silkker
Mar 02, 2019
view1808
view2
0
Goto Top

RRAS Remoterouter (Demand Dial Interface) IKEv2

GermansolvedQuestionLAN, WAN, WirelessNetworks
Hallo,

dies ist meine erste Frage und ich hoffe nicht, dass ich gegen irgendwelche Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.

Ich habe einen VPS mit installiertem Windows 2012 R2. Auf besagtem Server habe ich RRAS installiert und Clients können sich verbinden. Auch ein Demand Dial Interface und die zugehörigen Routen funktionieren wenn ich eine Verbindung über L2TP/IPSec zum "VPN-Gateway" (Banana Pi R2 mit installiertem StrongSwan) herstelle.

Eine Verbindung über IKEv2 funktioniert allerdings nicht und wird mit dem Fehler "An error occured during connection of the interface. Routing and Remote access server is either not configured or not running." abgelehnt. Der Server ist konfiguriert und läuft (zu dem Zeitpunkt sind Clients verbunden). Die Verbindung soll über EAP-MSCHAPv2 authentifiziert werden.

Wenn ich eine VPN-Verbindung über das Network und Sharing Center aktiviere funktioniert IKEv2 auch.

Das VPN-Gateway befindet sich hinter einer Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt und der Router hat eine öffentliche IPv4.

Habt ihr eine Idee was ich hier übersehe oder kann RRAS einfach keine IKEv2 Verbindungen zu Gateways hinter einem NAT Router?

Ich hoffe ihr könnt mir helfen, danke!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 424156

Url: https://administrator.de/contentid/424156

Printed on: May 5, 2024 at 05:05 o'clock

2 Comments
Latest comment
Goto Top
Mitglied: 138810
Solution 138810 Mar 02, 2019 updated at 12:16:44 (UTC)
Goto Top
RRAS kann kein IKEv2 DialOut, das musst du stattdessen mit der Powershell einrichten, dann klappt auch IKEv2
https://docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
heart1
Member: aqui
Solution aqui Mar 02, 2019 updated at 12:20:21 (UTC)
Goto Top
Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Einfach mal auf der Seite ganz nach unten sehen "Unsere Diskussionsrichtlinen"
Discussion guidelines - The rules for our content
Wie man so etwas an so prominenter Steller übersehen kann....na ja Anfängerfehler face-wink

Windows kann problemlos IKEv2 Verbindungen unter IPsec.
Hier siehst du das an einem Live Beispiel:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. hier im Detail wie das unter Windows einzurichten ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Funktioniert fehlerlos !
Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt
Nicht ganz unkritisch an einer FritzBox, denn die ist ja selber aktiver IPsec VPN Server da sie ebenfalls diese Funktion hat.
Hier musst du sicherstellen das das dortige IPsec deaktiviert ist sonst leitet die FB keine IPsec Pakete weiter auch nicht wenn diese (UDP500, UDP4500 und ESP Prot) dort im PFW eingetragen sind.
Welche das sind erklärt dir dieses Foren Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier hilft dir ein Wireshark Sniffer oder tcpdump um auf dem Server überhaupt mal zu prüfen ob dort IPsec Pakete eingehen, sprich also ob die FBN überhaupt Ipsec Daten forwardet und das Port Forwarding da fehlerfrei klappt.

Nebenebi: Generell ist es keine gute Praxis Löcher in die Firewall zu bohren um ungeschützten Internet Traffic in ein lokales LAN zu forwarden. Aus gutem Grund sollten bei einem sauberen VPN Design die VPN Dialin Knoten immer auf der Peripherie liegen !
Warum du das nicht machst ist schleierhaft zumal du mit der FB ja auch einen VPN Server in der Peripherie hast. Aber egal...
heart1
GermansolvedQuestionLAN, WAN, WirelessNetworks
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrank