8
VPN-Server unter WinXP - Client kann aber nicht verbinden
Hallo zusammen!
Ich hab mir schon einige Artikel zu dem Thema gelesen, aber noch keine Antwort auf mein Problem gefunden.
Ich betreibe einen WinXP pro Rechner als Server hinter der FritzBox Fon (die aller erste).
Mein Problem ist nun, dass ich auf dem Server den VPN-Dienst von Windows nutzen möchte. Eine Anleitung wie man Server und Client zu konfigurieren hat, hab ich im Netz gefunden, aber leider kann der Client PC nicht verbinden. Ich hab einen VPN-Benutzer "Test" mit dem Passwort "1234" auf dem Server angelegt, aber wenn ich bei dem Client diese User-Daten eingebe, kommt die Meldung: "Es konnte keine Verbindung unter dem angegeben Namen bzw. Passwort hergestellt werden".
Ich weiß echt nicht mehr weiter! Ich hab die Anleitung 1000mal gelesen und alles überprüft!! Ich hoffe einer von euch kann mir helfen!
Viele Dank im Voraus und mit freundlichem Gruß
Euer Judge
Ich hab mir schon einige Artikel zu dem Thema gelesen, aber noch keine Antwort auf mein Problem gefunden.
Ich betreibe einen WinXP pro Rechner als Server hinter der FritzBox Fon (die aller erste).
Mein Problem ist nun, dass ich auf dem Server den VPN-Dienst von Windows nutzen möchte. Eine Anleitung wie man Server und Client zu konfigurieren hat, hab ich im Netz gefunden, aber leider kann der Client PC nicht verbinden. Ich hab einen VPN-Benutzer "Test" mit dem Passwort "1234" auf dem Server angelegt, aber wenn ich bei dem Client diese User-Daten eingebe, kommt die Meldung: "Es konnte keine Verbindung unter dem angegeben Namen bzw. Passwort hergestellt werden".
Ich weiß echt nicht mehr weiter! Ich hab die Anleitung 1000mal gelesen und alles überprüft!! Ich hoffe einer von euch kann mir helfen!
Viele Dank im Voraus und mit freundlichem Gruß
Euer Judge
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 44781
Url: https://administrator.de/contentid/44781
Ausgedruckt am: 26.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Hi Judge,
da habe ich auch lange gebusselt.
Hast du "AssumeUDPEncapsulationContextOnSendRule" in der REG auf dem server und client gepatcht ?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
***
Bitte auch mal die Einstellungen von der Box posten
Gruß
RKO
da habe ich auch lange gebusselt.
Hast du "AssumeUDPEncapsulationContextOnSendRule" in der REG auf dem server und client gepatcht ?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
***
Bitte auch mal die Einstellungen von der Box posten
Gruß
RKO
Danke erstmal für die Antwort RKO!
Die Einstellungen meiner Box: Port 500 UDP, 1723 TCP und GRE an den Server weitergeleitet.
Naja und gepacht hab ich noch nix! Muss auch gestehn, dass ich den Eintrag nicht kenne ;)
Aber es sieht mir so aus, als ob es etwas mmit IPSEC zu tun hat, und ich stelle die Verbindung via PPTP-VPN her.
Aber falls ich trotzdem nen Patch durchführen sollte wär da ne kleine Anleitung oder ein Link ne nette Sache
!
THX
Judge
Die Einstellungen meiner Box: Port 500 UDP, 1723 TCP und GRE an den Server weitergeleitet.
Naja und gepacht hab ich noch nix! Muss auch gestehn, dass ich den Eintrag nicht kenne ;)
Aber es sieht mir so aus, als ob es etwas mmit IPSEC zu tun hat, und ich stelle die Verbindung via PPTP-VPN her.
Aber falls ich trotzdem nen Patch durchführen sollte wär da ne kleine Anleitung oder ein Link ne nette Sache
!THX
Judge
Hi ,
ja geht um IPSEC
Anbei trozdem die Beschreibung
Gruß
RKO
***
Einführung
L2TP (RFC 2661) ist ein standardisiertes VPN-Protokoll, das auf IPSec (RFC 2401, RFC 2402, RFC 2406, RFC 2407, RFC 2409) basiert (RFC 3193) und in Windows 2000, Windows XP und Windows Server 2003 standardmäßig implementiert ist.
Die Vorteile gegenüber L2TP gegenüber dem ebenfalls verbreiteten PPTP liegen vor allem in der höheren Sicherheit. Durch die Verwendung von IPSec muss sich nicht nur der Benutzer, sondern auch der Computer authentifizieren. Dadurch kommt schon automatisch ein zweiter Authentifizierungsfaktor dazu.
IPSec war aber ursprünglich nicht fähig, über NAT-Router hinweg Verbindungen aufzubauen. Der Grund liegt in der Tatsache, dass NAT ja eigentlich ein "Hack" ist und IP-Adressen verfälscht, ein "Angriff", den IPSec eigentlich verhindern sollte.
Die mangelnde NAT-Fähigkeit von IPSec behinderte dessen weite Verbreitung. Deshalb wurde mit NAT-T ein Zusatzprotokoll entworfen, mit dem IPSec NAT-fähig gemacht wird. Dieses Protokoll ist in Windows Server 2003 standardmäßig implementiert. Für Windows 2000 und Windows XP als Clients gibt es ein Update, um NAT-T zu implementieren. Dieses Update ist in Service Pack 2 enthalten.
Das Problem
Microsoft sieht NAT-T mittlerweile in einem ziemlich unwahrscheinlichen Fall als Sicherheitsrisiko an. Der im verlinkten Knowledge Base-Artikel geschilderte Fall ist zwar ziemlich unwahrscheinlich, aber angesichts des neuen Microsoft-Sicherheits-Paradigmas "Secure by default" wurde die Funktionalität von NAT-T in Windows XP Service Pack 2 standardmäßig eingeschränkt, sodass es nicht mehr funktioniert. Windows XP unterstützt damit keine VPN-Server mehr, die hinter NAT-Routern platziert sind.
Die Lösung
Mittlerweile beschreibt Microsoft die Lösung selbst in einem Knowledge Base-Artikel . Hier die Kurzform:
Damit Windows XP mit Service Pack wieder Verbindung zu einem VPN-Server hinter einem NAT-Router aufnehmen kann, ist ein Wert in der Registrierung hinzuzufügen:
Schlüssel: HKLM\System\CurrentControlSet\Services\IPSec
Wert: AssumeUDPEncapsulationContextOnSendRule
Datentyp: REG_DWORD
Daten: VPN-Server ohne NAT 0
VPN-Server hinter NAT, Client ohne NAT 1
VPN-Server und -Client hinter NAT 2
Danach muss der Computer neu gestartet werden.
ja geht um IPSEC
Anbei trozdem die Beschreibung
Gruß
RKO
***
Einführung
L2TP (RFC 2661) ist ein standardisiertes VPN-Protokoll, das auf IPSec (RFC 2401, RFC 2402, RFC 2406, RFC 2407, RFC 2409) basiert (RFC 3193) und in Windows 2000, Windows XP und Windows Server 2003 standardmäßig implementiert ist.
Die Vorteile gegenüber L2TP gegenüber dem ebenfalls verbreiteten PPTP liegen vor allem in der höheren Sicherheit. Durch die Verwendung von IPSec muss sich nicht nur der Benutzer, sondern auch der Computer authentifizieren. Dadurch kommt schon automatisch ein zweiter Authentifizierungsfaktor dazu.
IPSec war aber ursprünglich nicht fähig, über NAT-Router hinweg Verbindungen aufzubauen. Der Grund liegt in der Tatsache, dass NAT ja eigentlich ein "Hack" ist und IP-Adressen verfälscht, ein "Angriff", den IPSec eigentlich verhindern sollte.
Die mangelnde NAT-Fähigkeit von IPSec behinderte dessen weite Verbreitung. Deshalb wurde mit NAT-T ein Zusatzprotokoll entworfen, mit dem IPSec NAT-fähig gemacht wird. Dieses Protokoll ist in Windows Server 2003 standardmäßig implementiert. Für Windows 2000 und Windows XP als Clients gibt es ein Update, um NAT-T zu implementieren. Dieses Update ist in Service Pack 2 enthalten.
Das Problem
Microsoft sieht NAT-T mittlerweile in einem ziemlich unwahrscheinlichen Fall als Sicherheitsrisiko an. Der im verlinkten Knowledge Base-Artikel geschilderte Fall ist zwar ziemlich unwahrscheinlich, aber angesichts des neuen Microsoft-Sicherheits-Paradigmas "Secure by default" wurde die Funktionalität von NAT-T in Windows XP Service Pack 2 standardmäßig eingeschränkt, sodass es nicht mehr funktioniert. Windows XP unterstützt damit keine VPN-Server mehr, die hinter NAT-Routern platziert sind.
Die Lösung
Mittlerweile beschreibt Microsoft die Lösung selbst in einem Knowledge Base-Artikel . Hier die Kurzform:
Damit Windows XP mit Service Pack wieder Verbindung zu einem VPN-Server hinter einem NAT-Router aufnehmen kann, ist ein Wert in der Registrierung hinzuzufügen:
Schlüssel: HKLM\System\CurrentControlSet\Services\IPSec
Wert: AssumeUDPEncapsulationContextOnSendRule
Datentyp: REG_DWORD
Daten: VPN-Server ohne NAT 0
VPN-Server hinter NAT, Client ohne NAT 1
VPN-Server und -Client hinter NAT 2
Danach muss der Computer neu gestartet werden.
Wenn es wirklich PPTP ist dann reichen TCP 1723 und GRE völlig aus !!
Nur wenn es IPsec ist musst du UDP 500 (IKE Protokoll) und ESP (Encapsulation Security Payload, Protokoll 50) forwarden !!
Wo befindet sich denn der Client ?? Direkt am Internet oder auch hinter einem Router ?? Ist der auch hinter einem Router gelten für den die gleichen Port Forwarding Regeln wie für den Server !
Was meinst du ausserdem mit "die aller erste" bei der Fritz Box ??? Sind da mehrere Router kaskadiert ??
Nur wenn es IPsec ist musst du UDP 500 (IKE Protokoll) und ESP (Encapsulation Security Payload, Protokoll 50) forwarden !!
Wo befindet sich denn der Client ?? Direkt am Internet oder auch hinter einem Router ?? Ist der auch hinter einem Router gelten für den die gleichen Port Forwarding Regeln wie für den Server !
Was meinst du ausserdem mit "die aller erste" bei der Fritz Box ??? Sind da mehrere Router kaskadiert ??
Es ist PPTP und die beiden Ports sind weitergeleitet.
Zum Testen befindet sich der Client PC momentan auch im selben Lan (Server 192.168.0.9
Client 192.168.0.5). Und mit "aller erster" mein ich die ganz alte FritzBox ohne WLan. Weiß aber nicht ob sich der Router von den anderen unterscheidet.
Das Problem ist auch, dass es aussieht als wenn der Client zum Server durchkommt, aber bei der Benutzer abfrage kennt der scheinbar den Benutzer nicht. Ich gebe den user-namen ein und auch das Passwort, aber er meldet nach 3 versuchen (ist auf 3 versuche eingestellt) den Fehler "691" der bedeutet, das User oder Passwort falsch sind. Hab auch schon getestet, ob man vielleicht den Computer-Namen des Client PCs nehmen muss, aber das geht auch nicht.
Bin echt am verzweifeln, in der Anleitung sah es so super einfach aus!;)
Hab gerade noch was gesehn, weshalb es nicht klappen könnte, in den Eigenschaften der VPN Verbindung, steht noch immer der "Parallelanschluss" als Gerät für die Eingehende Verbindung. Ich hab aber keinen Häkchen gesetzt!
Zum Testen befindet sich der Client PC momentan auch im selben Lan (Server 192.168.0.9
Client 192.168.0.5). Und mit "aller erster" mein ich die ganz alte FritzBox ohne WLan. Weiß aber nicht ob sich der Router von den anderen unterscheidet.
Das Problem ist auch, dass es aussieht als wenn der Client zum Server durchkommt, aber bei der Benutzer abfrage kennt der scheinbar den Benutzer nicht. Ich gebe den user-namen ein und auch das Passwort, aber er meldet nach 3 versuchen (ist auf 3 versuche eingestellt) den Fehler "691" der bedeutet, das User oder Passwort falsch sind. Hab auch schon getestet, ob man vielleicht den Computer-Namen des Client PCs nehmen muss, aber das geht auch nicht.
Bin echt am verzweifeln, in der Anleitung sah es so super einfach aus!;)
Hab gerade noch was gesehn, weshalb es nicht klappen könnte, in den Eigenschaften der VPN Verbindung, steht noch immer der "Parallelanschluss" als Gerät für die Eingehende Verbindung. Ich hab aber keinen Häkchen gesetzt!
Hattest du die benutzt?
http://www.tinotrauth.de/vpn/index.htm
Grundsätzlich geht es so
Kannst du reines RDP machen zu rechner 2 ?
Gruß
RKo
http://www.tinotrauth.de/vpn/index.htm
Grundsätzlich geht es so
Kannst du reines RDP machen zu rechner 2 ?
Gruß
RKo
JUHU!!!!
Vielen Dank für den Link meine Anleitung war zwar ähnlich, aber ich konnte auf einem Bild sehen, dass der Punkt "Windows-Anmeldedomäne einbeziehen" NICHT angeklickt war. Das hab ich bei mir geändert und nu LÄUFTS!!!!
Es kam zwar eine Fehlermeldung bzg. IPX/SPX Fehler 733 aber sonst geht es!
Also nochmal vielen Dank!! Geiles Forum!!
Gruss
Euer Judge
Vielen Dank für den Link meine Anleitung war zwar ähnlich, aber ich konnte auf einem Bild sehen, dass der Punkt "Windows-Anmeldedomäne einbeziehen" NICHT angeklickt war. Das hab ich bei mir geändert und nu LÄUFTS!!!!
Es kam zwar eine Fehlermeldung bzg. IPX/SPX Fehler 733 aber sonst geht es!
Also nochmal vielen Dank!! Geiles Forum!!
Gruss
Euer Judge
Liegt wahrscheinlich daran das du das IPX/SPX Protokoll aktiviert hast bei dir. Wenn du kein Novell Server bedienen musst kannst du das Protokoll abschalten.
