... ohne Fritz Profile funktioniert es. Mal überlegen wie ich dann die Verbindung zu anderen
Netzwerken halte, hast du deine Idee?
Entweder alle Netze auf der Fritte terminieren, oder auf dem Server ein anderes VPN-Protokoll wie OpenVPN benutzen. Oder besser gleich einen anständigen Router wie einen Mikrotik (gibts ab ca 30€) hernehmen der das alles parallel und vernünftig mit allen Feinheiten beherrscht.

Grüße Uwe
Bitte warten ..
Mitglied: colinardo
23.12.2014, aktualisiert um 21:13 Uhr
Bitte den Beitrag noch als gelöst markieren, die Ursache des Problems wurde ja aufgeklärt.

Grüße Uwe
Bitte warten ..
Mitglied: bugzzz
24.12.2014 um 09:31 Uhr
Guten Morgen Uwe,

also ich dank dir nochmal - es funktioniert soweit.

Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.

Ist es möglich einen dauerhaften Tunnel zwischen einem Server zu einer FritzBox aufzubauen, also in der Art wie eine FritzBox das macht?

Ach und frohe Weihnachten noch
Bitte warten ..
Mitglied: colinardo
24.12.2014, aktualisiert um 19:53 Uhr
Morgen,
Zitat von bugzzz:
Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.
Die Mikrotiks haben kein Modem. Naja, wenn man nur die "Konsumer"-Seite betrachtet sind die Fritten OK, Profis machen das lieber mit was anständigem was alle möglichen Finessen beherrscht. Natürlich sind die Mikrotiks keine Spielzeuge, d.h. tiefergehende Netzwerk-und Routing- und Firewallkentnisse sind hier für eine vernünftige Konfiguration unabdinglich (ähnlich wie bei den Ciscos). Wenn du was für Otto-Normalverbraucher mit Klicki-Bunti Interface suchst bedien dich besser bei LANCOM,DRAYTEK, CISCO (Einsteigerklasse) & Co, dafür ist der Preis den du für die Geräte zahlst, natürlich höher. Das was die können kann der Mikrotik ebenfalls, nur muss man hier eben wissen was man tut!

Ist es möglich einen dauerhaften Tunnel zwischen einem Server zu einer FritzBox aufzubauen, also in der Art wie eine FritzBox das macht?
Du meinst ein einfaches LAN2LAN VPN mit einem Windows Server als Gegenstelle, dafür sind die Fritten nicht geeignet, da die Fritte nur pures IPSec spricht, wohingegen der Windows Server nur L2TP o.IPSec macht.
http://www.administrator.de/forum/vpn-einwahlserver-mit-fritzbox-als-la ...
Ach und frohe Weihnachten noch
Wünsche ich ebenso *<(:--)

Grüße Uwe
Bitte warten ..
Mitglied: bugzzz
29.12.2014 um 17:04 Uhr
So das Problem ist noch nicht ganz gelöst... und zwar funktioniert es soweit ganz gut, jedoch hat mein Android L Smartphone probleme mit der L2TP Verbindung. Es ging am Anfang und jetzt auf einmal verbindet es nicht, aber PPTP macht es ohne Probleme!

Wie gesagt, das komische, dass es vorher ging!
Bitte warten ..
Mitglied: colinardo
29.12.2014, aktualisiert um 17:18 Uhr
Es ging am Anfang und jetzt auf einmal verbindet es nicht,
Das hilft uns hier jetzt ungemein check die RRAS Logs darin solltest du den Fehler finden wenn dir nicht das Netz einen Strich durch die Rechnung macht. Wie oben bereits geschrieben ist Wireshark dein Freund...

Wie gesagt, das komische, dass es vorher ging!
zwischenzeitlich wieder das VPN der Fritte aktiviert ? Du sagtest ja das du die Fritte als Kopplungsrouter zwischen anderen VPN benötigst ... beides (Fritte und den Server) gleichzeitig als L2TP o.IPSEC geht mit einer öffentlichen IP nicht. Ansonsten weiche auf OpenVPN für die Smartphones aus, das läuft auch parallel zu den anderen VPNs.

Ansonsten wie gesagt einen professionelleren Router besorgen, der die VPNs alle auf dem Router terminiert - alles andere ist Gefrickel, was dir immer wieder mal Probleme bereiten wird.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst L2TP VPN Server funktioniert nicht - Win2012R2 (33)

Frage von 118080 zum Thema Windows Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...