L2TP over IPSEC
Hallo Zusammen
Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem damit, einen VPN in unsere Firma einzurichten. Nun habe ich folgendes Problem:
Server: Windows 2016 Datacenter mit DirectAccess und Routing installiert und konfiguriert
Clients: Windows 7 und Windows 10
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
VPN Anfrage wird per NAT an den VPN Server geleitet welcher in der DMZ platziert ist. Der Server hat 2 NICs, einmal DMZ_extern und einmal DMZ_intern mit einer statischen Route welche anfragen ins LAN über die DMZ_intern leitet.
Ich habe eine PPTP Verbindung eingerichtet, welche von beiden Clients aus super funktioniert. Ich möchte nun aber eine Tunnel mit L2TP/IPSEC einrichten und da klemmts momentan. Ich habe das Ganze mit einem PSK eingerichtet in dem Routing und RAS Feature.
Entferne ich in "Routing und RAS" den PSK, bekomme ich beim Verbinden nach ein paar Sekunden den Fehler 788. Macht ja Sinn, da der PSK nicht übereinstimmt. Ist der PSK eingetragen, geht der Wählvorgang viel länger, mit dem Resultat: Fehler 809, die Netzwerkverbindung konnte zwischen dem Computer und dem VPN Server nicht hergestellt werden usw.
Nun gehe ich davon aus, dass es nicht an der Firewall liegt, denn aufgrund des Fehler bei nicht vorhandenem PSK kommunizieren die 2 Geräte ja miteinander.
Hat jemand eine Idee oder einen Ahaltspunkt bei dem ich weitersuchen kann? Bis jetzt habe ich nur Tutorials zur Konfiguration von Routin und RAS gefunden, welche ich meiner Meinung nach auch so umgesetzt habe.
Danke für Eure Zeit und Hilfe schon im Voraus
gruss
sardldb
Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem damit, einen VPN in unsere Firma einzurichten. Nun habe ich folgendes Problem:
Server: Windows 2016 Datacenter mit DirectAccess und Routing installiert und konfiguriert
Clients: Windows 7 und Windows 10
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
VPN Anfrage wird per NAT an den VPN Server geleitet welcher in der DMZ platziert ist. Der Server hat 2 NICs, einmal DMZ_extern und einmal DMZ_intern mit einer statischen Route welche anfragen ins LAN über die DMZ_intern leitet.
Ich habe eine PPTP Verbindung eingerichtet, welche von beiden Clients aus super funktioniert. Ich möchte nun aber eine Tunnel mit L2TP/IPSEC einrichten und da klemmts momentan. Ich habe das Ganze mit einem PSK eingerichtet in dem Routing und RAS Feature.
Entferne ich in "Routing und RAS" den PSK, bekomme ich beim Verbinden nach ein paar Sekunden den Fehler 788. Macht ja Sinn, da der PSK nicht übereinstimmt. Ist der PSK eingetragen, geht der Wählvorgang viel länger, mit dem Resultat: Fehler 809, die Netzwerkverbindung konnte zwischen dem Computer und dem VPN Server nicht hergestellt werden usw.
Nun gehe ich davon aus, dass es nicht an der Firewall liegt, denn aufgrund des Fehler bei nicht vorhandenem PSK kommunizieren die 2 Geräte ja miteinander.
Hat jemand eine Idee oder einen Ahaltspunkt bei dem ich weitersuchen kann? Bis jetzt habe ich nur Tutorials zur Konfiguration von Routin und RAS gefunden, welche ich meiner Meinung nach auch so umgesetzt habe.
Danke für Eure Zeit und Hilfe schon im Voraus
gruss
sardldb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337607
Url: https://administrator.de/contentid/337607
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
generell hinterfrage ich mal ob ein Microsoft Betriebssystem wirklich in dieser Form exponiert werden sollte.
VPN sollte tunlichst auf einer Hardware Firewall umgesetzt werden.
Zum Thema PPTP zitiere ich mal den Wikipedia und den ct' Artikel:
Wikipedia:
ct':
brammer
generell hinterfrage ich mal ob ein Microsoft Betriebssystem wirklich in dieser Form exponiert werden sollte.
VPN sollte tunlichst auf einer Hardware Firewall umgesetzt werden.
Zum Thema PPTP zitiere ich mal den Wikipedia und den ct' Artikel:
Wikipedia:
2012 präsentierte Verschlüsselungsexperte Moxie Marlinspike ein Webangebot, das beliebige VPN- und WLAN-Verbindungen innerhalb eines Tages > knacken können soll. Die Zeitschrift c't konnte das Verfahren erfolgreich anwenden und sprach deshalb vom „Todesstoß für PPTP“.[4]
ct':
Wer noch PPTP einsetzt, sollte sich schleunigst Gedanken machen, wie er davon weg kommt. Alternativen sind L2TP/IPSec, IPSec mit IKEv2 oder > OpenVPN.
brammer
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
Das ist aber nur native IPsec und auch das ist noch unvollständig weil das ESP Protokoll komplett fehlt !Damit wird weder native IPsec noch L2TP funktionieren.
Für native IPsec brauchst du zwingen:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 4500
L2TP:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 1701
UDP 4500
Siehe auch:
https://technet.microsoft.com/en-us/library/dd458955(v=ws.10).aspx
Klar könnte ich den Tunnel direkt auf der Firewall umsetzen.
Aus Sicherheitssicht kann man dir das auch nur dringenst raten !Weitere Infos auch hier:
L2TP:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Native IPsec:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hallo,
@sardldb
Ja, funktionieren wird das... aber wenn du schon aus Sicherheitsgründen den wechsle von PPTP auf L2TP umsetzt solltest du gleich einen Schritt weiter gehen...
Was nützt es ein unsicheres gegen ein sicheres Protokoll zu tauschen wenn die Basis darunter unsicher ist....
brammer
@sardldb
Ja, funktionieren wird das... aber wenn du schon aus Sicherheitsgründen den wechsle von PPTP auf L2TP umsetzt solltest du gleich einen Schritt weiter gehen...
Was nützt es ein unsicheres gegen ein sicheres Protokoll zu tauschen wenn die Basis darunter unsicher ist....
brammer