Lancom PPTP Passthrough

Mitglied: ArnoNymous

ArnoNymous (Level 2) - Jetzt verbinden

02.12.2015 um 17:57 Uhr, 8223 Aufrufe, 19 Kommentare, 1 Danke

Hallo,

ein Kunde hat einen neuen Anschluß bekommen.
Dazu einen LANCOM 1783VA. Dahinter steht eine TMG2010, die als RAS-Server dient.
Feste IP-Adresse wurde vom alten Anschluß übernommen.

Den LANCOM habe ich nun entsprechend konfiguriert. Alles funktioniert soweit: OWA, ActiveSync, ect pp.
Nur das PPTP bekomme ich nicht durchgereicht. Ich habe den Port 1723 im Port-Forwarding eingetragen, aber das scheint nicht zu reichen.
Ich sehe auf der TMG in Log auch, dass der Client eine PPTP-Verbindung aufbaut, die daraufhin aber sofort wieder unterbrochen wird (0x80074e24 fwx_e_connection_killed).
Im EventLog des Clients finden sich folgende Einträge:

RAS Client ID 20227

Der Benutzer "domain\user" hat eine Verbindung mit dem Namen "VPN" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 720.


Ich weiß nicht weiter. Vor der Umstellung ging es, daher gehe ich nicht davon aus, dass es ein Fehler auf der TMG ist.
Hat jemand einen Tipp?


Viele Grüße
Mitglied: 114757
114757 (Level 4)
LÖSUNG 02.12.2015, aktualisiert 10.12.2015
Moin,
hast du denn auch das GRE Protokoll weitergeleitet ? Protokollnummer 47 (nicht Port)

Das PPTP ja nicht mehr sicher ist braucht man ja eigentlich nicht mehr zu erwähnen ...

Gruß jodel32
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 02.12.2015, aktualisiert 10.12.2015
Hallo,

Zitat von @ArnoNymous:
Ich habe den Port 1723 im Port-Forwarding eingetragen, aber das scheint nicht zu reichen.
Richtig. PPTP VPN besteht aus TCP Port 1723 sowie IP Protokoll 47 (nicht Port) hier auch GRE (Protokoll) genannt. Da muss beides weitergeleitet werden. Sollte dir das Protokoll vom LANCOM aber schon verraten haben.

https://de.wikipedia.org/wiki/Protokoll_(IP)

Gruß,
Peter
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 18:37 Uhr
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
LÖSUNG 02.12.2015, aktualisiert 10.12.2015
Zitat von @ArnoNymous:
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
In der Firewall-Section > Regeln

0c5da6d01b4de781bf1f5dde97cb6f48 - Klicke auf das Bild, um es zu vergrößern

3027f464418827eb39d9c11d55b6ab72 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 18:47 Uhr
Danke für die Hilfe.

Leider hat es nichts geholfen. Identischer Fehler.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
02.12.2015, aktualisiert um 18:50 Uhr
Zitat von @ArnoNymous:
Leider hat es nichts geholfen. Identischer Fehler.
Hat der Client zusätzliche aktive Netzwerkadapter (egal ob Bluetooth, virtuelle Interfaces etc. das alles zählt)?

Siehe auch
https://support.microsoft.com/en-us/kb/810979

https://www.google.de/search?q=PPTP+Error+720
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 18:51 Uhr
Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
02.12.2015, aktualisiert um 18:53 Uhr
Zitat von @ArnoNymous:

Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Von wo aus testest du die Verbindung ?

Schalte mal Wireshark mit in die Kommunikation mit rein ...

OS der Clients ?
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 18:56 Uhr
Zitat von @114757:

Zitat von @ArnoNymous:

Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Von wo aus testest du die Verbindung ?


UMTS sowie DSL von außerhalb.

Schalte mal Wireshark mit in die Kommunikation mit rein ...


Habe ich keine Erfahrungen mit, aber ich werde es mir mal anschauen.

OS der Clients ?

Win7 /Win10
Bitte warten ..
Mitglied: tikayevent
02.12.2015 um 19:11 Uhr
Eine Weiterleitung von GRE ist bei LANCOM nicht möglich. Jodel32 hat nur beschrieben, wie man die Firewall einstellt, um es durchzulassen, aber durch die fehlende Weiterleitung geht es nicht durch. GRE lässt sich aber schon aufgrund der Protokollbeschaffenheit nur sehr schwer händeln.
Bitte warten ..
Mitglied: Pjordorf
02.12.2015 um 19:12 Uhr
Hallo,

Zitat von @ArnoNymous:
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
Lancom selbst weiß es :-) face-smile
https://www2.lancom.de/kb.nsf/0/bb071f37529fedebc1256ed100461ac9?OpenDoc ...

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
02.12.2015 um 19:15 Uhr
Hallo,

Zitat von @tikayevent:
Eine Weiterleitung von GRE ist bei LANCOM nicht möglich.
Lancom sagt aber anderes. "PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
". Hier zu finden https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ...

Gruß,
Peter
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 19:20 Uhr
Da gehts ja um Portweiterleitung, nicht um Protokolle :P
Hatte es aber dennoch darüber versucht.
Bitte warten ..
Mitglied: Pjordorf
02.12.2015 um 19:38 Uhr
Hallo,

Zitat von @ArnoNymous:
Da gehts ja um Portweiterleitung
Genau das willst du doch, oder?
Und diesen Hinweis von Lancom hast du schon gesehen? "PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
". Hier zu finden https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ...

Sonst bleibt dir nur übrig Lancom selbst zu bemühen.

Deine Fehlermeldung lautet am Client immer noch 720? Da können sich Client und Server nicht über ein gemeinsames Protokoll unterhalten weil eben kein gemeinsames eingestellt ist. Wie sind die Einstellung am Client sowie am Server, passen die?

Was sagt ein Log deines Lancom aus welche Ports/Protokolle ankommen bzw. weitergeleitet werden? Was sagt dein VPN Server aus über die ankommenden Ports / Protokolle? Was sagt dein TMG2010 aus zu den nötigen Ports / Protokollen. Wenn dort überall alles OK dann bleiben nur noch Fehlerhafte Einstellungen am Client / Server übrig...

Gruß,
Peter
Bitte warten ..
Mitglied: ArnoNymous
02.12.2015 um 19:43 Uhr
Der Lancom und die TMG-extern befinden sich im 192.168.50.0 /24
Die TMG-intern sowie das Netz dahinter hat die 192.168.100.0 /24

Könnte hier das Problem liegen?
Der alte Router hatte jedoch die gleiche IP wie der neue Lancom. Daran wurde nichts geändert.
Bitte warten ..
Mitglied: Pjordorf
02.12.2015 um 20:12 Uhr
Hallo,

Zitat von @ArnoNymous:
Könnte hier das Problem liegen?
Nein.

Der alte Router hatte jedoch die gleiche IP wie der neue Lancom. Daran wurde nichts geändert.
Du hast sicherlich schon mal ein Gateway an den neueren MS OSen getauscht und gemerkt das dann sich die Firewall Profile ändern aufgrund der andren (neuen) MAC, oder?

Was also sagen deine Logs wo was noch ankommt bzw. abgeht.
Kommt am Lancom überhaupt alles an (TCP 1723 und GRE)?
Leitet der Lancom beides weiter? dazu siehe:
Kommt am TMG 2010 alles an (TCP 1723 und GRE)?
Leitet der beides weiter? Siehe dazu:
Kommt am VPN Server 192.168.100.x alles an (TCP 1723 und GRE)?
Wenn also am VPN Server 192.168.100.x alles ankommt (TCP 1723 und GRE) dann bleiben nur noch Fehlerhafte Einstellungen am VPN Client und / oder VPN Server übrig. Reden diese die gleiche Sprache bzw. Protokolle? Du bekommst doch einen 720*er Fehler, oder?

Gruß,
Peter
Bitte warten ..
Mitglied: ArnoNymous
03.12.2015 um 11:20 Uhr
Moin,

eine Nacht drüber geschlafen und nun funktioniert es.
Ich bedanke mich für eure Hilfe.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
03.12.2015, aktualisiert um 12:10 Uhr
Zitat von @ArnoNymous:
eine Nacht drüber geschlafen und nun funktioniert es.
Aha, sehr informativ :-( face-sad und was war's jetzt ?? Für die Nachwelt eventuell interessant, Danke.
Bitte warten ..
Mitglied: ArnoNymous
03.12.2015 um 12:18 Uhr
Du, ich weiß es nicht.
Wie gesagt, heute Morgen lief es dann einfach, als ich mich weiter damit beschäftigen wollte.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware19 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 6 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 10 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...