gelöst RRAS Remoterouter (Demand Dial Interface) IKEv2
Hallo,
dies ist meine erste Frage und ich hoffe nicht, dass ich gegen irgendwelche Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Ich habe einen VPS mit installiertem Windows 2012 R2. Auf besagtem Server habe ich RRAS installiert und Clients können sich verbinden. Auch ein Demand Dial Interface und die zugehörigen Routen funktionieren wenn ich eine Verbindung über L2TP/IPSec zum "VPN-Gateway" (Banana Pi R2 mit installiertem StrongSwan) herstelle.
Eine Verbindung über IKEv2 funktioniert allerdings nicht und wird mit dem Fehler "An error occured during connection of the interface. Routing and Remote access server is either not configured or not running." abgelehnt. Der Server ist konfiguriert und läuft (zu dem Zeitpunkt sind Clients verbunden). Die Verbindung soll über EAP-MSCHAPv2 authentifiziert werden.
Wenn ich eine VPN-Verbindung über das Network und Sharing Center aktiviere funktioniert IKEv2 auch.
Das VPN-Gateway befindet sich hinter einer Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt und der Router hat eine öffentliche IPv4.
Habt ihr eine Idee was ich hier übersehe oder kann RRAS einfach keine IKEv2 Verbindungen zu Gateways hinter einem NAT Router?
Ich hoffe ihr könnt mir helfen, danke!
dies ist meine erste Frage und ich hoffe nicht, dass ich gegen irgendwelche Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Ich habe einen VPS mit installiertem Windows 2012 R2. Auf besagtem Server habe ich RRAS installiert und Clients können sich verbinden. Auch ein Demand Dial Interface und die zugehörigen Routen funktionieren wenn ich eine Verbindung über L2TP/IPSec zum "VPN-Gateway" (Banana Pi R2 mit installiertem StrongSwan) herstelle.
Eine Verbindung über IKEv2 funktioniert allerdings nicht und wird mit dem Fehler "An error occured during connection of the interface. Routing and Remote access server is either not configured or not running." abgelehnt. Der Server ist konfiguriert und läuft (zu dem Zeitpunkt sind Clients verbunden). Die Verbindung soll über EAP-MSCHAPv2 authentifiziert werden.
Wenn ich eine VPN-Verbindung über das Network und Sharing Center aktiviere funktioniert IKEv2 auch.
Das VPN-Gateway befindet sich hinter einer Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt und der Router hat eine öffentliche IPv4.
Habt ihr eine Idee was ich hier übersehe oder kann RRAS einfach keine IKEv2 Verbindungen zu Gateways hinter einem NAT Router?
Ich hoffe ihr könnt mir helfen, danke!
2 Antworten
- LÖSUNG 138810 schreibt am 02.03.2019 um 11:48:58 Uhr
- LÖSUNG aqui schreibt am 02.03.2019 um 13:12:28 Uhr
LÖSUNG 02.03.2019, aktualisiert um 13:16 Uhr
RRAS kann kein IKEv2 DialOut, das musst du stattdessen mit der Powershell einrichten, dann klappt auch IKEv2
https://docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
https://docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
LÖSUNG 02.03.2019, aktualisiert um 13:20 Uhr
Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Einfach mal auf der Seite ganz nach unten sehen "Unsere Diskussionsrichtlinen"https://administrator.de/aboutus/rules.php
Wie man so etwas an so prominenter Steller übersehen kann....na ja Anfängerfehler
Windows kann problemlos IKEv2 Verbindungen unter IPsec.
Hier siehst du das an einem Live Beispiel:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Bzw. hier im Detail wie das unter Windows einzurichten ist:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Funktioniert fehlerlos !
Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt
Nicht ganz unkritisch an einer FritzBox, denn die ist ja selber aktiver IPsec VPN Server da sie ebenfalls diese Funktion hat.Hier musst du sicherstellen das das dortige IPsec deaktiviert ist sonst leitet die FB keine IPsec Pakete weiter auch nicht wenn diese (UDP500, UDP4500 und ESP Prot) dort im PFW eingetragen sind.
Welche das sind erklärt dir dieses Foren Tutorial:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...
Hier hilft dir ein Wireshark Sniffer oder tcpdump um auf dem Server überhaupt mal zu prüfen ob dort IPsec Pakete eingehen, sprich also ob die FBN überhaupt Ipsec Daten forwardet und das Port Forwarding da fehlerfrei klappt.
Nebenebi: Generell ist es keine gute Praxis Löcher in die Firewall zu bohren um ungeschützten Internet Traffic in ein lokales LAN zu forwarden. Aus gutem Grund sollten bei einem sauberen VPN Design die VPN Dialin Knoten immer auf der Peripherie liegen !
Warum du das nicht machst ist schleierhaft zumal du mit der FB ja auch einen VPN Server in der Peripherie hast. Aber egal...
Heiß diskutierte Inhalte
