entfernt
Goto Top

VPN Verbindung Windows 10 zu MikroTik L2TP

Hallo zusammen,

ich möchte eine VPN-Verbindung von Win10 zu einem MikroTik Router aufbauen.
Hier kommt folgende Fehlermeldung

19-07-_2022_10-29-30

Über google habe ich festgestellt das es da wohl bekannte Probleme, seit einem bestimmten Windows Update, gibt.
Dieses Update ist bei mir aber nicht installiert.
Meine Windows Version ist 21H2

Die Zugangsdaten, sowie der shared Key sind auf jeden Fall korrekt (Copy Paste aus PW Safe)
Von meinem Handy (ios) aus funktioniert die Verbindung problemlos.
Ich komme natürlich mit meinem Laptop von außen zum testen mittels Hotspot von dem Handy von dem es klappt.
Das Handy ist in diesem Szenario dann natürlich nicht mehr per VPN oder WLAN verbunden ;)

Am MikroTik komme ich auch an, da gibt es im Log nämlich folgende Mitschnitte:
19-07-_2022_10-38-23

So sieht die Konfiguration des Win10 Clients aus:
19-07-_2022_10-39-36

Den Registry Key AssumeUDPEncapsulationContextOnSendRule habe ich auch gesetzt mit dem Wert 2

Habt ihr noch Ideen ?

VG

Content-ID: 3377805558

Url: https://administrator.de/forum/vpn-verbindung-windows-10-zu-mikrotik-l2tp-3377805558.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

michi1983
michi1983 19.07.2022 um 12:55:52 Uhr
Goto Top
Hallo,

hast du mal die Windows Firewall deaktiviert?

Gruß
entfernt
entfernt 19.07.2022 um 12:57:47 Uhr
Goto Top
Zitat von @michi1983:

Hallo,

hast du mal die Windows Firewall deaktiviert?

Gruß

Ja ist deaktiviert
michi1983
michi1983 19.07.2022 um 13:13:51 Uhr
Goto Top
Dann poste doch mal die Mikrotik config bitte.

/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitive
entfernt
entfernt 19.07.2022 um 13:17:40 Uhr
Goto Top
Zitat von @michi1983:

Dann poste doch mal die Mikrotik config bitte.

/ip ipsec export hide-sensitive
/ip ipsec peer print
/interface l2tp-server export hide-sensitive

Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?
michi1983
michi1983 19.07.2022 um 13:22:31 Uhr
Goto Top
Zitat von @geloescht:
Kann ich gleich mal machen aber wenn es mit dem Handy klappt mit dem gleichen Protokoll, kann es doch nicht an den Einstellungen des Mikrotiks liegen. Oder sehe ich das falsch ?

Vielleicht ist ein Setting mit dem zwar Android oder iOS klar kommt, Windows aber nicht.
aqui
aqui 19.07.2022 aktualisiert um 13:50:51 Uhr
Goto Top
Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik

Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!
entfernt
entfernt 20.07.2022 um 09:00:08 Uhr
Goto Top
Zitat von @aqui:

Das dazugehörige, hiesige L2TP Mikrotik Tutorial hast du genau durchgelesen und wirklich ALLE Schritte entsprechend befolgt und umgesetzt??
Scheitern am IPsec VPN mit MikroTik

Der Fehler sieht danach aus das deine IPsec Phase1 Crypto Credentials nicht stimmen (Tutorial Topic 2). Der MT findet laut Logeintrag (der immer eindeutig ist) keinen Match zu den IPsec P1 Proposals des L2TP Clients was das befürchten lässt.
Ein Screenshot der MT Einstellungen dort wären sehr hilfreich für ein zielführendes Troubleshooting!

Ja habe ich alles so umgesetzt.
Das einzige was ich nicht machen konnte, war das Update KB5010793 installieren. Da kommt bei mir immer "Das Update ist nicht für Ihren Computer geeignet" obwohl ich 21H2 x64 runtergeladen habe....

Hier mal meine MT Config:
1
2
4
5
6
7
entfernt
entfernt 20.07.2022 um 10:51:50 Uhr
Goto Top
Jetzt bekomme ich im log allerdings einen anderen Fehler....
20-07-_2022_10-51-18
aqui
aqui 20.07.2022 um 11:14:57 Uhr
Goto Top
Das Einzige was ich nicht machen konnte, war das Update KB5010793 installieren
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.
Mit allen anderen sollte es fehlerlos klappen.
Kannst du dich also mit Apple Mac, iPhone, Android und Co. einwählen und nur mit Winblows nicht bist du Opfer des Winblows Bugs.
Deine Konfig hat noch den kosmetischen Fehler das bei Authentication alles angehakt ist. Zur Sicherheit sollte hier nur mschap2 angehakt sein. Das ist aber nicht der Grund der Fehlfunktion bei Windows.
Die Fehlermeldung besagt jetzt das er an der IPsec Phase 2 scheitert.
entfernt
entfernt 20.07.2022 um 11:29:30 Uhr
Goto Top
Das ist dann zumindestens beim Windows Client die Ursache das es nicht klappt.
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Iphone/Ipad klappt auf jeden fall, Mac hab ich nicht und Android wollte ich nachher auch mal testen.
Wollte mir außerdem gleich mal eine alte Win10 Installation in ner VM installieren und eventuell mal ne Win7 Installation, einfach mal um zu sehen ob es vielleicht damit klappt.

Außerdem werde ich gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.

Einfach mal schauen ob ich es noch etwas weiter eingrenzen kann.... Ärgert mich auf jeden Fall ziemlich
aqui
aqui 20.07.2022 um 12:05:38 Uhr
Goto Top
Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... face-big-smile
phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.
gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???
So eine Lösung ist aber immer gruselig weil du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...
entfernt
entfernt 20.07.2022 um 13:11:43 Uhr
Goto Top
Zitat von @aqui:

Hmm komisch das ich das an zwei Laptops nicht installieren kann.
Ein Fall für einen Thread in der hiesigen Winblows Rubrik... face-big-smile
phone/Ipad klappt auf jeden fall
Dann ist deine MT Konfig auch sauber und korrekt und es ist nur der Windows VPN Bug.
gleich mal mein NAS testweise als VPN Server zur Verfügung stellen und mal gucken ob die Laptops dann eine Verbindung bekommen.
Das NAS supportet auch L2TP???
So eine Lösung ist aber immer gruselig weill du per Port Forwarding ein Loch in deine Firewall bohren musst und dann ungeschützten Traffic in dein lokales LAN lassen musst. Und das dann noch auf ein solch zentrales und sensibles Device wie ein NAS. Normal ist sowas immer ein NoGo und solltest du dir wirklich gut überlegen...

Ja tut es und ich will es auch nur zum testen einschalten ;)
entfernt
entfernt 20.07.2022 um 18:40:36 Uhr
Goto Top
Also.....

Hab jetzt folgendes getestet:

Mit meiner neuen Win Version --> klappt nicht (deswegen ja der Beitrag)
Alte Win10 Version 1903 --> klappt nicht
Linux Mint --> klappt nicht
Iphone/Ipad --> klappt

VPN Server mal vorübergehend über NAS bereitgestellt

Mit meiner neuen Win Version --> klappt
Alte Win10 Version 1903 --> klappt
Linux Mint --> klappt
Iphone/Ipad --> klappt

Also ist irgendwas am MikroTik faul....
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu einem anderem MikroTik....
20-07-_2022_18-39-20

Aber dann verstehe ich trotzdem nicht weshalb die l2tp Verbindung über ios funktioniert...
Absolut nervig
aqui
aqui 21.07.2022 um 10:28:20 Uhr
Goto Top
Vermutlich verträgt sich das nicht mit der Site to Site VPN Verbindung die da noch mit drauf läuft zu
Das könnte sein und ist zu vermuten, denn die Windows Clients können keine höheren Crypto Credentials und scheitern mit der Verbindung wenn diese erzwungen werden in der Negotiation.
Das Drama dazu kannst du hier nachlesen:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!
Das sollte dein Problem sofort lösen!
entfernt
entfernt 21.07.2022 um 14:41:27 Uhr
Goto Top
Es macht also durchaus Sinn die Default Credentials mit den einfachen für L2TP relevanten Credentials laufenzulassen und für deine statischen Verbindungen neue Profile mit den (vermutlich) von dir benutzten stärkeren Credentials für P1 und P2 zu verwenden!

Genau das habe ich bereits probiert (wenn ich es richtig gemacht habe) und das hat auch nicht geklappt...
21-07-_2022_14-35-38

Log sagt folgendes:
21-07-_2022_14-40-37
entfernt
entfernt 21.07.2022 um 14:51:43 Uhr
Goto Top
Die "Proposals" habe ich auch mal "getrennt"
Bringt aber auch nichts...
21-07-_2022_14-49-05
entfernt
entfernt 21.07.2022 aktualisiert um 15:23:51 Uhr
Goto Top
Keine Ahnung ob es vielleicht etwas zur Lösung beitragen kann, aber hier mal das Log wenn ich mich per Handy verbinde:
21-07-_2022_15-19-1

Was mir hier direkt auffällt.
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp, ppp, info
aqui
aqui 21.07.2022 aktualisiert um 16:35:14 Uhr
Goto Top
Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?
winl2tp
entfernt
entfernt 21.07.2022 um 16:44:48 Uhr
Goto Top
Zitat von @aqui:

Beim Win Versuch steht in der Topic Spalte, ipsec und beim Handy steht dort l2tp
Du hast aber schon den richtigen VPN Typ "L2TP" ausgewählt, oder?
winl2tp

Ja klar ;) 1000% sicher
aqui
aqui 21.07.2022 um 16:48:49 Uhr
Goto Top
Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.
entfernt
entfernt 21.07.2022 um 16:54:01 Uhr
Goto Top
Zitat von @aqui:

Und die Trrennung der Crypto Credentials hast du auch schon gemacht?
Wenn ja was ist das Ergebnis?
Ein Test hier mit einem ollen Win 10 und aktuellem Win 10 (gepatcht) funktioniert fehlerlos mit der aktuellen Stable 7.4.

Meinst Du das ?
VPN Verbindung Windows 10 zu MikroTik L2TP
Oder das ?
VPN Verbindung Windows 10 zu MikroTik L2TP

Oder was ganz anderes ?

Das brachte auf jeden Fall beides keinen Erfolg....
aqui
aqui 21.07.2022 um 16:56:53 Uhr
Goto Top
Beides... face-wink Ich schicke dir mal die Konfig vom MT hier...
entfernt
entfernt 21.07.2022 um 17:02:56 Uhr
Goto Top
Beides...
Na dann habe ich das ja vernünftig getestet und auch "gleichzeitig" Hat halt nur nicht geklappt :/

Ich schicke dir mal die Konfig vom MT hier...
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?
Vermutlich habe ich die Probleme ja nicht wenn nur l2tp konfiguriert ist...

VG
aqui
Lösung aqui 21.07.2022 aktualisiert um 22:21:28 Uhr
Goto Top
Ist denn der MT auch so konfiguriert das er site/site VPN und l2tp hat ?
Jepp, ist er mit getrennten Policies. (IKEv2 Tunnel mit AES256GCM, Router OS: Stable 7.4)

back-to-topL2TP VPN Server Setup

l2tp2

back-to-topIPsec Peers und Identities

Die L2TP Peer und Identitiy wird dynamisch angelegt, deshalb ausgegraut
l2tp4

back-to-topIPsec Crypto Profile

profiles
IPsec Proposals:
proposal2

back-to-topIPsec Policies

proposal

back-to-topWindows Client Check

Geprüft mit 1903, 21H2, und Windows 11 latest
l2tp

Fazit: Works as designed!! 😉👍
entfernt
entfernt 25.07.2022 um 23:20:24 Uhr
Goto Top
Keine Ahnung....
Wollte das bis zu dieser Woche aufschieben, da ich jetzt Urlaub hab und ich mich dann darum kümmern wollte.
Jetzt klappt es auf einmal...
Vielleicht hätte ich nach dem ganzen Konfigurieren und testen zwischendurch mal den Mikrotik neustarten müssen oder so.

Naja egal, Hauptsache es klappt jetzt :D
Ich danke Dir auf jeden Fall für Deinen Support!

VG
aqui
aqui 26.07.2022 um 07:54:05 Uhr
Goto Top
Jetzt klappt es auf einmal...
👍 Windows hat vermutlich Muffensausen bekommen! 🤣
Ich danke Dir auf jeden Fall für Deinen Support!
Immer gerne...