underclocker2k9
Goto Top

VPN Problem - Alternativen

Moin

Wir haben da ein VPN-Problem, haben alles mögliche getestet und kommen nicht mehr weiter... vielleicht hat jemand von euch ein ähnliches Problem gehabt:

Es gab auf dem Notebook ursprünglich eine L2TP Verbindung zu Firma A (Windows nativ eingerichtet), die einwandfrei funktionierte. Danach wurde der FortiClient installiert,
um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten. Das Notebook war vorher lokal installiert und wurde später in die Bürodomäne integriert.

Seither funktioniert die L2TP-Verbindung nicht mehr, wobei wir nicht wissen, ob es wegen dem Domain-Join, wegen FortiClient oder aufgrund von anderen Problemen sein könnte.

Troubleshooting:
-Auf einem Fremdnotebook, welches sich nicht in der Domäne befindet, klappt die L2TP-Verbindung unter Windows ohne Probleme (selbst mit installiertem FortiClient)
-Es wurde ein neuer Benutzer angelegt mit dem selben Ergebnis, Notebook wurde zurückgesetzt (keine Verbesserung)
-Auf anderen PCs in der selben Domäne (ohne FortiClient) kann die L2TP-Verbindung auch nicht hergestellt werden
-Die IT-Firma, die die L2TP Verbindung ursprünglich eingerichtet hat, ist ratlos (Firewall auf der anderen Seite unbekannt)

Gibt es allenfalls einen VPN Client, mit welchem man die Verbindung noch testen könnte?

Content-ID: 445883

Url: https://administrator.de/forum/vpn-problem-alternativen-445883.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

certifiedit.net
certifiedit.net 29.04.2019 um 11:28:28 Uhr
Goto Top
Hallo,

wie immer, Shrew, allerdings vermute ich hier eher ein GPO o.ä Problem. Und Ratlos bei VPN hab ich schon oft gesehen: Weicht minimal vom Standard/HowTo ab -> biste da.

Kommt eben auch darauf an, wie langfristig es genutzt werden soll. Dann lohnt sich auch ordentliches Troubleshooting.

Schönen Tag,

Christian
Spirit-of-Eli
Spirit-of-Eli 29.04.2019 um 11:29:15 Uhr
Goto Top
Moin,

soll der SSL Tunnel den Parallel zum L2TP Tunnel laufen?

Der FortiClient würde ha durch den L2TP tunneln wenn dieser parallel läuft.
Dann müsste die Gegenstelle die Kommunikation erstmal zulassen.

Gruß
Spirit
aqui
aqui 29.04.2019 aktualisiert um 12:12:01 Uhr
Goto Top
um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten
Kann eigentlich niemals sein, denn L2TP nutzt immer IPsec (ESP) und niemals SSL. Auch ist der Fortinet Client ein IPsec Client und kein SSL Client. Da stimmt also schonmal grundsätzlich was nicht !
Ansonsten ist der oben schon angesprochene Shrew_VPN_Client der allseits bekannte Klassiker wenn man denn unbedingt mit externen Clients (IPsec) arbeiten will. Sinnvoll ist das allerdings nicht, denn Winblows (und alle anderen Clients auch) bringt ja alles dafür schon von sich aus mit !!

Wie es kinderleicht mit Winblows Bordmitteln (und IPsec) geht kannst du z.B. hier nachlesen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das ist bei allen anderen Firewalls identisch.
underclocker2k9
underclocker2k9 29.04.2019 um 12:45:03 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

soll der SSL Tunnel den Parallel zum L2TP Tunnel laufen?

Der FortiClient würde ha durch den L2TP tunneln wenn dieser parallel läuft.
Dann müsste die Gegenstelle die Kommunikation erstmal zulassen.

Gruß
Spirit

Nein, die sollten nicht parallel laufen sondern jeweils nur einer gleichzeitig.
underclocker2k9
underclocker2k9 29.04.2019 um 12:47:20 Uhr
Goto Top
Zitat von @aqui:

um eine andere SSL-VPN Verbindung in das eigene Büro (sagen wir Firma B) einzurichten
Kann eigentlich niemals sein, denn L2TP nutzt immer IPsec (ESP) und niemals SSL. Auch ist der Fortinet Client ein IPsec Client und kein SSL Client. Da stimmt also schonmal grundsätzlich was nicht !
Ansonsten ist der oben schon angesprochene Shrew_VPN_Client der allseits bekannte Klassiker wenn man denn unbedingt mit externen Clients (IPsec) arbeiten will. Sinnvoll ist das allerdings nicht, denn Winblows (und alle anderen Clients auch) bringt ja alles dafür schon von sich aus mit !!

Wie es kinderleicht mit Winblows Bordmitteln (und IPsec) geht kannst du z.B. hier nachlesen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das ist bei allen anderen Firewalls identisch.

Hmm, auf der Forti wurde der Tunnelmodus SSL-VPN eingerichtet, wobei im FortiClient schon SSL-VPN und nicht IPsec eingerichtet wurde. Funktioniert auch alles sauber.

Oder aber es wäre wie certifiedIT meinte ein GPO Problem auf dem Server?
aqui
aqui 29.04.2019 aktualisiert um 13:06:47 Uhr
Goto Top
Dann ist schon das komplett falsch gelaufen, denn in der Regel benutzt L2TP immer IPsec (RFC3193). Der Windows bordeigene L2TP Client macht das wenigstens wie die Masse aller L2TP Clients auch.
Das kann dann schon mal generell nicht funktionieren wenn dein VPN Server SSL macht da logischerweise ganz andere Protokoll und nicht kompatibel. Auch mit einem anderen Client wird das nix, da die auch so gut wie alle IPsec nutzen !
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
Shrew dann schon mal gar nicht, da der wie fast alle externen VPN Clients generell gar kein L2TP macht sondern nur native IPsec (ESP Tunnelmode)
Da hast du dann deine Fortinet schon von sich aus falsch konfiguriert. Jedenfalls wenn du mit dem onboard Winblows L2TP Client arbeiten willst oder auch native IPsec Clients.

Wenn du mal ins Log sowohl der Firewall als auch des VPN Clients gesehen hättest und hier gepostet hättest, hättest du es auch ganz leicht selber sehen können. Hätte, hätte....
Das VPN Log ist wie immer dein bester Freund hier ! Was du vermutlich ignoriert hast ?! face-sad
underclocker2k9
underclocker2k9 29.04.2019 um 14:51:47 Uhr
Goto Top
Hi aqui

Mit der Forti und dem SSL-VPN ist soweit alles korrekt, es geht hier nur um den L2TP/IPsec Tunnel, welcher von einem anderen IT-Provider eingerichtet wurde wobei nun die Frage ist, ob das Problem beim Domain-Join ist oder nicht. Die Forti sowie der SSL-VPN Tunnel funktionieren einwandfrei.

Der L2TP Tunnel lässt sich unter Windows nicht mehr verbinden, auf einem anderen Notebook mit FortiClient und konfiguriertem SSL-VPN funktioniert es einwandfrei...
aqui
aqui 29.04.2019 aktualisiert um 17:22:18 Uhr
Goto Top
es geht hier nur um den L2TP/IPsec Tunnel, welcher von einem anderen IT-Provider eingerichtet wurde
OK, solange der dann nicht auf der Firewall selber terminiert wird, sprich Firewall ist L2TP Server, ist das dann völlig Latte, da hast du recht.
Allerdings hast du dich dann oben völlig falsch ausgedrückt bei der Designbeschreibung und so die Community hier auf den Holzweg geschickt ! face-sad
Dir geht es also primär rein nur darum L2TP Traffic durch die Firewall zu bringen mit den entsprechenden Ports. Das hätte dir auch Dr. Google mit einem Mausklick beantworten können ohne einen Forenthread. face-wink
Die Firewall muss dann folgende L2TP Protokollkomponenten passieren lassen damit L2TP Sessions durchkommen:
  • UDP 500
  • UDP 4500
  • UDP Port 1701
  • ESP Protokoll (Nr. 50, kein UDP oder TCP ! ESP ist ein eigenes IP Protokoll mit der Nummer 50)
underclocker2k9
underclocker2k9 29.04.2019 um 23:45:43 Uhr
Goto Top
Sorry wenns etwas Unklarheiten gabface-smile

Wenns so einfach gewesen wäre... hatten wir auch versucht. Wurden testweise sämtliche Ports und Services geöffnet auf der Forti (inkl. L2TP Ports). Wenn ich jedoch mit meinem Notebook im WLAN von Firma B bin (jedoch nicht in deren Domäne), kann ich mich ohne Probleme per L2TP über den internen Windows Client und den Angaben der Firma A (L2TP mit vorinstalliertem Schlüssel, CHAP/MSPAP, unsichere Verbindung ablehnen, Credentials) ins VPN der Firma A verbinden.

Windows Firewall wurde zum Testen auch deaktiviert.
aqui
aqui 30.04.2019 um 20:32:04 Uhr
Goto Top
Dann bleibt dir nur einen Wireshark Sniffer zur Hand zu nehmen und zu messen WO im Netzwerk dieser Traffic blockiert wird.
L2TP ist de facto rein nur
UDP 500
UDP 4500
UDP Port 1701
ESP Protokoll
Mehr ist dazu nicht zu sagen.
underclocker2k9
underclocker2k9 01.05.2019 aktualisiert um 00:30:37 Uhr
Goto Top
Hi

Wir hatten heute auf der Forti mit "diag sniffer packet" gesehen, dass der Verbindungsaufbau über die entsprechenden L2TP-Ports erfolgreich aufgebaut wurde (IEK etc.), es waren sowieso alle Services/Ports offen, da man aus dem internen WLAN mit einem Fremdgerät rausverbinden konnte.

Die Lösung war folgendermassen:

Den Registry-Eintrag für NAT-Traversal wurde mehrmals rausgelöscht und wieder eingefügt (obwohl er im Vorfeld bereits bestand) mit dem Wert (2) und siehe da, plötzlich steht die L2TP-Verbindung innert 2-3 Sekunden. Sehr komisch...

Falls jemand in Zukunft das Problem auch haben sollte:
https://support.microsoft.com/de-lu/help/926179/how-to-configure-an-l2tp ...

Danke für eure Unterstützung! face-smile
aqui
aqui 01.05.2019 aktualisiert um 11:35:49 Uhr
Goto Top
Was ist (IEK etc.) ??
Sehr komisch...
Eigentlich nicht wenn man gewusst hätte das du so uralte Windows Versionen einsetzt ! Aber da hast du die Community hier ja leider bewusst im Dunklen belassen so das wir von einer aktuellen Win 10 Version ausgegangen sind, die nämlich bekanntermaßen NAT Traversal (UDP 4500) problemlos beherrscht !
Aber egal wenns nun rennt wie es soll ist alles gut.
Case closed !
underclocker2k9
underclocker2k9 01.05.2019 um 11:51:39 Uhr
Goto Top
Ich weiss nicht genau was dein Problem ist, aber es handelt sich um Windows 10 Versionen! Deine Mutmassungen in den letzten Posts habe ich bewusst überlesen, ja.
aqui
aqui 01.05.2019 um 11:53:29 Uhr
Goto Top
Dann haben da noch andere was in der Registry "verschlimmbessert" face-sad