gelöst L2TP over IPSEC

Mitglied: sardldb

sardldb (Level 1) - Jetzt verbinden

12.05.2017 um 09:25 Uhr, 2949 Aufrufe, 6 Kommentare

Hallo Zusammen

Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem damit, einen VPN in unsere Firma einzurichten. Nun habe ich folgendes Problem:

Server: Windows 2016 Datacenter mit DirectAccess und Routing installiert und konfiguriert
Clients: Windows 7 und Windows 10

Ports an der Firewall geöffnet: UDP 500 und UDP 4500

VPN Anfrage wird per NAT an den VPN Server geleitet welcher in der DMZ platziert ist. Der Server hat 2 NICs, einmal DMZ_extern und einmal DMZ_intern mit einer statischen Route welche anfragen ins LAN über die DMZ_intern leitet.

Ich habe eine PPTP Verbindung eingerichtet, welche von beiden Clients aus super funktioniert. Ich möchte nun aber eine Tunnel mit L2TP/IPSEC einrichten und da klemmts momentan. Ich habe das Ganze mit einem PSK eingerichtet in dem Routing und RAS Feature.

Entferne ich in "Routing und RAS" den PSK, bekomme ich beim Verbinden nach ein paar Sekunden den Fehler 788. Macht ja Sinn, da der PSK nicht übereinstimmt. Ist der PSK eingetragen, geht der Wählvorgang viel länger, mit dem Resultat: Fehler 809, die Netzwerkverbindung konnte zwischen dem Computer und dem VPN Server nicht hergestellt werden usw.

Nun gehe ich davon aus, dass es nicht an der Firewall liegt, denn aufgrund des Fehler bei nicht vorhandenem PSK kommunizieren die 2 Geräte ja miteinander.

Hat jemand eine Idee oder einen Ahaltspunkt bei dem ich weitersuchen kann? Bis jetzt habe ich nur Tutorials zur Konfiguration von Routin und RAS gefunden, welche ich meiner Meinung nach auch so umgesetzt habe.

Danke für Eure Zeit und Hilfe schon im Voraus

gruss

sardldb
Mitglied: brammer
12.05.2017 um 09:38 Uhr
Hallo,

generell hinterfrage ich mal ob ein Microsoft Betriebssystem wirklich in dieser Form exponiert werden sollte.

VPN sollte tunlichst auf einer Hardware Firewall umgesetzt werden.

Zum Thema PPTP zitiere ich mal den Wikipedia und den ct' Artikel:

Wikipedia:
2012 präsentierte Verschlüsselungsexperte Moxie Marlinspike ein Webangebot, das beliebige VPN- und WLAN-Verbindungen innerhalb eines Tages > knacken können soll. Die Zeitschrift c't konnte das Verfahren erfolgreich anwenden und sprach deshalb vom „Todesstoß für PPTP“.[4]

ct':
Wer noch PPTP einsetzt, sollte sich schleunigst Gedanken machen, wie er davon weg kommt. Alternativen sind L2TP/IPSec, IPSec mit IKEv2 oder > OpenVPN.

brammer
Bitte warten ..
Mitglied: sardldb
12.05.2017 um 10:06 Uhr
Hallo brammer

Danke für deinen Beitrag. Genau deshalb möchte ich L2TP einsetzen und nicht PPTP da nicht nur Wikipedia und ct wissen, dass PPTP nicht mehr genug sicher ist. Hatte diese Verbindung nur um zu testen ob die Instalation grundsätzlich funktioniert.

Klar könnte ich den Tunnel direkt auf der Firewall umsetzen. Da Windows diese Möglichkeit anbietet, gehe ich davon aus, dass das aber trotzdem funktioniere sollte.

sardldb
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.05.2017, aktualisiert um 10:24 Uhr
Ports an der Firewall geöffnet: UDP 500 und UDP 4500
Das ist aber nur native IPsec und auch das ist noch unvollständig weil das ESP Protokoll komplett fehlt !
Damit wird weder native IPsec noch L2TP funktionieren.
Für native IPsec brauchst du zwingen:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 4500

L2TP:
ESP Protokoll. IP Protokollnummer 50 (Achtung nicht TCP oder UDP 50 !!, ESP ist ein eigenständiges IP Protokoll)
UDP 500
UDP 1701
UDP 4500

Siehe auch:
https://technet.microsoft.com/en-us/library/dd458955(v=ws.10).aspx
Klar könnte ich den Tunnel direkt auf der Firewall umsetzen.
Aus Sicherheitssicht kann man dir das auch nur dringenst raten !

Weitere Infos auch hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Bitte warten ..
Mitglied: brammer
12.05.2017 um 10:26 Uhr
Hallo,

@sardldb

Ja, funktionieren wird das... aber wenn du schon aus Sicherheitsgründen den wechsle von PPTP auf L2TP umsetzt solltest du gleich einen Schritt weiter gehen...
Was nützt es ein unsicheres gegen ein sicheres Protokoll zu tauschen wenn die Basis darunter unsicher ist....

brammer
Bitte warten ..
Mitglied: sardldb
12.05.2017 um 10:40 Uhr
Hallo,

Danke euch für die Inputs. Da ich neben VPN auch Direct Access für unsere Windows 10 Geräte nutzen möchte, wollte ich beides auf dem Server einrichten.

Das Protokoll 50 sowie den UDP Port 1701 hatte ich auch schon freigegeben auf der Firewall jedoch mit dem gleichen Resultat.

Ich bin euch dankbar für den Tipp mit der Hardware Firewall, mich würde jedoch sehr interessieren, weshalb der Tunnel nicht aufgebaut werden kann.

vielen Dank

sardldb
Bitte warten ..
Mitglied: sardldb
12.05.2017 um 11:08 Uhr
Edit: Das Problem ist behoben. Ich habe das Protokoll und den Port nochmals hinzugefügt und nun geht es. Ich hatte diese beiden gestern auch schon drin. vielleicht war ich zu ungeduldig oder was auch immer.

Ich werde mit jedoch eure Inputs zum Thema VPN direkt auf die Firewall zu Herzen nehmen. Vielen Dank Euch für die schnelle Hilfe und Inputs.

schönes Wochenende und Gruss

sardldb
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware32 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Backup
Veeam Backup-Server aus der Domäne nehmen
redhorseFrageBackup26 Kommentare

Guten Morgen, da in unserer Backupumgebung ein Hardwaretausch ansteht, konzipiere ich gerade Möglichkeiten die Sicherheit zu erhöhen. Konkret geht ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware18 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Windows Server
Server mit AMD EPYC 7F52 (1Socket) wird als 2 Socket Server angezeigt
LordXearoFrageWindows Server11 Kommentare

Hallo Zusammen, ich komme mit meinem Problem nicht so recht weiter und hoffe aufjemanden der noch weitere Ideen hat. ...

Notebook & Zubehör
Surface pro 3 oder aktueller
devazubiFrageNotebook & Zubehör11 Kommentare

Moin moin zusammen, ich möchte eine kurze Umfrage/Feedbackrunde starten. Ich habe gerade angefangen Wirtschaftsinformatik berufsbegleitend zu studieren. Ich würde ...

Outlook & Mail
Mails Farblich kennzeichnen für mehrer PCs ohne Exchange
gelöst luzifermbFrageOutlook & Mail10 Kommentare

Guten Tag, ich brauche Hilfe zu MS Outlook! Ich habe eine kleines Firmennetzwerk und möchte gerne mit 3 PCs ...

Ähnliche Inhalte
Firewall

Sophos - L2TP over IPsec - Windows 10 Client

flulukFrageFirewall9 Kommentare

Hallo, ich bin hierbei irgendwie am Verzweifeln. folgendes habe ich vor: ich möchte mit einer Sophos UTM eine L2TP ...

Router & Routing

VPN (L2TP over IPSec) mit Zyxel USG40 und FritzBox 7590

gelöst markustmFrageRouter & Routing8 Kommentare

Hallo liebes Administrator.de Forum, nach ausgiebiger, vorheriger Suche in diesem und anderen Foren, habe ich leider (auch wenn der ...

Router & Routing

MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider

Ch3p4cKFrageRouter & Routing5 Kommentare

Hallo zusammen, ich bin schon seit zwei Tagen am rumprobieren und komme einfach nicht weiter mit dem MikroTik hEX ...

Netzwerke

MikroTik L2TP IpSec VPN Verbindungsprobleme

PoddeldunktFrageNetzwerke8 Kommentare

Hallo zusammen, nachdem ich ja bereits gefragt hatte wie ich mein VPN Beschleunigen kann, habe ich mir nun einen ...

MikroTik RouterOS

Mikrotik VPN IPSec L2tp mit Apple

PhibboFrageMikroTik RouterOS9 Kommentare

Moin. Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 ...

Router & Routing

Mikrotik L2TP IPSec Verbindung klappt nicht richtig

gelöst skyacerFrageRouter & Routing7 Kommentare

Hallo, ich habe folgendes Problem das meine Einwahl zum Router aufgebaut wird aber er dann z.B. auf dem Handy ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud