RRAS Remoterouter (Demand Dial Interface) IKEv2
Hallo,
dies ist meine erste Frage und ich hoffe nicht, dass ich gegen irgendwelche Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Ich habe einen VPS mit installiertem Windows 2012 R2. Auf besagtem Server habe ich RRAS installiert und Clients können sich verbinden. Auch ein Demand Dial Interface und die zugehörigen Routen funktionieren wenn ich eine Verbindung über L2TP/IPSec zum "VPN-Gateway" (Banana Pi R2 mit installiertem StrongSwan) herstelle.
Eine Verbindung über IKEv2 funktioniert allerdings nicht und wird mit dem Fehler "An error occured during connection of the interface. Routing and Remote access server is either not configured or not running." abgelehnt. Der Server ist konfiguriert und läuft (zu dem Zeitpunkt sind Clients verbunden). Die Verbindung soll über EAP-MSCHAPv2 authentifiziert werden.
Wenn ich eine VPN-Verbindung über das Network und Sharing Center aktiviere funktioniert IKEv2 auch.
Das VPN-Gateway befindet sich hinter einer Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt und der Router hat eine öffentliche IPv4.
Habt ihr eine Idee was ich hier übersehe oder kann RRAS einfach keine IKEv2 Verbindungen zu Gateways hinter einem NAT Router?
Ich hoffe ihr könnt mir helfen, danke!
dies ist meine erste Frage und ich hoffe nicht, dass ich gegen irgendwelche Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Ich habe einen VPS mit installiertem Windows 2012 R2. Auf besagtem Server habe ich RRAS installiert und Clients können sich verbinden. Auch ein Demand Dial Interface und die zugehörigen Routen funktionieren wenn ich eine Verbindung über L2TP/IPSec zum "VPN-Gateway" (Banana Pi R2 mit installiertem StrongSwan) herstelle.
Eine Verbindung über IKEv2 funktioniert allerdings nicht und wird mit dem Fehler "An error occured during connection of the interface. Routing and Remote access server is either not configured or not running." abgelehnt. Der Server ist konfiguriert und läuft (zu dem Zeitpunkt sind Clients verbunden). Die Verbindung soll über EAP-MSCHAPv2 authentifiziert werden.
Wenn ich eine VPN-Verbindung über das Network und Sharing Center aktiviere funktioniert IKEv2 auch.
Das VPN-Gateway befindet sich hinter einer Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt und der Router hat eine öffentliche IPv4.
Habt ihr eine Idee was ich hier übersehe oder kann RRAS einfach keine IKEv2 Verbindungen zu Gateways hinter einem NAT Router?
Ich hoffe ihr könnt mir helfen, danke!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 424156
Url: https://administrator.de/forum/rras-remoterouter-demand-dial-interface-ikev2-424156.html
Ausgedruckt am: 06.07.2025 um 18:07 Uhr
2 Kommentare
Neuester Kommentar
RRAS kann kein IKEv2 DialOut, das musst du stattdessen mit der Powershell einrichten, dann klappt auch IKEv2
docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
docs.microsoft.com/en-us/windows/security/threat-protection/wind ...
1
Forenregeln verstoße (habe diese leider nicht gefunden) oder im falschen Unterforum poste.
Einfach mal auf der Seite ganz nach unten sehen "Unsere Diskussionsrichtlinen"Diskussionsrichtlinien - die Regeln zu unseren Inhalten
Wie man so etwas an so prominenter Steller übersehen kann....na ja Anfängerfehler
Windows kann problemlos IKEv2 Verbindungen unter IPsec.
Hier siehst du das an einem Live Beispiel:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bzw. hier im Detail wie das unter Windows einzurichten ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Funktioniert fehlerlos !
Fritz!Box (NAT-T) die notwendigen Portfreigaben sind erstellt
Nicht ganz unkritisch an einer FritzBox, denn die ist ja selber aktiver IPsec VPN Server da sie ebenfalls diese Funktion hat.Hier musst du sicherstellen das das dortige IPsec deaktiviert ist sonst leitet die FB keine IPsec Pakete weiter auch nicht wenn diese (UDP500, UDP4500 und ESP Prot) dort im PFW eingetragen sind.
Welche das sind erklärt dir dieses Foren Tutorial:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier hilft dir ein Wireshark Sniffer oder tcpdump um auf dem Server überhaupt mal zu prüfen ob dort IPsec Pakete eingehen, sprich also ob die FBN überhaupt Ipsec Daten forwardet und das Port Forwarding da fehlerfrei klappt.
Nebenebi: Generell ist es keine gute Praxis Löcher in die Firewall zu bohren um ungeschützten Internet Traffic in ein lokales LAN zu forwarden. Aus gutem Grund sollten bei einem sauberen VPN Design die VPN Dialin Knoten immer auf der Peripherie liegen !
Warum du das nicht machst ist schleierhaft zumal du mit der FB ja auch einen VPN Server in der Peripherie hast. Aber egal...
1
