VPN W2KS - XP SP2 Netgear RO318 Fritz!Box SL
Verbindung klappt nicht...
Neue Erkenntnisse hinzugefügt
Hallo Forum!
Ich muss für einen Kunden eine Außenstelle an die Zentrale per VPN anbinden. Das will leider nicht gelingen.
Hardware und Konfiguration
Außenstelle: XP SP2, Fritz!Box SL
Hauptstelle: w2ks, Netgear R0318
Dynamic DNS Host bei dyndns.com
Die Dyndns.com Daten habe ich im Netgear Router eingetragen.
Ping-Response habe ich im Netgear aktiviert.
Auf dem w2k Server habe ich im Routing VPN freigegeben und ein Zeitschema für den Zugriff erstellt.
Im active directory habe ich den Bennutzer für den Fernzugriff berechtigt.
Auf der XP-Kiste habe ich eine Netzwerkverbindung (VPN) erstellt und die Adresse von dyndns eingetragen.
Protokolleinstellungen
Sowohl auf dem w2ks als auch in xp habe ich explizit kein Sicherheitsprotokoll gewählt. Was wird dann genommen PPTP?
Ich habe mal auf der Netgear-website nachgesehen und folgende Info gefunden:
http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prio ...
Beim RO318 steht bei Type of Tunnels Supported nur IPSec. Kann das sein?
An einer anderen Stelle habe ich die Aussage gefunden, dass alle NETGEAR router VPM mit IPSec, PPTP und L2TP können???
http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prio ...
Was stimmt jetzt?
Wenn ich tatsächlich IPSec benutzen muss, braucht man dafür doch ein Zertifikat oder? Wie geht das?
Port Netgear
Im Router habe ich unter Portforwarding die Ports 50,51, 500 und 1723 mit der IP des Severs (w2ks) eingetragen.
Services sind keine blockiert.
Port Fritz!Box
Auf der Fritz!Box habe die Ports 50,51, 500 und 1723 mit der IP des XP-Rechners freigegeben .
Fehler
Momentan meldet mir XP Fehler 800 (nicht erreichbar oder die Sicherheitsparameter sind nicht korrekt konfiguriert).
Ein Ping funktioniert.
Für ein paar Tipps wäre ich sehr dankbar. Vor allem wäre es mir Recht wenn die Verbindung ohne das komplizierte IPSec funktionieren würde...
Vielen Dank schon mal im Vorraus
Arno Küchlin
Ich muss für einen Kunden eine Außenstelle an die Zentrale per VPN anbinden. Das will leider nicht gelingen.
Hardware und Konfiguration
Außenstelle: XP SP2, Fritz!Box SL
Hauptstelle: w2ks, Netgear R0318
Dynamic DNS Host bei dyndns.com
Die Dyndns.com Daten habe ich im Netgear Router eingetragen.
Ping-Response habe ich im Netgear aktiviert.
Auf dem w2k Server habe ich im Routing VPN freigegeben und ein Zeitschema für den Zugriff erstellt.
Im active directory habe ich den Bennutzer für den Fernzugriff berechtigt.
Auf der XP-Kiste habe ich eine Netzwerkverbindung (VPN) erstellt und die Adresse von dyndns eingetragen.
Protokolleinstellungen
Sowohl auf dem w2ks als auch in xp habe ich explizit kein Sicherheitsprotokoll gewählt. Was wird dann genommen PPTP?
Ich habe mal auf der Netgear-website nachgesehen und folgende Info gefunden:
http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prio ...
Beim RO318 steht bei Type of Tunnels Supported nur IPSec. Kann das sein?
An einer anderen Stelle habe ich die Aussage gefunden, dass alle NETGEAR router VPM mit IPSec, PPTP und L2TP können???
http://kbserver.netgear.com/inquira/default.asp?ui_mode=answer&prio ...
Was stimmt jetzt?
Wenn ich tatsächlich IPSec benutzen muss, braucht man dafür doch ein Zertifikat oder? Wie geht das?
Port Netgear
Im Router habe ich unter Portforwarding die Ports 50,51, 500 und 1723 mit der IP des Severs (w2ks) eingetragen.
Services sind keine blockiert.
Port Fritz!Box
Auf der Fritz!Box habe die Ports 50,51, 500 und 1723 mit der IP des XP-Rechners freigegeben .
Fehler
Momentan meldet mir XP Fehler 800 (nicht erreichbar oder die Sicherheitsparameter sind nicht korrekt konfiguriert).
Ein Ping funktioniert.
Für ein paar Tipps wäre ich sehr dankbar. Vor allem wäre es mir Recht wenn die Verbindung ohne das komplizierte IPSec funktionieren würde...
Vielen Dank schon mal im Vorraus
Arno Küchlin
Please also mark the comments that contributed to the solution of the article
Content-Key: 40053
Url: https://administrator.de/contentid/40053
Printed on: April 23, 2024 at 21:04 o'clock
2 Comments
Latest comment
Was für ein VPN Protokoll setzt du denn überhaupt ein ??? Das hört sich so nach einer "Schrottschuss" Konfiguration an ??? Das solltest du erstmal klären !
Ist es IPsec brauchst du in der Tat UDP 500 (IKE) und ESP Forwarding. ESP ist Protokoll 50 (Achtung: KEIN TCP oder UDP Port 50 oder 51 sondern die Protokoll Nummer !!!) D.h. dein Router muss ESP Forwarding supporten. Tut er das nicht kannst du kein IPsec über den Router übertragen. Grund ist die NAT Funktion. In den meisten Routern wird dieses Feature auch als "VPN Passthrough" bezeichnet.
IPsec mit AH (Authentication Header) ist gar nicht über NAT Router wegen der bei NAT falsch kalkulierten IP Header Checksum zu übertragen. AH ist Protokoll 51 (Achtung NICHT TCP oder UDP Port 51!!)
1723 TCP ist Microsofts PPTP. Aber dafür brauchst du auch ein GRE (Generic Route Encapsulation) Forwarding. GRE ist Protokoll Nummer 47 (Auch hier KEIN TCP oder UDP 47 !!!)
TCP 1723 dient nur dem Schlüsselaustasuch die Wirkdaten gehen über GRE.
Das solltest du erstmal in der Featureliste deiner Router klären ansonsten ist jedes testen sinnlos...
Ist es IPsec brauchst du in der Tat UDP 500 (IKE) und ESP Forwarding. ESP ist Protokoll 50 (Achtung: KEIN TCP oder UDP Port 50 oder 51 sondern die Protokoll Nummer !!!) D.h. dein Router muss ESP Forwarding supporten. Tut er das nicht kannst du kein IPsec über den Router übertragen. Grund ist die NAT Funktion. In den meisten Routern wird dieses Feature auch als "VPN Passthrough" bezeichnet.
IPsec mit AH (Authentication Header) ist gar nicht über NAT Router wegen der bei NAT falsch kalkulierten IP Header Checksum zu übertragen. AH ist Protokoll 51 (Achtung NICHT TCP oder UDP Port 51!!)
1723 TCP ist Microsofts PPTP. Aber dafür brauchst du auch ein GRE (Generic Route Encapsulation) Forwarding. GRE ist Protokoll Nummer 47 (Auch hier KEIN TCP oder UDP 47 !!!)
TCP 1723 dient nur dem Schlüsselaustasuch die Wirkdaten gehen über GRE.
Das solltest du erstmal in der Featureliste deiner Router klären ansonsten ist jedes testen sinnlos...