nimda.e
Goto Top

VPN 2003 Server mit IPSEC und L2TP

Hallo liebe Forenmitglieder,

ich habe da ein kleines Problem mit meinem VPN Server (Win2003 Server) zuhause der hinter einem Netgear DG834 Router steht.

Ich habe soweit alles eingerichtet die Zertifizierungsdienste etc. auch richtig konfiguiert (Meiner Meinung nach). Der Internet-Client nimmt auch das richtige Zertifikat aus seinem Speicher, allerdings dauert es am Internet-Client ewig bis die Fehlermeldung kommt das er keine Verbindung herstellen kann (Timeout). Von meiner Lokalen-Workstation aus kann ich mich mit IPSEC etc. ohne Probleme einwählen

Im Router sind alle nötigen Ports an den Server weitergeleitet (500, 1701 und 1723 UDP soweit ich weis). Der Hersteller meint laut seiner Website, dass dieser die VPN Pass-Through Technoligie besitzt. Nun bin ich allerdings stark am zweifeln ob das stimmt. Hat jemand ähnliche Erfahrung gemacht oder habe ich einen Port vergessen ? Im Ereignisprotokoll ist auch nix zu sehen das die Verbindung verweigert wird geschweige denn ein Eintrag diesbezüglich zu sehen ist sogar im Router nicht.

Kurzinfos:

- Die Einwählberechtigungen sind via RAS-Richtlinien gesetzt.
- Servername: 2003server.universum.local
- Zertifizierungsstelle xxxxxxx.homeip.net (DynDns auf win2003.Universum.local(server))
- Vom LAN aus "DFÜ"-VPN mit 192.168.0.xx erstellt (also nicht den server namen angegeben)
- Vom Internet-CLIENT aus die DynDns angegeben. (worauf auch das Zertifikat läuft für den Benutzer)
- Die Zertifikate an beiden Clients sind im Computerkonto installiert.
- Beide Rechner, der im LAN und im Internet, haben das gleiche Zertifikat installiert bekommen.
- IPSEC mit preshared Key keiner der beiden Clients war oder ist in der Domäne.

5h Googln hat mich leider auch nicht "heller" ;o) gemacht. Ich bin mit meinem Latein echt am Ende. Ich hoffe Ihr könnt mir weiterhelfen.

MFG
Nimda.E

Content-ID: 3739

Url: https://administrator.de/contentid/3739

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

Samtpfote
Samtpfote 06.11.2004 um 16:16:46 Uhr
Goto Top
Hallo Nimda
spannendes Problem, finde bei der Konfiguration keine Schwachstelle...
hätte noch eine Idee:
Hast Du die Stateful Paket Inspection (SPI) am Netgear eingeschaltet? Damit geht nämlich das VPN Pass Through nicht!
Hope this helps
A.
Samtpfote
Samtpfote 07.11.2004 um 15:51:52 Uhr
Goto Top
Hallo Nimda, ich bin heute zufällig über einen neuen Knowledgebaseartikel gestolpert, der von einer Änderung von IPSec bei Windows XP mit SP2 über NAT-T und Problemen damit berichtet... schau Dir das mal an
http://support.microsoft.com/default.aspx?scid=kb;en-us;885348
hältst Du mich über Deine Lösung am Laufenden? Mich interssiert das nämlich, danke.
Grüße
A.
Nimda.E
Nimda.E 07.11.2004 um 18:49:40 Uhr
Goto Top
Hallo Samtpfote, vielen Dank für Deine Antworten, habe schon gedacht es würde sich keiner melden.

Bisher habe ich noch keine Lösung gefunden, allerdings bin ich davon überzeugt, das es an meinem Router liegt.
Hoffe die bringen bald mal ein anständiges Firmware Update raus womit sich dieses Problem beheben lässt. Ich haue den Server mal in eine DMZ und hoffe das das hilft erstmal.

Werde Dich mit weiteren einzelheiten auf dem lauffenden halten.

MFG
Nimda.E
Samtpfote
Samtpfote 07.11.2004 um 18:53:23 Uhr
Goto Top
Hast Du schon versucht, SPI zu disablen?
Nimda.E
Nimda.E 07.11.2004 um 18:59:50 Uhr
Goto Top
ARGh,

jetzt kommt am Client folgender fehler :

Fehler 789:

Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist.

und wenn man es nochmal probiert

Fehler 792

Der L2TP verbindungsversuch ist fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschriten hat.

hmm irgendwas muss ich falsch machen.....

Greetz
Nimda.E
Samtpfote
Samtpfote 07.11.2004 um 19:04:18 Uhr
Goto Top
XP mit servicepack 2?
hosebei
hosebei 07.11.2004 um 21:41:19 Uhr
Goto Top
Hallo,

ich hatte dasselbe Problem. Das einwählen über das intern Interface klappte problemlos. Als es dann aber ums einwählen über Internet ging, klappte es nicht mehr. Auf dem Internet Interface waren nur die Ports 500, 1701 und 4500 geöffnet.
Danach hab ich im Netzwerkmonitor festgestellt, dass eine weiter Anfrage des Clients plötzlich mit Source Port 2296 und Destination 4500 kam. Diesen Filter hab ich dann auch beim Inbound hinzugefügt und danach klappte die VPN einwahl. Kann nun nicht bestätigen ob dieser Port dann bleibt, aber ich befürchte, dass dieser wechselt...

Ich hoffe das hilft weiter.

Gruss Martin
hosebei
hosebei 07.11.2004 um 21:43:37 Uhr
Goto Top
Sorry für die vielen Tipp- und Rechtschreibfehler.

Ich habe noch was vergessen, SP2 oder das obengenannte Update sind pflicht.
Nimda.E
Nimda.E 07.11.2004 um 21:55:40 Uhr
Goto Top
XP ist SP 2 auf beiden Clients

Hmm Port 4500 ?? vielleicht sollte man das mal versuchen.

2003 Server ist ohne jegliches SP. habe mir auch gleich in den ersten 3 minuten Blaster eingefangen, nachdem ich den Server ins DMZ gestellt habe. lol dachte das der schon ausgestorben sei aber man lernt ja nie aus...

mfg Nimda.E
hosebei
hosebei 07.11.2004 um 22:00:06 Uhr
Goto Top
Sorry, ich meinte auf dem Win XP Client muss das SP2 oder der NAT-T Patch installiert sein. Und wie oben beschrieben muss nach der Installation von SP2 auf dem XP Client das NAT-T wieder aktiviert werden. Aber ich bin noch am googlen warum der port dann wechselt. Mein client sitz hinter einem NAT, aber dies sollte keine Rolle spielen.
Ich hatte auch Glück, zum testen, hab ich mal beim Server alles durchgelassen von den Filternregel her, und es passierte nix face-smile Als dann die Einwahl klappte, hab ich den Netzwerkmonitor zur Hand genommen.
Samtpfote
Samtpfote 07.11.2004 um 22:19:32 Uhr
Goto Top
das ist doch genau was ich Dir gesagt habe.... Lies den KB Artikel zum geänderten NAT-T bei SP2! Den Server kannst lassen, wo er ist, Deine erste Fehlermeldung kam vom SPI am Netgear, die zweite wegen SP2 am Client.
Tut mir leid, daß Du Dir den Blaster eingetreten hast, aber das war völlig unnötig.
Grüße
A.
hosebei
hosebei 07.11.2004 um 22:44:11 Uhr
Goto Top
Ich habe den Wert des hier beschriebenen Key AssumeUDPEncapsulationContextOnSendRule auf 2, aber der Port, der eigentlich als IPSec Port mit 4500 in Netz sollte, ändert sich trotzdem.
Weisst Du warum dies sich so verhaltet, und was ich noch nicht beachtet habe?
Samtpfote
Samtpfote 07.11.2004 um 23:13:22 Uhr
Goto Top
Ich frag mich ja, warum Microsoft plötzlich so dringend von so einer Konfiguration (L2TP/IPSec über T-NAT) abrät... (der VPN Server steht doch so gut wie immer hinter einem NAT-Router...)
Ich war vor ein paar Tagen bei den Microsoft BIG Days in der VPN Session, ich schau mal ob ich in den Unterlagen was finde...
hosebei
hosebei 07.11.2004 um 23:16:46 Uhr
Goto Top
Ich hab nun zum Test, obwohl es ja heisst, Wert 1 kommt dann zum Einsatz, wenn nur der Server hinter einem NAT ist, den Wert auf 1 gesetzt. Und es passiert dasselbe. Wenn ich den generierten Port freigebe, klappt das Login sogleich.
Also bei mir ist der Client hinter einem NAT und der RAS Server direkt am Internet.
Samtpfote
Samtpfote 07.11.2004 um 23:27:48 Uhr
Goto Top
Gut zu wissen, danke.
Ob Nimda schon aufgegeben hat?
Nimda.E
Nimda.E 08.11.2004 um 13:02:21 Uhr
Goto Top
Naja am liebsten würde ich solangsam die Kiste aus dem Fenster schmeissen, aber da Ihr mir so gute Ratschläge gebt, denke ich nochmal darüber nach. ;o)

Mit den NAT-T aktivieren habe ich auch noch nix gefunden, aber auf alle fälle bin ich schon einen kleinen schritt weiter. Der Port 4500 wird von VPN benutzt. Merkwürdig aber war, wie ihr es beschrieben habt.

Werde mal morgen abend weiter basteln und eure Ratschläge umsetzten. Hoffe es bringt mich weiter. VPN ist ein sehr interessantes Thema und daher kann man nicht einfach so aufgeben ;o)

Also wie gehabt über neuerungen halte ich euch auf dem laufenden.

MFG
Nimda.E
hosebei
hosebei 09.11.2004 um 23:11:09 Uhr
Goto Top
Hier noch eini Link
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/t ...

und nun will ich als nächstes mal hinter meinem NAT einen Win2003 Server installieren, und von diesem eine NAT-T Verbindung zum Server aufbauen.
Weil ich finde es kann kaum am Server liegen, wenn der Client mit merkwürdigen Portnummern anstatt 4500 Kommunizieren will.
Nimda.E
Nimda.E 11.11.2004 um 14:01:39 Uhr
Goto Top
Servus nochmal,

so habe SP2 auf client und der Server ist auch auf dem aktuellen Stand. Die registry Werte habe ich geändert sowohl am client als auch auf dem Server aber es bleibt beim gleichen.

Bei SP2 braucht man kein NAT-T patch oder doch ? Wenn ja wo kann man es downloaden ? Habe zwar eins gefunden aber das meldet bei der installation das die windows version nicht stimmen würde.

Hat einer von euch dasselbe Problem ?

mfg
Nimda.E
Nimda.E
Nimda.E 11.11.2004 um 15:43:01 Uhr
Goto Top
So endlich geschafft,

es fuktioniert und zwar einwandfrei ! JUHUUUUU !!!! Mit dem ändern der Registry Werte, das war der Haken bei mir. Dann dummerweise war ich so verrückt und wollte die VPN verbindung anhand meines DYNDNS namens ausprobieren aus dem lokalen Netz. Allerdings hat der Client und der Server das ISKAMP Protokoll (Port 500) gewollt. In meinem Router war der Port 500 allerdings immer nur auf den Server geroutet, sodass der Client keine bestätigung erhalten hat. Blöd, ich weiss.

Aber eine Frage tut sich da bei mir auf, mein VPN braucht nur einen Port und zwar den 500 um eine verbindung zu erstellen.

Naja habt Vielen Vielen Vielen Dank an Euch allen die mir geholfen habt. ;o)

Kurzfassung:
Die Lösung war im NAT-T -> Regestry Einträge Hinzufügen am client und Server, beide neustarten

MFG
Nimda.E
Keamas
Keamas 07.05.2005 um 21:45:17 Uhr
Goto Top
Hi

ich vermute ich habe das selbe Problem.
Habe ich euch richtig verstanden ich setze in der Registry
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule auf den Wert 2

am Server (Windows 2003 Server SP1) und am Client Windows XP SP 2

danach sollte es tun oder ?

und habe ich Nimda.E richtig verstanden ich kann das praktisch nicht aus dem lokalen netz testen weil genau das habe ich eben versucht.
Keamas
Keamas 10.05.2005 um 10:33:31 Uhr
Goto Top
jaaaa nun geht es endlich auch bei mir face-smile
nach einigem Rumspielen in der Registry hats geklappt.
Und da heisst es Windows sei Benutzerfreundlich. hmmm naja vielen dank für die Hilfe hier
Nimda.E
Nimda.E 10.05.2005 um 18:25:34 Uhr
Goto Top
Freut mich, das ich dir helfen konnte
RKO
RKO 25.10.2006 um 18:01:49 Uhr
Goto Top
Hallo Kollegen,

ja jetzt gehts auch bei mir.

DANke, Danke face-smile face-smile

Gruß
RKO

http://support.microsoft.com/kb/818043/de

habs so eingestellt


IPsec NAT-T- und Firewall-Regeln
Da die Unterstützung für die IPsec NAT-T-Funktionalität auf IETF RFC 3193 und Version 2 der ursprünglichen IETF-NAT-T Internet Drafts basiert, müssen Sie in den Firewall-Regeln die folgenden Ports und Protokolle öffnen bzw. zulassen, damit diese Dienste durch eine Firewall ausgeführt werden können:
• Internet Key Exchange (IKE) – UDP-Port 500
• IPsec NAT-T – UDP-Port 4500
• Encapsulating Security Payload (ESP) – IP-Protokoll 50

und Wert 2 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Gehen Sie folgendermaßen vor, um den Registrierungswert AssumeUDPEncapsulationContextOnSendRule zu erstellen und zu konfigurieren: 1. Klicken Sie auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie auf OK.
2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec
3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf DWORD-Wert.
4. Geben Sie in das Feld Neuer Wert #1 den Namen AssumeUDPEncapsulationContextOnSendRule ein, und drücken Sie die [EINGABETASTE].
5. Klicken Sie mit der rechten Maustaste auf AssumeUDPEncapsulationContextOnSendRule, und klicken Sie auf Ändern.
6. Geben Sie in das Feld Wert einen der folgenden Werte ein: • 0 (Standard)
Mit dem Wert 0 (Null) wird Windows so konfiguriert, dass keine Sicherheitszuordnungen mit Servern eingerichtet werden können, die sich hinter NATs befinden.
• 1
Mit dem Wert 1 wird Windows so konfiguriert, dass Sicherheitszuordnungen mit Servern eingerichtet werden können, die sich hinter NATs befinden.
• 2
Mit dem Wert 2 wird Windows so konfiguriert, dass Sicherheitszuordnungen eingerichtet werden können, wenn sich sowohl der Server als auch der Windows XP SP2-Clientcomputer hinter NATs befinden.

7. Klicken Sie auf OK, und beenden Sie den Registrierungseditor.
8. Starten Sie den Computer neu.
Joergy
Joergy 11.02.2007 um 14:40:00 Uhr
Goto Top
Hallo zusammen,

ich habe die Einstellungen wie im Thread diskutiert vorgenommen. Habe die Regedit Einstellungen auf unserem SBS 2003 und den WindowsXP Workstations eingestellt (Wert 2).
Danach habe ich aus dem Firmennetzwerk die Verbindung erfolgreich testen können.

Soweit so gut. Nun habe ich aber mein Notebook mit genommen und versucht mich von zuhause einzuloggen.
Dabei bekomme ich leider die folgende Fehlermeldung:

Benutzername und Kennwort werden verifiziert...

Fehler 0x8009030C: Der Anmeldeversuch ist fehlgeschlagen


Kann mir da jemand weiter helfen? Hatte mich schon zu früh gefreut, das unser VPN Zugang funktioniert.


Dank,
Joergy

P.S.:
NACHTRAG:
Heute morgen habe ich einen direkten internen Zugriff auf den SBS 20003 probiert. Und dort habe ich die gleiche Fehlermeldung bekommen. Jetzt geht der Zugriff nicht mehr!? Diese hat aber definitiv noch letzte Woche geklappt.

Hier mal die Infos aus System-Ergebnisanzeige:

Quelle: RemoteAccess
Ergebniskennung: 20189
Beschreibung:
Der Benutzer "xxx@xxx.local", der eine Verbindung mit xxx.xxx.xxx.xxx hergestellt hat, hat sich aus folgendem Grund nicht authentifiziert: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.


Habe diesbezüglich auch schon ein wenig gegoogelt. Und die Einstellungen wie unter http://support.microsoft.com/?scid=kb%3Bde%3B266460&x=12&y=11 geändert. Also noch einen Haken bei Ethernet aktiviert. Hat leider nichts gebracht.

Kennt jemand dieses Problem bzw. hat jemand dafür eine Lösung.

Danke,
Joergy