sersch90
Goto Top

Probleme beim einrichten eines IPSec Tunnel mit SBS 2003

Hallo zusammen

Nachdem nun der Fernzugriff über VPN und L2TP auf den SBS 2003 klappt stehe ich nun vor einem neuen Problem. Ich kann mit meinem VPN-Router kein IPSec Tunnel aufbauen. Er bekommt noch nicht ein Mal eine Verbindung. Sind noch irgendwelche Einstellungen am Server nötig?

Danke und Gruss
Sersch

Content-Key: 171770

Url: https://administrator.de/contentid/171770

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Pjordorf
Pjordorf 19.08.2011 um 13:45:14 Uhr
Goto Top
Hallo,

Zitat von @Sersch90:
Sind noch irgendwelche Einstellungen am Server nötig?
Was möchtest du denn jetzt als Antwort Hören? Ja es sind noch Einstellungen nötig oder, Nein es sind keine weiteren Einstellungen nötig. Solange du uns alle deine Einstellungen und nötigen Informationen vorenthälst, kannst du dir deine Antwort selbst aussuchen.

Gruß,
Peter

Ports, Weiterleitung(en), Firewall, wenn ja welche und wo, ISA Installiert?, mehr als eine Netzwerkkarte im SBS eingebaut? IP(s) deiner Netzwerkkarte(n), IPs deines VPN usw usw usw. Eine suche hier im Forum hätte dir auch helfen können!
Mitglied: Sersch90
Sersch90 19.08.2011 um 13:56:25 Uhr
Goto Top
Also Ports UDP 500, UDP 1723, UDP 4500, TCP 10'000 und UDP 1701 sind offen. Zusätzlich unterstützt der Router (192.168.2.1) am Server L2TP/IPSec Pass-Trough. ISA ist nicht auf derm Server installiert.

Die Konfiguration der Netzwerkadapter lautet wie folgt:
PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physikalische Adresse . . . . . . : 00-53-45-00-00-00
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.2.20
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Ethernet-Adapter LAN-Verbindung des Servers:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-23-54-14-38-FA
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.2.3
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1
DNS-Server . . . . . . . . . . . : 192.168.2.3
Primärer WINS-Server . . . . . . : 192.168.2.10
NetBIOS über TCP/IP . . . . . . . : Deaktiviert


Als DHCP Server fungiert der SBS. Und wie gesagt die Konfiguration für eine L2TP Verbindung steht. Braucht es sonst noch was zu wissen?

Die Suche habe ich genutzt, jedoch keine Lösung gefunden. Wenn du mich auf einen Beitrag verweisen kannst bin ich froh.

Danke
Mitglied: Pjordorf
Pjordorf 19.08.2011 um 14:17:48 Uhr
Goto Top
Hallo,

Zitat von @Sersch90:
Also Ports UDP 500, UDP 1723, UDP 4500, TCP 10'000 und UDP 1701 sind offen. Zusätzlich unterstützt der Router (192.168.2.1) am Server L2TP/IPSec Pass-Trough.
Also alle deine genannten Ports wirst du für L2TP/IPsec nicht brauchen. Ob dein uns unbeaknnter Router aber auch NAT-T macht wissen wir nicht. Viele Router behaupten L2TP/IPSEC pass through zu können, es aber dann nicht richtig beherschen.

Die Suche habe ich genutzt, jedoch keine Lösung gefunden. Wenn du mich auf einen Beitrag verweisen kannst bin ich froh.
Hier im Forum ist unser Freund @aqui welcher mit VPN sich bestens auskennt und hat schon zig Tutorials dazu hier verfasst. Da wirst du bestimmt fündig werden.

Gruß,
Peter
Mitglied: Sersch90
Sersch90 19.08.2011 um 14:26:33 Uhr
Goto Top
Beim Router handelt es sich um ein Netopia 3352.
Werde mir mal die Anleitungen anschauen.
Mitglied: Pjordorf
Pjordorf 19.08.2011 um 15:00:17 Uhr
Goto Top
Hallo,

Zitat von @Sersch90:
Beim Router handelt es sich um ein Netopia 3352.
Naja. Das ist ein ADSL (ISDN) nach USB Konverter welcher eine Firewwall beinhaltet und NAT / NAPT kann. Am USB ist doch noch ein PC dran, der ist dann wenn überhaupt dein Router. http://www.pctipp.ch/index.cfm?pid=1377&pk=28739 oder http://www.netopia.com/equipment/products/3000/3342n_pocket_modem_ds.pd ...

Vielleicht schaust du dir mal ein Mikrotik mit RouterOS RB750G oder ein PFSense oder Monowall oder FlI4L an. Sind preiswert (teils kostenlos) und können alles was du brauchst um VPN L2TP/IPsec zum laufen zu bringen.

Gruß,
Peter
Mitglied: Sersch90
Sersch90 19.08.2011 um 15:09:12 Uhr
Goto Top
Sry war mein Fehler, habe ein Netopia 3356 kein 3356. Bin da irgendwie abgerutscht.
Mitglied: 57263
57263 19.08.2011 um 16:36:10 Uhr
Goto Top
häufig wird übersehen - ist mir auch schon zweimal passiert und hab's vergessen - das GRE-Protokoll für alle IP-Adressen auf allen Firewalls und Routern durchzuleiten.
Mitglied: Pjordorf
Pjordorf 19.08.2011 um 19:52:25 Uhr
Goto Top
Hallo,

Zitat von @57263:
das GRE-Protokoll für alle IP-Adressen auf allen Firewalls und Routern durchzuleiten.
Das braucht er aber nur wenn er als VPN PPTP verwenden will. Er will aber L2TP/IPsec verwenden.

Hier nochmal eine zusammenfassung der ports:

IPsec != L2TP/IPsec != PPTP

IPsec allein verwendet keine Ports. Es geht ueber die IP-Protokolle AH (IP-Protokoll 51) und ESP (IP-Protokoll 50), kann aber nicht mit NAT betrieben werden.

IPsec in Kombination mit L2TP und NAT-T:
- muessen beide Seiten (Client und Server) koennen, ansonsten ohne NAT-T -
UDP 500
UDP 1701
UDP 4500 (ueber UDP 4500 werden hier die ESP-Pakete gekapselt)

IPsec in Kombination mit L2TP, ohne NAT-T:
- nicht ueber NAT realisierbar -
UDP 500
UDP 1701
ESP-Protokoll
AH-Protokoll

PPTP:
TCP 1723
GRE-Protokoll (IP-Protokoll 47)

Da er ja L2TP/IPsec auf seinen Server machen will welcher hinter ein NAT gerät steht, braucht es noch NAT-T. Jetzt hängt es noch ab ob sein Client ebenfalls hinter einem NAT gerät steht usw.

PPTP geht auch über NAT Geräte.

Oder einen Router (Kaufen oder Selbstbauen (RouterOS oder PFSense oder Monowall) und daruf den VPN terminieren und es geht auf jeden fall.

Gruß,
Peter