VPN Problem - Alternativen
Moin
Wir haben da ein VPN-Problem, haben alles mögliche getestet und kommen nicht mehr weiter... vielleicht hat jemand von euch ein ähnliches Problem gehabt:
Es gab auf dem Notebook ursprünglich eine L2TP Verbindung zu Firma A (Windows nativ eingerichtet), die einwandfrei funktionierte. Danach wurde der FortiClient installiert,
um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten. Das Notebook war vorher lokal installiert und wurde später in die Bürodomäne integriert.
Seither funktioniert die L2TP-Verbindung nicht mehr, wobei wir nicht wissen, ob es wegen dem Domain-Join, wegen FortiClient oder aufgrund von anderen Problemen sein könnte.
Troubleshooting:
-Auf einem Fremdnotebook, welches sich nicht in der Domäne befindet, klappt die L2TP-Verbindung unter Windows ohne Probleme (selbst mit installiertem FortiClient)
-Es wurde ein neuer Benutzer angelegt mit dem selben Ergebnis, Notebook wurde zurückgesetzt (keine Verbesserung)
-Auf anderen PCs in der selben Domäne (ohne FortiClient) kann die L2TP-Verbindung auch nicht hergestellt werden
-Die IT-Firma, die die L2TP Verbindung ursprünglich eingerichtet hat, ist ratlos (Firewall auf der anderen Seite unbekannt)
Gibt es allenfalls einen VPN Client, mit welchem man die Verbindung noch testen könnte?
Wir haben da ein VPN-Problem, haben alles mögliche getestet und kommen nicht mehr weiter... vielleicht hat jemand von euch ein ähnliches Problem gehabt:
Es gab auf dem Notebook ursprünglich eine L2TP Verbindung zu Firma A (Windows nativ eingerichtet), die einwandfrei funktionierte. Danach wurde der FortiClient installiert,
um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten. Das Notebook war vorher lokal installiert und wurde später in die Bürodomäne integriert.
Seither funktioniert die L2TP-Verbindung nicht mehr, wobei wir nicht wissen, ob es wegen dem Domain-Join, wegen FortiClient oder aufgrund von anderen Problemen sein könnte.
Troubleshooting:
-Auf einem Fremdnotebook, welches sich nicht in der Domäne befindet, klappt die L2TP-Verbindung unter Windows ohne Probleme (selbst mit installiertem FortiClient)
-Es wurde ein neuer Benutzer angelegt mit dem selben Ergebnis, Notebook wurde zurückgesetzt (keine Verbesserung)
-Auf anderen PCs in der selben Domäne (ohne FortiClient) kann die L2TP-Verbindung auch nicht hergestellt werden
-Die IT-Firma, die die L2TP Verbindung ursprünglich eingerichtet hat, ist ratlos (Firewall auf der anderen Seite unbekannt)
Gibt es allenfalls einen VPN Client, mit welchem man die Verbindung noch testen könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 445883
Url: https://administrator.de/forum/vpn-problem-alternativen-445883.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
wie immer, Shrew, allerdings vermute ich hier eher ein GPO o.ä Problem. Und Ratlos bei VPN hab ich schon oft gesehen: Weicht minimal vom Standard/HowTo ab -> biste da.
Kommt eben auch darauf an, wie langfristig es genutzt werden soll. Dann lohnt sich auch ordentliches Troubleshooting.
Schönen Tag,
Christian
wie immer, Shrew, allerdings vermute ich hier eher ein GPO o.ä Problem. Und Ratlos bei VPN hab ich schon oft gesehen: Weicht minimal vom Standard/HowTo ab -> biste da.
Kommt eben auch darauf an, wie langfristig es genutzt werden soll. Dann lohnt sich auch ordentliches Troubleshooting.
Schönen Tag,
Christian
um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten
Kann eigentlich niemals sein, denn L2TP nutzt immer IPsec (ESP) und niemals SSL. Auch ist der Fortinet Client ein IPsec Client und kein SSL Client. Da stimmt also schonmal grundsätzlich was nicht !Ansonsten ist der oben schon angesprochene Shrew_VPN_Client der allseits bekannte Klassiker wenn man denn unbedingt mit externen Clients (IPsec) arbeiten will. Sinnvoll ist das allerdings nicht, denn Winblows (und alle anderen Clients auch) bringt ja alles dafür schon von sich aus mit !!
Wie es kinderleicht mit Winblows Bordmitteln (und IPsec) geht kannst du z.B. hier nachlesen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das ist bei allen anderen Firewalls identisch.
Dann ist schon das komplett falsch gelaufen, denn in der Regel benutzt L2TP immer IPsec (RFC3193). Der Windows bordeigene L2TP Client macht das wenigstens wie die Masse aller L2TP Clients auch.
Das kann dann schon mal generell nicht funktionieren wenn dein VPN Server SSL macht da logischerweise ganz andere Protokoll und nicht kompatibel. Auch mit einem anderen Client wird das nix, da die auch so gut wie alle IPsec nutzen !
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
Shrew dann schon mal gar nicht, da der wie fast alle externen VPN Clients generell gar kein L2TP macht sondern nur native IPsec (ESP Tunnelmode)
Da hast du dann deine Fortinet schon von sich aus falsch konfiguriert. Jedenfalls wenn du mit dem onboard Winblows L2TP Client arbeiten willst oder auch native IPsec Clients.
Wenn du mal ins Log sowohl der Firewall als auch des VPN Clients gesehen hättest und hier gepostet hättest, hättest du es auch ganz leicht selber sehen können. Hätte, hätte....
Das VPN Log ist wie immer dein bester Freund hier ! Was du vermutlich ignoriert hast ?!
Das kann dann schon mal generell nicht funktionieren wenn dein VPN Server SSL macht da logischerweise ganz andere Protokoll und nicht kompatibel. Auch mit einem anderen Client wird das nix, da die auch so gut wie alle IPsec nutzen !
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
Shrew dann schon mal gar nicht, da der wie fast alle externen VPN Clients generell gar kein L2TP macht sondern nur native IPsec (ESP Tunnelmode)
Da hast du dann deine Fortinet schon von sich aus falsch konfiguriert. Jedenfalls wenn du mit dem onboard Winblows L2TP Client arbeiten willst oder auch native IPsec Clients.
Wenn du mal ins Log sowohl der Firewall als auch des VPN Clients gesehen hättest und hier gepostet hättest, hättest du es auch ganz leicht selber sehen können. Hätte, hätte....
Das VPN Log ist wie immer dein bester Freund hier ! Was du vermutlich ignoriert hast ?!
es geht hier nur um den L2TP/IPsec Tunnel, welcher von einem anderen IT-Provider eingerichtet wurde
OK, solange der dann nicht auf der Firewall selber terminiert wird, sprich Firewall ist L2TP Server, ist das dann völlig Latte, da hast du recht.Allerdings hast du dich dann oben völlig falsch ausgedrückt bei der Designbeschreibung und so die Community hier auf den Holzweg geschickt !
Dir geht es also primär rein nur darum L2TP Traffic durch die Firewall zu bringen mit den entsprechenden Ports. Das hätte dir auch Dr. Google mit einem Mausklick beantworten können ohne einen Forenthread.
Die Firewall muss dann folgende L2TP Protokollkomponenten passieren lassen damit L2TP Sessions durchkommen:
- UDP 500
- UDP 4500
- UDP Port 1701
- ESP Protokoll (Nr. 50, kein UDP oder TCP ! ESP ist ein eigenes IP Protokoll mit der Nummer 50)
Was ist (IEK etc.) ??
Aber egal wenns nun rennt wie es soll ist alles gut.
Case closed !
Sehr komisch...
Eigentlich nicht wenn man gewusst hätte das du so uralte Windows Versionen einsetzt ! Aber da hast du die Community hier ja leider bewusst im Dunklen belassen so das wir von einer aktuellen Win 10 Version ausgegangen sind, die nämlich bekanntermaßen NAT Traversal (UDP 4500) problemlos beherrscht !Aber egal wenns nun rennt wie es soll ist alles gut.
Case closed !