entfernt
Goto Top

VPN Verbindung Windows 10 zu MikroTik L2TP

Hallo zusammen,

ich möchte eine VPN-Verbindung von Win10 zu einem MikroTik Router aufbauen.
Hier kommt folgende Fehlermeldung

19-07-_2022_10-29-30

Über google habe ich festgestellt das es da wohl bekannte Probleme, seit einem bestimmten Windows Update, gibt.
Dieses Update ist bei mir aber nicht installiert.
Meine Windows Version ist 21H2

Die Zugangsdaten, sowie der shared Key sind auf jeden Fall korrekt (Copy Paste aus PW Safe)
Von meinem Handy (ios) aus funktioniert die Verbindung problemlos.
Ich komme natürlich mit meinem Laptop von außen zum testen mittels Hotspot von dem Handy von dem es klappt.
Das Handy ist in diesem Szenario dann natürlich nicht mehr per VPN oder WLAN verbunden ;)

Am MikroTik komme ich auch an, da gibt es im Log nämlich folgende Mitschnitte:
19-07-_2022_10-38-23

So sieht die Konfiguration des Win10 Clients aus:
19-07-_2022_10-39-36

Den Registry Key AssumeUDPEncapsulationContextOnSendRule habe ich auch gesetzt mit dem Wert 2

Habt ihr noch Ideen ?

VG

Content-Key: 3377805558

Url: https://administrator.de/contentid/3377805558

Printed on: July 21, 2024 at 01:07 o'clock

Member: michi1983
michi1983 Jul 19, 2022 at 10:55:52 (UTC)
Goto Top
Hallo,

hast du mal die Windows Firewall deaktiviert?

Gruß
Member: entfernt
entfernt Jul 19, 2022 at 10:57:47 (UTC)
Goto Top
Zitat von @michi1983:

Hallo,

hast du mal die Windows Firewall deaktiviert?

Gruß

Ja ist deaktiviert
Member: michi1983
michi1983 Jul 19, 2022 at 11:13:51 (UTC)
Goto Top
Dann poste doch mal die Mikrotik config bitte.

/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitive
Member: entfernt
entfernt Jul 19, 2022 at 11:17:40 (UTC)
Goto Top
Zitat von @michi1983:

Dann poste doch mal die Mikrotik config bitte.

/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitive

Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?
Member: michi1983
michi1983 Jul 19, 2022 at 11:22:31 (UTC)
Goto Top
Zitat von @geloescht:
Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?

Vielleicht ist ein Setting mit dem zwar Android oder iOS klar kommt, Windows aber nicht.
Member: aqui
aqui Jul 19, 2022 updated at 11:50:51 (UTC)
Goto Top
Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik

Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
Member: entfernt
entfernt Jul 20, 2022 at 07:00:08 (UTC)
Goto Top
Zitat von @aqui:

Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik

Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!

Ja habe ich alles so umgesetzt.
Das einzige was ich nicht machen konnte, war das Update KB5010793 installieren. Da kommt bei mir immer "Das Update ist nicht für Ihren Computer geeignet" obwohl ich 21H2 x64 runtergeladen habe....

Hier mal meine MT Config:
1
2
4
5
6
7
Member: entfernt
entfernt Jul 20, 2022 at 08:51:50 (UTC)
Goto Top
Jetzt bekomme ich im log allerdings einen anderen Fehler....
20-07-_2022_10-51-18
Member: aqui
aqui Jul 20, 2022 at 09:14:57 (UTC)
Goto Top
Das Einzige was ich nicht machen konnte, war das Update KB5010793 installieren
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.
Mit allen anderen sollte es fehlerlos klappen.
Kannst du dich also mit Apple Mac, iPhone, Android und Co. einwählen und nur mit Winblows nicht bist du Opfer des Winblows Bugs.
Deine Konfig hat noch den kosmetischen Fehler das bei Authentication alles angehakt ist. Zur Sicherheit sollte hier nur mschap2 angehakt sein. Das ist aber nicht der Grund der Fehlfunktion bei Windows.
Die Fehlermeldung besagt jetzt das er an der IPsec Phase 2 scheitert.
Member: entfernt
entfernt Jul 20, 2022 at 09:29:30 (UTC)
Goto Top
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Iphone/Ipad klappt auf jeden fall, Mac hab ich nicht und Android wollte ich nachher auch mal testen.
Wollte mir außerdem gleich mal eine alte Win10 Installation in ner VM installieren und eventuell mal ne Win7 Installation, einfach mal um zu sehen ob es vielleicht damit klappt.

Außerdem werde ich gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.

Einfach mal schauen ob ich es noch etwas weiter eingrenzen kann.... Ärgert mich auf jeden Fall ziemlich
Member: aqui
aqui Jul 20, 2022 at 10:05:38 (UTC)
Goto Top
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... face-big-smile
phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.
gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???
So eine Lösung ist aber immer gruselig weil du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...
Member: entfernt
entfernt Jul 20, 2022 at 11:11:43 (UTC)
Goto Top
Zitat von @aqui:

Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... face-big-smile
phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.
gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???
So eine Lösung ist aber immer gruselig weill du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...

Ja tut es und ich will es auch nur zum testen einschalten ;)
Member: entfernt
entfernt Jul 20, 2022 at 16:40:36 (UTC)
Goto Top
Also.....

Hab jetzt folgendes getestet:

Mit meiner neuen Win Version --> klappt nicht (deswegen ja der Beitrag)
Alte Win10 Version 1903 --> klappt nicht
Linux Mint --> klappt nicht
Iphone/Ipad --> klappt

VPN Server mal vorübergehend über NAS bereitgestellt

Mit meiner neuen Win Version --> klappt
Alte Win10 Version 1903 --> klappt
Linux Mint --> klappt
Iphone/Ipad --> klappt

Also ist irgendwas am MikroTik faul....
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu einem anderem MikroTik....
20-07-_2022_18-39-20

Aber dann verstehe ich trotzdem nicht weshalb die l2tp Verbindung über ios funktioniert...
Absolut nervig
Member: aqui
aqui Jul 21, 2022 at 08:28:20 (UTC)
Goto Top
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu
Das könnte sein und ist zu vermuten, denn die Windows Clients können keine höheren Crypto Credentials und scheitern mit der Verbindung wenn diese erzwungen werden in der Negotiation.
Das Drama dazu kannst du hier nachlesen:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!
Das sollte dein Problem sofort lösen!
Member: entfernt
entfernt Jul 21, 2022 at 12:41:27 (UTC)
Goto Top
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!

Genau das habe ich bereits probiert (wenn ich es richtig gemacht habe) und das hat auch nicht geklappt...
21-07-_2022_14-35-38

Log sagt folgendes:
21-07-_2022_14-40-37
Member: entfernt
entfernt Jul 21, 2022 at 12:51:43 (UTC)
Goto Top
Die "Proposals" habe ich auch mal "getrennt"
Bringt aber auch nichts...
21-07-_2022_14-49-05
Member: entfernt
entfernt Jul 21, 2022 updated at 13:23:51 (UTC)
Goto Top
Keine Ahnung ob es vielleicht etwas zur Lösung beitragen kann, aber hier mal das Log wenn ich mich per Handy verbinde:
21-07-_2022_15-19-1

Was mir hier direkt auffällt.
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp, ppp, info
Member: aqui
aqui Jul 21, 2022 updated at 14:35:14 (UTC)
Goto Top
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?
winl2tp
Member: entfernt
entfernt Jul 21, 2022 at 14:44:48 (UTC)
Goto Top
Zitat von @aqui:

Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?
winl2tp

Ja klar ;) 1000% sicher
Member: aqui
aqui Jul 21, 2022 at 14:48:49 (UTC)
Goto Top
Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
Member: entfernt
entfernt Jul 21, 2022 at 14:54:01 (UTC)
Goto Top
Zitat von @aqui:

Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.

Meinst Du das ?
VPN Verbindung Windows 10 zu MikroTik L2TP
Oder das ?
VPN Verbindung Windows 10 zu MikroTik L2TP

Oder was ganz anderes ?

Das brachte auf jeden Fall beides keinen Erfolg....
Member: aqui
aqui Jul 21, 2022 at 14:56:53 (UTC)
Goto Top
Beides... face-wink Ich schicke dir mal die Konfig vom MT hier...
Member: entfernt
entfernt Jul 21, 2022 at 15:02:56 (UTC)
Goto Top
Beides...
Na dann habe ich das ja vernünftig getestet und auch "gleichzeitig" Hat halt nur nicht geklappt :/

Ich schicke dir mal die Konfig vom MT hier...
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?
Vermutlich habe ich die Probleme ja nicht wenn nur l2tp konfiguriert ist...

VG
Member: aqui
Solution aqui Jul 21, 2022 updated at 20:21:28 (UTC)
Goto Top
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?
Jepp, ist er mit getrennten Policies. (IKEv2 Tunnel mit AES256GCM, Router OS: Stable 7.4)

back-to-topL2TP VPN Server Setup

l2tp2

back-to-topIPsec Peers und Identities

Die L2TP Peer und Identitiy wird dynamisch angelegt, deshalb ausgegraut
l2tp4

back-to-topIPsec Crypto Profile

profiles
IPsec Proposals:
proposal2

back-to-topIPsec Policies

proposal

back-to-topWindows Client Check

Geprüft mit 1903, 21H2, und Windows 11 latest
l2tp

Fazit: Works as designed!! 😉👍
Member: entfernt
entfernt Jul 25, 2022 at 21:20:24 (UTC)
Goto Top
Keine Ahnung....
Wollte das bis zu dieser Woche aufschieben, da ich jetzt Urlaub hab und ich mich dann darum kümmern wollte.
Jetzt klappt es auf einmal...
Vielleicht hätte ich nach dem ganzen Konfigurieren und testen zwischendurch mal den Mikrotik neustarten müssen oder so.

Naja egal, Hauptsache es klappt jetzt :D
Ich danke Dir auf jeden Fall für Deinen Support!

VG
Member: aqui
aqui Jul 26, 2022 at 05:54:05 (UTC)
Goto Top
Jetzt klappt es auf einmal...
👍 Windows hat vermutlich Muffensausen bekommen! 🤣
Ich danke Dir auf jeden Fall für Deinen Support!
Immer gerne...