17
L2TP over IPsec VPN über Router
Hallo,
ich kann mit folgender Konfiguration keine L2TP over IPsec VPN Verbindung von einem Windows 10 Rechner über einen Router zu einem VPN Server aufbauen.
Aufbau
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosXG WAN (195.140.50.205)
Konfiguration
Windows 10 Rechner
Mikrotik Router
SophosXG
Das was für mich etwas verwirrend ist:
1. Tauscht man die SophosXG gegen eine SophosSG, funktioniert der Aufbau einer VPN Verbindung. -> Kann also nicht am Mikrotik Router liegen.
2. Nutzt man an einem anderen Standort eine SophosSG anstelle des Mikrotik Routers, funktioniert der VPN Aufbau. -> Kann also nicht an der SophosXG liegen.
Kann mir da jemand weiterhelfen, ich möchte gern verstehen wo da das Problem ist.
Vielen Dank für Eure Hilfe,
Chris
ich kann mit folgender Konfiguration keine L2TP over IPsec VPN Verbindung von einem Windows 10 Rechner über einen Router zu einem VPN Server aufbauen.
Aufbau
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosXG WAN (195.140.50.205)
Konfiguration
Windows 10 Rechner
Mikrotik Router
SophosXG
Das was für mich etwas verwirrend ist:
1. Tauscht man die SophosXG gegen eine SophosSG, funktioniert der Aufbau einer VPN Verbindung. -> Kann also nicht am Mikrotik Router liegen.
2. Nutzt man an einem anderen Standort eine SophosSG anstelle des Mikrotik Routers, funktioniert der VPN Aufbau. -> Kann also nicht an der SophosXG liegen.
Kann mir da jemand weiterhelfen, ich möchte gern verstehen wo da das Problem ist.
Vielen Dank für Eure Hilfe,
Chris
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 623445
Url: https://administrator.de/forum/l2tp-over-ipsec-vpn-ueber-router-623445.html
Ausgedruckt am: 16.04.2025 um 13:04 Uhr
17 Kommentare
Neuester Kommentar
Läuft das über eine Internetverbindung? Ist das 195.140.50.xxx das Transfernetz? Bekommt die Sophos SG beim Tausch die gleiche IP wie die Sophos XG? Hast Du auf der XG eine Firewallregel erstellt, damit Du auf den Wan Port der XG überhaupt zugreifen darfst?
🖖
🖖
Läuft das über eine Internetverbindung? -> Ja. (Telekom)
Ist das 195.140.50.xxx das Transfernetz? -> Sind beides feste IP´s der Telekom. Wobei die natürlich etwas abgeändert sind
.
Bekommt die Sophos SG beim Tausch die gleiche IP wie die Sophos XG?-> Ja.
Hast Du auf der XG eine Firewallregel erstellt, damit Du auf den Wan Port der XG überhaupt zugreifen darfst? Konfiguriert habe ich nur die VPN Einstellungen. Aber ich konnte ja eine VPN Verbindung über einen anderen Standort aufbauen.
Über LTE von einem Mobiltelefon aus, funktioniert es auch einwandfrei.
Ist das 195.140.50.xxx das Transfernetz? -> Sind beides feste IP´s der Telekom. Wobei die natürlich etwas abgeändert sind
.Bekommt die Sophos SG beim Tausch die gleiche IP wie die Sophos XG?-> Ja.
Hast Du auf der XG eine Firewallregel erstellt, damit Du auf den Wan Port der XG überhaupt zugreifen darfst? Konfiguriert habe ich nur die VPN Einstellungen. Aber ich konnte ja eine VPN Verbindung über einen anderen Standort aufbauen.
Über LTE von einem Mobiltelefon aus, funktioniert es auch einwandfrei.
Port Forwarding Regeln und auch Firewall Regeln in der Sophos hast du beachtet ??
Für L2TP ist das bekanntlich:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Grundsätzliche Frage warum du das L2TP nicht direkt auf der Sophos terminierst ??
Für L2TP ist das bekanntlich:
- UDP 1701,
- UDP 500,
- UDP 4500,
- ESP Protokoll (IP50)
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Grundsätzliche Frage warum du das L2TP nicht direkt auf der Sophos terminierst ??
Ja, in der Sophos SG am anderen Standort sind die Ports nach außen freigegeben, sonst würde man nicht zur Sophos XG kommen.
Die SophosXG ist der VPN Server und es soll sich mit Windows Boardmitteln verbunden werden können.
Aufbau -> funktioniert nicht
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosXG WAN (195.140.50.205)
Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.200.5)
SophosSG LAN (192.168.200.1)
SophosSG WAN (204.46.53.20)
SophosXG WAN (195.140.50.205)
Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosSG WAN (195.140.50.205)
Die SophosXG ist der VPN Server und es soll sich mit Windows Boardmitteln verbunden werden können.
Aufbau -> funktioniert nicht
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosXG WAN (195.140.50.205)
Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.200.5)
SophosSG LAN (192.168.200.1)
SophosSG WAN (204.46.53.20)
SophosXG WAN (195.140.50.205)
Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.1.5)
Mikrotik Router LAN (192.168.1.1)
Mikrotik Router WAN (195.140.50.200)
SophosSG WAN (195.140.50.205)
Wo ist jetzt der Unterschied von Szenario 1 (funktioniert nicht) zu Szenario 3 (funktioniert) ???
Die sind doch identisch ?!
Vielleicht hilft hier wirklich besser mal eine kurze Topologie Skizze wie dein Kaskaden Aufbau aussieht ?!
Die sind doch identisch ?!
Vielleicht hilft hier wirklich besser mal eine kurze Topologie Skizze wie dein Kaskaden Aufbau aussieht ?!
Zitat von @Netsn00p:
Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.200.5)
SophosSG LAN (192.168.200.1)
SophosSG WAN (204.46.53.20)
SophosXG WAN (195.140.50.205)
Ich behaupte mal, wenn Du in dieser Konfiguration die IP der SophosSG auf 195.140.50.200 setzt wird es auch nicht funktionieren. Teste das doch mal. Wenn es nicht funktioniert, ist dei XG nicht richtig konfiguriert.Aufbau -> funktioniert
Windows 10 Rechner LAN (192.168.200.5)
SophosSG LAN (192.168.200.1)
SophosSG WAN (204.46.53.20)
SophosXG WAN (195.140.50.205)
🖖
Zitat von @aqui:
Wo ist jetzt der Unterschied von Szenario 1 (funktioniert nicht) zu Szenario 3 (funktioniert) ???
Die sind doch identisch ?!
Wo ist jetzt der Unterschied von Szenario 1 (funktioniert nicht) zu Szenario 3 (funktioniert) ???
Die sind doch identisch ?!
Nö, in 1 ist der Empfänger eine XG und in 3 eine SG.
🖖
Die kann ich nicht setzen, da es ein anderer Standort ist und dort eine andere IP vom Provider zugewiesen wird.
Es geht im allgemeinen darum, das eine SophosSG Firewall ersetzt wird. Mit der SG funktioniert L2TP VPN wunderbar, die XG ist grundkonfiguriert und es wurde nur L2TP VPN identisch der SG eingerichtet. Wie oben schon geschrieben wird man per LTE oder von einem anderen Standort sofort verbunden. Ich wüsste nicht, was ich da noch einstellen sollte, da es ja sonst funktioniert.
Auch mit einer TMG Firewall kann man sich aus dem 195.140.50.ér sofort per L2TP mit den gleichen Einstellungen verbinden.
Es geht im allgemeinen darum, das eine SophosSG Firewall ersetzt wird. Mit der SG funktioniert L2TP VPN wunderbar, die XG ist grundkonfiguriert und es wurde nur L2TP VPN identisch der SG eingerichtet. Wie oben schon geschrieben wird man per LTE oder von einem anderen Standort sofort verbunden. Ich wüsste nicht, was ich da noch einstellen sollte, da es ja sonst funktioniert.
Auch mit einer TMG Firewall kann man sich aus dem 195.140.50.ér sofort per L2TP mit den gleichen Einstellungen verbinden.
Nö, in 1 ist der Empfänger eine XG und in 3 eine SG.
Na ja, aber dann wohl beim gleichen IP Setup...?!Wenn dem so ist dann gibts nur 2 Optionen:
- Fehler im VPN oder Port Forwarding Setup der unterschiedlichen Modelle
- Bug in der Modell spezifischen Firmware
Also für mich sieht es so aus, als wenn die XG nicht richtig konfiguriert ist. Die XG läßt keine Verdindung aus dem eigen IP Bereich zu (Aufbau1), aus einem anderen Bereich schon (Aufbau 2) und in Aufbau 3 ist es eine SG. Kannst Du denn wenigstens in Aufbau 1 den Microtik gegen eine SG tauschen? Wenn es dann immer noch nicht funktioniert, liegt es an der Konfiguration der XG. Das sind so die Unterschiede, die ich sehe.
🖖
🖖
Den Mikrotik kann ich leider nicht gegen eine SophosSG tauschen. Die SophosXG habe ich eben nochmal neu aufgesetzt und L2TP VPN plain mit einem lokalen User eingerichtet. Von "extern" geht es, aber sowie ich vom selben WAN Bereich komme, geht es nicht. Komischerweise funktioniert dies bei der TMG und der SG. Dort wurde auch nichts weiter konfiguriert, keine Ahnung was die XG da anders macht oder haben will.
Ich behaupte mal, daß in der SG der Bereich definiert ist, der kommen darf und in der XG eben nicht.
🖖
🖖
Im Anfangspost habe ich einen Screenshot von den Einstellungen gemacht. Beim konfigurieren von VPN habe ich den Bereich schon angegeben .
.
Was passiert denn, wenn Du in der XG explizit nur die IP vom Microtik zulässt?
🖖
🖖
Eben getestet, funktioniert auch nicht. Mittlerweile gehe ich davon aus, das es ein Bug ist und man kein VPN über ein gleiches WAN Subnetz herstellen kann.
das es ein Bug ist und man kein VPN über ein gleiches WAN Subnetz herstellen kann.
Sehr wahrscheinlich denn mit allen anderen Firewalls am Markt ist das natürlich problemlos möglich. Hier mit einer pfSense im Test hat es sofort funktioniert.Zitat von @aqui:
Sehe ich dann auch so. Was sollt es sonst noch sein.das es ein Bug ist und man kein VPN über ein gleiches WAN Subnetz herstellen kann.
Sehr wahrscheinlich denn mit allen anderen Firewalls am Markt ist das natürlich problemlos möglich. Hier mit einer pfSense im Test hat es sofort funktioniert.🖖
