26
VPN Verbindung Windows 10 zu MikroTik L2TP
Hallo zusammen,
ich möchte eine VPN-Verbindung von Win10 zu einem MikroTik Router aufbauen.
Hier kommt folgende Fehlermeldung
Über google habe ich festgestellt das es da wohl bekannte Probleme, seit einem bestimmten Windows Update, gibt.
Dieses Update ist bei mir aber nicht installiert.
Meine Windows Version ist 21H2
Die Zugangsdaten, sowie der shared Key sind auf jeden Fall korrekt (Copy Paste aus PW Safe)
Von meinem Handy (ios) aus funktioniert die Verbindung problemlos.
Ich komme natürlich mit meinem Laptop von außen zum testen mittels Hotspot von dem Handy von dem es klappt.
Das Handy ist in diesem Szenario dann natürlich nicht mehr per VPN oder WLAN verbunden ;)
Am MikroTik komme ich auch an, da gibt es im Log nämlich folgende Mitschnitte:
So sieht die Konfiguration des Win10 Clients aus:
Den Registry Key AssumeUDPEncapsulationContextOnSendRule habe ich auch gesetzt mit dem Wert 2
Habt ihr noch Ideen ?
VG
ich möchte eine VPN-Verbindung von Win10 zu einem MikroTik Router aufbauen.
Hier kommt folgende Fehlermeldung
Über google habe ich festgestellt das es da wohl bekannte Probleme, seit einem bestimmten Windows Update, gibt.
Dieses Update ist bei mir aber nicht installiert.
Meine Windows Version ist 21H2
Die Zugangsdaten, sowie der shared Key sind auf jeden Fall korrekt (Copy Paste aus PW Safe)
Von meinem Handy (ios) aus funktioniert die Verbindung problemlos.
Ich komme natürlich mit meinem Laptop von außen zum testen mittels Hotspot von dem Handy von dem es klappt.
Das Handy ist in diesem Szenario dann natürlich nicht mehr per VPN oder WLAN verbunden ;)
Am MikroTik komme ich auch an, da gibt es im Log nämlich folgende Mitschnitte:
So sieht die Konfiguration des Win10 Clients aus:
Den Registry Key AssumeUDPEncapsulationContextOnSendRule habe ich auch gesetzt mit dem Wert 2
Habt ihr noch Ideen ?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3377805558
Url: https://administrator.de/contentid/3377805558
Printed on: April 19, 2024 at 16:04 o'clock
26 Comments
Latest comment
Hallo,
hast du mal die Windows Firewall deaktiviert?
Gruß
hast du mal die Windows Firewall deaktiviert?
Gruß
Ja ist deaktiviert
Dann poste doch mal die Mikrotik config bitte.
/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitiveZitat von @michi1983:
Dann poste doch mal die Mikrotik config bitte.
Dann poste doch mal die Mikrotik config bitte.
/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitiveKann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?
Zitat von @geloescht:
Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?
Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?
Vielleicht ist ein Setting mit dem zwar Android oder iOS klar kommt, Windows aber nicht.
Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik
Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
Scheitern am IPsec VPN mit MikroTik
Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
Zitat von @aqui:
Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik
Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik
Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
Ja habe ich alles so umgesetzt.
Das einzige was ich nicht machen konnte, war das Update KB5010793 installieren. Da kommt bei mir immer "Das Update ist nicht für Ihren Computer geeignet" obwohl ich 21H2 x64 runtergeladen habe....
Hier mal meine MT Config:
Jetzt bekomme ich im log allerdings einen anderen Fehler....
Das Einzige was ich nicht machen konnte, war das Update KB5010793 installieren
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.Mit allen anderen sollte es fehlerlos klappen.
Kannst du dich also mit Apple Mac, iPhone, Android und Co. einwählen und nur mit Winblows nicht bist du Opfer des Winblows Bugs.
Deine Konfig hat noch den kosmetischen Fehler das bei Authentication alles angehakt ist. Zur Sicherheit sollte hier nur mschap2 angehakt sein. Das ist aber nicht der Grund der Fehlfunktion bei Windows.
Die Fehlermeldung besagt jetzt das er an der IPsec Phase 2 scheitert.
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.
Hmm komisch das ich das an zwei Laptops nicht installieren kann.Iphone/Ipad klappt auf jeden fall, Mac hab ich nicht und Android wollte ich nachher auch mal testen.
Wollte mir außerdem gleich mal eine alte Win10 Installation in ner VM installieren und eventuell mal ne Win7 Installation, einfach mal um zu sehen ob es vielleicht damit klappt.
Außerdem werde ich gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Einfach mal schauen ob ich es noch etwas weiter eingrenzen kann.... Ärgert mich auf jeden Fall ziemlich
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... 
phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???So eine Lösung ist aber immer gruselig weil du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...
Zitat von @aqui:
So eine Lösung ist aber immer gruselig weill du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???So eine Lösung ist aber immer gruselig weill du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...
Ja tut es und ich will es auch nur zum testen einschalten ;)
Also.....
Hab jetzt folgendes getestet:
Mit meiner neuen Win Version --> klappt nicht (deswegen ja der Beitrag)
Alte Win10 Version 1903 --> klappt nicht
Linux Mint --> klappt nicht
Iphone/Ipad --> klappt
VPN Server mal vorübergehend über NAS bereitgestellt
Mit meiner neuen Win Version --> klappt
Alte Win10 Version 1903 --> klappt
Linux Mint --> klappt
Iphone/Ipad --> klappt
Also ist irgendwas am MikroTik faul....
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu einem anderem MikroTik....
Aber dann verstehe ich trotzdem nicht weshalb die l2tp Verbindung über ios funktioniert...
Absolut nervig
Hab jetzt folgendes getestet:
Mit meiner neuen Win Version --> klappt nicht (deswegen ja der Beitrag)
Alte Win10 Version 1903 --> klappt nicht
Linux Mint --> klappt nicht
Iphone/Ipad --> klappt
VPN Server mal vorübergehend über NAS bereitgestellt
Mit meiner neuen Win Version --> klappt
Alte Win10 Version 1903 --> klappt
Linux Mint --> klappt
Iphone/Ipad --> klappt
Also ist irgendwas am MikroTik faul....
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu einem anderem MikroTik....
Aber dann verstehe ich trotzdem nicht weshalb die l2tp Verbindung über ios funktioniert...
Absolut nervig
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu
Das könnte sein und ist zu vermuten, denn die Windows Clients können keine höheren Crypto Credentials und scheitern mit der Verbindung wenn diese erzwungen werden in der Negotiation.Das Drama dazu kannst du hier nachlesen:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!
Das sollte dein Problem sofort lösen!
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!
Genau das habe ich bereits probiert (wenn ich es richtig gemacht habe) und das hat auch nicht geklappt...
Log sagt folgendes:
Die "Proposals" habe ich auch mal "getrennt"
Bringt aber auch nichts...
Bringt aber auch nichts...
Keine Ahnung ob es vielleicht etwas zur Lösung beitragen kann, aber hier mal das Log wenn ich mich per Handy verbinde:
Was mir hier direkt auffällt.
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp, ppp, info
Was mir hier direkt auffällt.
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp, ppp, info
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?
Zitat von @aqui:
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?Ja klar ;) 1000% sicher
Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
Zitat von @aqui:
Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
Meinst Du das ?
VPN Verbindung Windows 10 zu MikroTik L2TP
Oder das ?
VPN Verbindung Windows 10 zu MikroTik L2TP
Oder was ganz anderes ?
Das brachte auf jeden Fall beides keinen Erfolg....
Beides... 
Ich schicke dir mal die Konfig vom MT hier...
Ich schicke dir mal die Konfig vom MT hier...Beides...
Na dann habe ich das ja vernünftig getestet und auch "gleichzeitig" Hat halt nur nicht geklappt :/Ich schicke dir mal die Konfig vom MT hier...
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?Vermutlich habe ich die Probleme ja nicht wenn nur l2tp konfiguriert ist...
VG
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?
Jepp, ist er mit getrennten Policies. (IKEv2 Tunnel mit AES256GCM, Router OS: Stable 7.4)
L2TP VPN Server Setup
IPsec Peers und Identities
Die L2TP Peer und Identitiy wird dynamisch angelegt, deshalb ausgegraut
IPsec Crypto Profile
IPsec Policies
Windows Client Check
Geprüft mit 1903, 21H2, und Windows 11 latest
Fazit: Works as designed!! 😉👍
Keine Ahnung....
Wollte das bis zu dieser Woche aufschieben, da ich jetzt Urlaub hab und ich mich dann darum kümmern wollte.
Jetzt klappt es auf einmal...
Vielleicht hätte ich nach dem ganzen Konfigurieren und testen zwischendurch mal den Mikrotik neustarten müssen oder so.
Naja egal, Hauptsache es klappt jetzt :D
Ich danke Dir auf jeden Fall für Deinen Support!
VG
Wollte das bis zu dieser Woche aufschieben, da ich jetzt Urlaub hab und ich mich dann darum kümmern wollte.
Jetzt klappt es auf einmal...
Vielleicht hätte ich nach dem ganzen Konfigurieren und testen zwischendurch mal den Mikrotik neustarten müssen oder so.
Naja egal, Hauptsache es klappt jetzt :D
Ich danke Dir auf jeden Fall für Deinen Support!
VG
Jetzt klappt es auf einmal...
👍 Windows hat vermutlich Muffensausen bekommen! 🤣Ich danke Dir auf jeden Fall für Deinen Support!
Immer gerne...
