lukas0209
Goto Top

Windows 11 verliert L2TP-IPsec Pre-Shared Key

Hallo zusammen,

ich habe heute einen neuen Windows 11 Pro Client installiert, dieser funktioniert soweit auch einwandfrei bis auf das integrierte VPN. Ich habe auch schon die Vermutung gehabt, dass irgendwas bei der Installation fehlgeschlagen ist, deshalb habe ich den auch nochmal neuinstalliert.
Ich möchte mich mit L2TP/IPsec zu einem VPN-Server verbinden, welcher einen Pre-Shared Key vergeben hat. Windows 11 nimmt den Pre-Shared Key an, aber sobald man die Eingabe des VPN mit Ok bestätigt ist der Pre-Shared Key weg. Als wäre da noch nie einer eingetragen gewesen.
Ich habe schon versucht per Powershell den VPN-Tunnel anzulegen nur leider mache ich da die gleiche Erfahrung. Der Pre-Shared Key ist nach der Eingabe wie vom Erdboden verschluckt.

Andere Clients haben dieses Problem nicht und somit schließe ich das Problem am VPN-Gateway aus.

Hat irgendwer eine Idee wie ich das integrierte VPN zum funktionieren bekomme?

Gruß Lukas

Content-Key: 6691285073

Url: https://administrator.de/contentid/6691285073

Printed on: June 15, 2024 at 00:06 o'clock

Member: silent-daniel
silent-daniel Apr 08, 2023 updated at 12:12:24 (UTC)
Goto Top
geht's über die alte Systemsteuerung?

Systemsteuerung\Netzwerk und Internet\Netzwerkverbindungen

gruß sd
Mitglied: 6247018886
6247018886 Apr 08, 2023 updated at 12:29:18 (UTC)
Goto Top
Hätte erst neulich einen ähnlichen Fall.
Hier war das Profil des Users und der Credential-Store defekt. Neues Profil half bei diesem. Bei einem anderen waren Systemdateien beschädigt, hier half nur ein Refresh des Systems (sfc /scannow half hier leider nicht mehr).
Das aktuellste CU sollte natürlich drauf sein. Gab da ja Anfang 2022 mal ein Problem mit L2TP, aber das ist ja schon länger Geschichte.

Cheers briggs
Member: lukas0209
lukas0209 Apr 08, 2023 at 12:21:14 (UTC)
Goto Top
Hallo,

danke für deine Antwort, aber leider nicht.
Ich habe es sowohl in den Einstellungen sowie in der Systemsteuerung schon versucht. Soeben ist noch ein Client dazu gekommen, welcher scheinbar sich ein Windows Update gezogen hat...

Gruß Lukas
Member: lukas0209
lukas0209 Apr 08, 2023 at 12:31:39 (UTC)
Goto Top
Zitat von @6247018886:

Hätte erst neulich einen ähnlichen Fall.
Hier war das Profil des Users und der Credential-Store defekt. Neues Profil half bei diesem. Bei einem anderen waren Systemdateien beschädigt, hier half nur ein Refresh des Systems (sfc /scannow half hier leider nicht mehr).
Danke, habe ich auch schon ausprobiert....
Das aktuellste CU sollte natürlich drauf sein. Gab da ja Anfang 2022 mal ein Problem mit L2TP, aber das ist ja schon länger Geschichte.
Ist installiert, die Updates sind alle die letzten freigegebenen von Microsoft für Windows 11.

Cheers briggs
Mitglied: 6247018886
6247018886 Apr 08, 2023 updated at 12:38:11 (UTC)
Goto Top
Deaktiviere mal den Defender Credential Guard und Virtualization Based Security, die sind gerne mal für solche Credential Kuriositäten bei VPN Verbindungen verantwortlich.

Legst du die Verbindung auf User- oder Computerebene an?
Member: lukas0209
lukas0209 Apr 08, 2023 at 12:54:51 (UTC)
Goto Top
Zitat von @6247018886:

Deaktiviere mal den Defender Credential Guard und Virtualization Based Security, die sind gerne mal für solche Credential Kuriositäten bei VPN Verbindungen verantwortlich.
Habe ich beides deaktiviert. Habe ich auch gerade extra nochmal kontrolliert.

Legst du die Verbindung auf User- oder Computerebene an?
Ich würde sagen auf Computerebene, da die VPN-Verbindung für alle Benutzer zugänglich sein soll/war.
Mitglied: 6247018886
6247018886 Apr 08, 2023 updated at 13:00:25 (UTC)
Goto Top
Zitat von @lukas0209:
Habe ich beides deaktiviert. Habe ich auch gerade extra nochmal kontrolliert.

Auch danach neu gestartet?
Legst du die Verbindung auf User- oder Computerebene an?
Ich würde sagen auf Computerebene, da die VPN-Verbindung für alle Benutzer zugänglich sein soll/war.
Das sollte man schon wissen auch wegen der nötigen UAC für Computerverbindungen 😉.

Gibt es GPOs? Domain-Member?
Member: lukas0209
lukas0209 Apr 08, 2023 updated at 13:15:12 (UTC)
Goto Top
Zitat von @6247018886:

Zitat von @lukas0209:
Habe ich beides deaktiviert. Habe ich auch gerade extra nochmal kontrolliert.

Auch danach neu gestartet?
Legst du die Verbindung auf User- oder Computerebene an?
Ich würde sagen auf Computerebene, da die VPN-Verbindung für alle Benutzer zugänglich sein soll/war.
Das sollte man schon wissen auch wegen der nötigen UAC für Computerverbindungen 😉.
Ist auf jeden Fall auf Computerebene, da es ein Domänen-Computer ist und dieser bei Erstellung auf die nötigen UAC anspringt. face-smile

Gibt es GPOs? Domain-Member?

Gibt einige GPOs. Da bin ich gerade bei das zu überprüfen.
User-GPOs kann ich schonmal ausschließen, denn auf einem Windows 10 Client funktioniert die VPN Verbindung mit dem gleichen Benutzer problemlos.
Ich verschiebe jetzt mal einen der Problem Windows 11 Clients in eine OU ohne GPOs, melde mich.
Member: lukas0209
lukas0209 Apr 08, 2023 updated at 13:23:37 (UTC)
Goto Top
Der Rechner sowie mein Nutzer liegen jetzt in OUs ohne GPOs und es wird auch nichts mehr angewendet außer die Default die sind aber von Werk aus unverändert.
Resultat funktioniert immer noch nicht, der Pre-Shared Key wird direkt wieder gelöscht nachdem mit OK bestätigt wird!

Noch irgendeine Idee?
Member: aqui
aqui Apr 08, 2023 updated at 13:38:00 (UTC)
Goto Top
Es muss ein Fehler dieses spezifischen Win 11 PCs sein.
Ein Test mit zwei verschiedenen 22H2 Win 11 Rechnern auf je ein Cisco L2TP und eins auf einer pfSense L2TP lief fehlerlos. Sowohl User Credentials als auch PSK bleibt auch nach Löschen und wieder Anlegen des VPN Profils gespeichert.
Mitglied: 6247018886
6247018886 Apr 08, 2023 updated at 13:38:15 (UTC)
Goto Top
Zitat von @aqui:

Es muss ein Fehler dieses spezifischen Win 11 PCs sein.
Ein Test mit zwei verschiedenen 22H2 Win 11 Rechnern auf ein Cisco L2TP und eins auf einer pfSense L2TP lief fehlerlos. Sowohl User Credentials als auch PSK bleibt auch nach Löschen und wieder Anlegen des VPN Profils gespeichert.
Dito auch hier bleibt der Key erhalten und übersteht auch einen Neustart problemlos.

Da steht dann wohl ein OS-Refresh an .
Member: lukas0209
lukas0209 Apr 08, 2023 at 13:37:56 (UTC)
Goto Top
Zitat von @aqui:

Es muss ein Fehler dieses spezifischen Win 11 PCs sein.
Ein Test mit zwei verschiedenen 22H2 Win 11 Rechnern auf ein Cisco L2TP und eins auf einer pfSense L2TP lief fehlerlos. Sowohl User Credentials als auch PSK bleibt gespeichert.

Okay komisch. Habe ja mittlerweile schon zwei mit denen das nicht funktioniert. Ich installiere gerade einen dritten mit Windows 11 22H2 und lasse mal alle Updates weg. melde mich dann nochmal.
Member: lukas0209
lukas0209 Apr 08, 2023 at 13:38:57 (UTC)
Goto Top
Zitat von @6247018886:

Zitat von @aqui:

Es muss ein Fehler dieses spezifischen Win 11 PCs sein.
Ein Test mit zwei verschiedenen 22H2 Win 11 Rechnern auf ein Cisco L2TP und eins auf einer pfSense L2TP lief fehlerlos. Sowohl User Credentials als auch PSK bleibt auch nach Löschen und wieder Anlegen des VPN Profils gespeichert.
Dito auch hier bleibt der Key erhalten und übersteht auch einen Neustart problemlos.

Da steht dann wohl ein OS-Refresh an .
Soll ich mal ein neues Installation Image bei Microsoft downloaden?
Member: lukas0209
lukas0209 Apr 08, 2023 at 13:41:10 (UTC)
Goto Top
Könnt ihr denn ein neues VPN-Profil anlegen und da einen PSK eintragen? Das ist nämlich mein Problem.

Sofern die Verbindung im Windows hinterlegt ist und nichts geändert wird funktioniert das. Habe ich jetzt auf noch einem anderen Rechner ausprobiert, aber sobald das ein komplett neues VPN-Profil ist funktioniert der PSK nicht.
Mitglied: 6247018886
6247018886 Apr 08, 2023 updated at 13:48:04 (UTC)
Goto Top
Zitat von @lukas0209:

Soll ich mal ein neues Installation Image bei Microsoft downloaden?
Schaden kann es nicht.
Könnt ihr denn ein neues VPN-Profil anlegen und da einen PSK eintragen? Das ist nämlich mein Problem.
Ja, eins oder mehrere kein Problem, nachträglich ändern ebenso kein Problem.

Mach mal einen Mitschnitt mit ProcMon und schau was da abgeht während du versuchst zu speichern.
Member: lukas0209
lukas0209 Apr 08, 2023 at 13:49:41 (UTC)
Goto Top
Zitat von @6247018886:

Zitat von @lukas0209:

Soll ich mal ein neues Installation Image bei Microsoft downloaden?
Schaden kann es nicht.
Mache ich jetzt gerade
Könnt ihr denn ein neues VPN-Profil anlegen und da einen PSK eintragen? Das ist nämlich mein Problem.
Ja, eins oder mehrere kein Problem, nachträglich ändern ebenso kein Problem.
Ok, als bei einem PC mit dem "alten" Image funktioniert die Einrichtung von VPN noch nicht mals.

Mach mal einen Mitschnitt mit ProcMon und schau was da abgeht während du versuchst zu speichern.
Member: aqui
aqui Apr 08, 2023 updated at 14:22:03 (UTC)
Goto Top
Könnt ihr denn ein neues VPN-Profil anlegen und da einen PSK eintragen?
Äähh, ja!
Wie sollte man denn auch ein L2TP Profil vollständig anlegen OHNE den PSK, das ginge ja gar nicht! face-wink
Guckst du HIER für die genauen ToDos.
Du musst ja 2 Dinge im L2TP Client definieren:
  • Den vorinstallierten Schlüssel (PSK)
  • Die User Credentials mit Usernamen und Passwort. Hier kannst du wählen ob du die User Credentials (nicht den o.a. PSK sprich "vorinstallierten Schlüssel"!) individuell speichern willst (Der PSK wir immer gespeichert) oder ob die Userdaten bei jedem VPN Dialin neu eingegeben werden sollen. (Haken bei speichern). Als Dritte Variante kann man im L2TP Client eintragen ob man gleich automatisch den Windows Login User und Passwort verwenden möchte.
usercred
Leider sagst du nicht wirklich genau welcher dieser Parameter sich bei dir angeblich nicht speichern lässt. face-sad
Member: lukas0209
lukas0209 Apr 08, 2023 at 14:37:38 (UTC)
Goto Top
Hi,
aqui vielen Dank für deine Anleitung.
Ich kann im VPN-Profil wie ich will den PSK, also geheim1234, eingeben, Windows entfernt diesen direkt wieder nachdem ich auf OK drücke und ich kann trotzdem das Profil speichern...

Funktioniert also trotzdem nicht face-sad
Member: aqui
aqui Apr 08, 2023 updated at 14:44:03 (UTC)
Goto Top
Das ist de facto ein Fehler deiner eigenen lokalen Win Installation! Wie gesagt alle Win 11 Rechner hier und die des Kollegen @6247018886 haben diese Problematik nicht. Auch ein eben schnell mal in einer VM installiertes, nacktes Win 11 von einem aktuellen Creation Tool USB Stick funktioniert völlig ohne irgendwelche Probleme.
Eigentlich können das ja nur Amok laufenden Gruppenregeln oder anderer Kram sein. Bei einem nackten, jungfräulichen Win 11 rennt das fehlerfrei.
Member: lukas0209
lukas0209 Apr 08, 2023 at 14:41:57 (UTC)
Goto Top
Ich installiere jetzt einfach testweise wieder Windows 10 auf einem der Problem laptops, schiebe den in die gleiche OU und sehe dann weiter. Mich nervt das gerade gewaltig. Wenn das so weiter geht sind in den nächsten Tagen noch die nächsten aus dem Netz.
Member: lukas0209
lukas0209 Apr 08, 2023 at 14:42:49 (UTC)
Goto Top
Zitat von @aqui:

Das ist de facto ein Fehler deiner eigenen lokalen Win Installation! Wie gesagt alle Win 11 Rechner hier und die des Kollegen @6247018886 haben diese Problematik nicht. Auch ein eben schnell mal in einer VM installiertes, nacktes Win 11 von einem aktuellen Creation Tool USB Stick funktioniert völlig ohne irgendwelche Probleme.

Ok danke, ich teste das direkt jetzt auch in VMs.
Member: lukas0209
lukas0209 Apr 08, 2023 at 14:47:36 (UTC)
Goto Top
Eigentlich können das ja nur Amok laufenden Gruppenregeln oder anderer Kram sein. Bei einem nackten, jungfräulichen Win 11 rennt das fehlerfrei.
Das werde ich wohl jetzt gleich sehen dürfen, oder halt auch nicht. Dann werde ich aber die neue ISO aus dem Media Creation Tool mir holen.
Member: transocean
transocean Apr 08, 2023 updated at 14:56:03 (UTC)
Goto Top
Moin,

auf einem mal kurz auf Proxmox installierten Win11 klappt die Eingabe ohne Probleme.
Vielleicht ist dein Installationsimage beschädigt.

Gruß

Uwe
Member: lukas0209
lukas0209 Apr 08, 2023 at 15:32:46 (UTC)
Goto Top
Zitat von @aqui:

Das ist de facto ein Fehler deiner eigenen lokalen Win Installation! Wie gesagt alle Win 11 Rechner hier und die des Kollegen @6247018886 haben diese Problematik nicht. Auch ein eben schnell mal in einer VM installiertes, nacktes Win 11 von einem aktuellen Creation Tool USB Stick funktioniert völlig ohne irgendwelche Probleme.
Eigentlich können das ja nur Amok laufenden Gruppenregeln oder anderer Kram sein. Bei einem nackten, jungfräulichen Win 11 rennt das fehlerfrei.
Tatsächlich war mein Windows 11 Image beschädigt. Ich kann jetzt problemlos in einer VM die VPN-Verbindung aufbauen. Sobald ich den aber in die Domäne einfüge ist jetzt Schicht im Schacht, da werde ich wohl noch Spaß mit haben.
Member: colinardo
colinardo Apr 08, 2023 updated at 16:26:17 (UTC)
Goto Top
Servus @lukas0209,
lass mal folgendes Powershell-Skript laufen (elevated für L2TP AllUsersConnections!) (im Kopf vorher noch den Verbindungsnamen und den Schlüssel anpassen) und poste hier mal welchen Return-Code das Skript zurückliefert.
Wenn 0 (ERROR_SUCCESS) zurückgegeben wird war das Setzen erfolgreich. Andernfalls poste den Code hier, eventuell bekommen wir hierdurch mehr Infos zum Fehler.
# Name of connection
$ConnectionName = 'Test-L2TP'  
# preshared key to set
$PresharedKey = 'SuperDuperGeheim'  
# ------------------------------------------
Add-Type -Namespace ras -Name creds -MemberDefinition '  
    [StructLayout(LayoutKind.Sequential)]
    public struct LPRASCREDENTIALSA
    {
        public int dwSize;
        public int dwMask;
        public String szUserName;
        public String szPassword;
        public String szDomain;
    }
    [DllImport("Rasapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] public static extern int RasSetCredentials(String paramFullPath, String paramName,LPRASCREDENTIALSA creds,bool clearCreds);  
'  
$creds = New-Object ras.creds+LPRASCREDENTIALSA
$creds.szPassword = $PresharedKey
$creds.dwMask = 0x10
$creds.dwSize = [System.Runtime.InteropServices.Marshal]::SizeOf($creds)
[ras.creds]::RasSetCredentials('C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk',$ConnectionName,$creds,0)  
Grüße Uwe
Member: lukas0209
lukas0209 Apr 08, 2023 at 15:49:02 (UTC)
Goto Top
Zitat von @colinardo:

Servus @lukas0209,
lass mal folgendes Powershell-Skript laufen (elevated für L2TP AllUsersConnections!) (im Kopf vorher noch den Verbindungsnamen und den Schlüssel anpassen) und poste hier mal welchen Return-Code das Skript zurückliefert.
Wenn 0 (ERROR_SUCCESS) zurückgegeben wird war das Setzen erfolgreich. Andernfalls poste den Code hier, eventuell bekommen wir hierdurch mehr Infos zum Fehler.
# Name of connection
$ConnectionName = 'Test-L2TP'  
# preshared key to set
$PresharedKey = 'SuperDuperGeheim'  
# ------------------------------------------
Add-Type -Namespace ras -Name creds -MemberDefinition '  
    [StructLayout(LayoutKind.Sequential)]
    public struct LPRASCREDENTIALSA
    {
        public int dwSize;
        public int dwMask;
        public String szUserName;
        public String szPassword;
        public String szDomain;
    }
    [DllImport("Rasapi32.dll", EntryPoint = "RasSetCredentialsW", CharSet = CharSet.Auto, SetLastError = true)] public static extern int RasSetCredentialsW(String paramFullPath, String paramName,LPRASCREDENTIALSA creds,bool clearCreds);  
'  
$creds = New-Object ras.creds+LPRASCREDENTIALSA
$creds.szPassword = $PresharedKey
$creds.dwMask = 0x10
$creds.dwSize = [System.Runtime.InteropServices.Marshal]::SizeOf($creds)
[ras.creds]::RasSetCredentialsW('C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk',$ConnectionName,$creds,0)  
Grüße Uwe

Hey,

erstmal danke für deine Hilfe.
Der "Fehlercode" ist 623.
Member: colinardo
colinardo Apr 08, 2023 updated at 15:55:52 (UTC)
Goto Top
OK, dann schau doch bitte nochmal ob am Speicherort 'C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk' diese Datei existiert oder einen anderen Namen hat und prüfe auch den Verbdindungsnamen nochmal auf exakte Schreibweise.
Member: lukas0209
lukas0209 Apr 08, 2023 at 15:57:29 (UTC)
Goto Top
Zitat von @colinardo:

OK, dann schau doch bitte nochmal ob am Speicherort 'C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk' diese Datei existiert oder einen anderen Namen hat und prüfe auch den Verbdindungsnamen nochmal auf exakte Schreibweise.

Nein wurde keine Datei nichts angelegt. face-sad Ich habe das Script jetzt auch mal auf einem nicht Domänen-PC ausgeführt, gleiche Fehlermeldung.
Member: colinardo
colinardo Apr 08, 2023 updated at 16:05:41 (UTC)
Goto Top
Zitat von @lukas0209:
Nein wurde keine Datei nichts angelegt.
Dann ist deine Verbindung keine Computer-Connection sondern eine User-Connection! Das Skript oben ist nur für AllUsersConnections zu benutzen. Die Benutzer-VPNs liegen stattdessen unter %APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk. Die Datei kannst du in einem Texteditor öffnen und schauen ob da deine Verbindung enthalten ist.
Member: lukas0209
lukas0209 Apr 08, 2023 at 17:19:09 (UTC)
Goto Top
Hallo,

so ich habe nur ein Tippfehler in der VPN-Verbindung gehabt, dass Script ist ohne Fehler durchgelaufen. Es funktioniert trotzdem weiterhin nichts...
Ich habe in die Computer-Connection "Datei" reingeschaut, da steht weiterhin nichts beim PSK drinnen!

Siehe hier:
PreSharedKey=

Ich habe jetzt den PreSahredKey per Hand eingetragen, trotzdem kein Unterschied. Ich gebe es jetzt für heute auf, mehr als 12 Stunden bin ich an dem Problem!

Danke euch und ich melde mich morgen.
Member: colinardo
colinardo Apr 08, 2023 updated at 20:00:50 (UTC)
Goto Top
Zitat von @lukas0209:

Hallo,

so ich habe nur ein Tippfehler in der VPN-Verbindung gehabt, dass Script ist ohne Fehler durchgelaufen.
Bedeutet welcher Return Code? 0? Den PSK Dialog danach kontrolliert ob dort Sternchen sichtbar sind?

Ich habe in die Computer-Connection "Datei" reingeschaut, da steht weiterhin nichts beim PSK drinnen!
Dort wird auch niemals ein PSK drin stehen!! Der PreSharedKey wird in einer verschlüsselten Datenstruktur außerhalb der Datei abgelegt und kann auch nur über die spezielle Win32-Funktion RasGetCredentials von einem Windows-Prozess abgefragt werden.

Lass dir mal mit rsop.msc auflisten welche GPOs dort gezogen werden. Lege besonderen Wert auf Berechtigungs-Anpassungen und Registry-Werte.
Member: lukas0209
lukas0209 Apr 09, 2023 at 06:03:59 (UTC)
Goto Top
Zitat von @colinardo:

Zitat von @lukas0209:

Hallo,

so ich habe nur ein Tippfehler in der VPN-Verbindung gehabt, dass Script ist ohne Fehler durchgelaufen.
Bedeutet welcher Return Code? 0? Den PSK Dialog danach kontrolliert ob dort Sternchen sichtbar sind?
Nö weiterhin keine Sternchen nichts, der Return Code war gestern Abend aber 0.


Ich habe jetzt über Nacht das "neue" Image von Microsoft genommen (ist von der Dateigröße gleich) und jetzt kann ich ohne Probleme den PSK eingeben und bei erneutem Aufruf werden auch Sternchen angezeigt! Das gilt sowohl für einen nicht Domänen-PC sowie auch für einen Domänen-PC.

Ich habe jetzt nur das Problem das er sich trotzdem nicht mit dem VPN verbindet.
Fehler: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotcomputer aufgetreten ist.
Member: lukas0209
lukas0209 Apr 09, 2023 at 06:23:46 (UTC)
Goto Top
Lass dir mal mit rsop.msc auflisten welche GPOs dort gezogen werden. Lege besonderen Wert auf Berechtigungs-Anpassungen und Registry-Werte.

Kann ich jetzt auch ausschließen, ich habe einen Computer komplett ohne GPOs und einen neuen Benutzer genutzt. Da ist fast nichts in der rsop.msc drinnen, außer die UAC Einstellungen und Kennwortrichtlinien.
Member: colinardo
colinardo Apr 09, 2023 updated at 07:54:43 (UTC)
Goto Top
Zitat von @lukas0209:
Ich habe jetzt nur das Problem das er sich trotzdem nicht mit dem VPN verbindet.
Fehler: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotcomputer aufgetreten ist.
Das ist in der Regel ein Missmatch der Phase1 IPSec Crypto-Settings beider Seiten (Server/Client).
Also entweder am Client eine Custom IPSec Policy an die Verbindung hängen (PowerShell) die auf die Phase 1 Policy der Server-Seite abgestimmt ist oder NAT-T ist bei dir der Schuldige und der AssumeUDPEncapsulationContextOnSendRule müsste helfen, siehe
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...

Grundlagen findest du hier in @aqui 's Anleitungen zu L2TPoIPSec.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Frohe Ostern.
Grüße Uwe
Member: aqui
aqui Apr 09, 2023 updated at 11:18:52 (UTC)
Goto Top
Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotcomputer aufgetreten ist.
Kollege @colinardo hat es schon gesagt. Dieser Fehler tritt in der Tat bei falschen Krypto Credentials deines VPN Servers auf. Siehe zusätzlich zu den o.a. Tutorials auch hier.
Du musst hier aufpassen für die Tunnelsettings des IPsec IKEv1 Tunnels!!! Siehe auch Setup Hinweise in den o.a. L2TP Tutorials.
  • In der Phase 1 immer AES 256 und ausschliesslich nur SHA1 Hashing einrichten mit DH Gruppe 2 (modp 1024) und 14 (modp 2048)
  • Phase 2 nur AES 128 und SHA1. PFS muss ausgeschaltet sein.
Beachtet man das, klappt das auch alles sofort auf Anhieb. face-wink
Member: lukas0209
lukas0209 Apr 09, 2023 updated at 11:48:57 (UTC)
Goto Top
Zitat von @aqui:

Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotcomputer aufgetreten ist.
Kollege @colinardo hat es schon gesagt. Dieser Fehler tritt in der Tat bei falschen Krypto Credentials deines VPN Servers auf. Siehe zusätzlich zu den o.a. Tutorials auch hier.
Du musst hier aufpassen für die Tunnelsettings des IPsec IKEv1 Tunnels!!! Siehe auch Setup Hinweise in den o.a. L2TP Tutorials.
  • In der Phase 1 immer AES 256 und ausschliesslich nur SHA1 Hashing einrichten mit DH Gruppe 2 (modp 1024) und 14 (modp 2048)
  • Phase 2 nur AES 128 und SHA1. PFS muss ausgeschaltet sein.
Beachtet man das, klappt das auch alles sofort auf Anhieb. face-wink
Also meines Erachtens ist das alles aktiviert auf dem Router/VPN, ist ein Draytek Vigor 2865ac.


Ich habe auch schon "Einfach" ausprobiert, macht auch keinen Unterschied. face-sad
screenshot 2023-04-09 133825
Member: lukas0209
lukas0209 Apr 09, 2023 at 11:40:22 (UTC)
Goto Top
Zitat von @colinardo:

Zitat von @lukas0209:
Ich habe jetzt nur das Problem das er sich trotzdem nicht mit dem VPN verbindet.
Fehler: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotcomputer aufgetreten ist.
Das ist in der Regel ein Missmatch der Phase1 IPSec Crypto-Settings beider Seiten (Server/Client).
Also entweder am Client eine Custom IPSec Policy an die Verbindung hängen (PowerShell) die auf die Phase 1 Policy der Server-Seite abgestimmt ist oder NAT-T ist bei dir der Schuldige und der AssumeUDPEncapsulationContextOnSendRule müsste helfen, siehe
https://learn.microsoft.com/de-de/troubleshoot/windows-server/networking ...
Danke, habe ich ausprobiert. Macht auch kein Unterschied, der Router/VPN steht ja direkt am Internet.
Member: lukas0209
lukas0209 Apr 09, 2023 updated at 11:57:22 (UTC)
Goto Top
Syslog zeigt mir den Fehler:
IPsec Security Level[Medium]: Ignore Phase1 SA proposals of DES/3DES/MD5/DH G1 G2/
Ist also ein Problem mit dem Windows (so würde ich das jetzt sehen)?!
Member: aqui
aqui Apr 09, 2023 updated at 12:25:43 (UTC)
Goto Top
Ich habe auch schon "Einfach" ausprobiert,
Zumindest "Mittel" ist falsch denn die dortigen DH Gruppen sind generell in keinem L2TP Client supportet. Supportet sind nur DH 2 (modp 1024) (Windows) und DH14 (modp 2048) (Apple)
Ignore Phase1 SA proposals of DES/3DES/MD5/DH G1 G2/
Welcher Syslog?? Server oder Client? face-sad
Bedeutet nur das die Phase 1 Proposals DES und 3DES und Hashing mit MD5 ignoriert wurden, was auch völlig normal ist, da L2TP Clients diese nicht verwenden.
Du hast also vermutlich wie oben schon mehrfach vermutet einen Mismatch in den angebotenen Krypto Verfahren des Servers.
Beachte auch das L2TP VPN kein reines IPsec ist, sondern immer eine Kombination aus IKEv1 (RFC 3193) und nativem L2TP. Nur die Produktivdaten werden in einem IPsec IKEv1 Tunnel mit PSK, (vorinstallierter Schlüssel) übertragen die gesamte User Authentisierung wird über MSCHAPv2 oder PAP gemacht.
Nur das du das mit auf dem Radar hast...?! face-wink
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol

Deswegen muss im Draytek Setup beides angehakt sein:
dr1
DES und 3 DES dürfen nicht aktiv sein!
dr2
Username und Passwort entsprechend eingerichtet werden
dr3
Der Windows Client ist entsprechend in den Security Settings, wie oben beschrieben, auf MS Chapv2 zu setzen.
Member: lukas0209
lukas0209 Apr 09, 2023 at 12:18:05 (UTC)
Goto Top
Zitat von @aqui:

Ich habe auch schon "Einfach" ausprobiert,
Zumindest "Mittel" ist falsch denn die dortigen DH Gruppen sind generell in keinem L2TP Client supportet. Supportet sind nur DH 2 (modp 1024) (Windows) und DH14 (modp 2048) (Apple)
Ok, dann nehme ich doch mal "Einfach".

Ignore Phase1 SA proposals of DES/3DES/MD5/DH G1 G2/
Welcher Syslog?? Server oder Client? face-sad
Der Syslog ist von dem Server, also dem Draytek.
Bedeutet nur das die Phase 1 Proposals DES und 3DES und Hashing mit MD5 ignoriert wurden, was auch völlig normal ist, da L2TP Clients diese nicht verwenden.
Du hast also vermutlich wie oben schon mehrfach vermutet einen Mismatch in den angebotenen Krypto Verfahren des Servers.
Beachte auch das L2TP VPN kein reines IPsec ist, sondern immer eine Kombination aus IKEv1 (RFC 3193) und nativem L2TP. Nur die Produktivdaten werden in einem IPsec IKEv1 Tunnel mit PSK, (vorinstallierter Schlüssel) übertragen die gesamte User Authentisierung wird über MSCHAPv2 oder PAP gemacht.
Nur das du das mit auf dem Radar hast...?! face-wink
Mein Radar ist mittlerweile kaputt, weil es mir schon die letzten zwei Tage zu oft im Weg stand... ;-
screenshot 2023-04-09 141507
Member: lukas0209
lukas0209 Apr 09, 2023 updated at 12:21:24 (UTC)
Goto Top
Zitat von @aqui:
zu deinen Bildern, ich habe schon einen neueren Draytek und kann z.B. nicht mehr an der Verschlüsselung was umstellen. DIe einzige Option indirekt in die Verschlüsselung einzuwirken ist wie gerade auf meinem letzten Bild zu sehen.
Member: aqui
aqui Apr 09, 2023 updated at 12:30:26 (UTC)
Goto Top
AH aktivieren ist falsch!!!
AH kann man generell nicht über NAT (IP Adress Translation) übertragen und supportet zudem kein einziger L2TP Client!! Es muss immer ESP sein. Solche IPsec Banalitäten solltest du aber wissen... face-wink
Mit AH scheitert dein Tunnel generell sofort!
ich habe schon einen neueren Draytek
OK, aber in der Remote Dialin User Verwaltung muss zwingend "L2TP mit IPsec Policy" angehakt sein und ein User muss eingerichtet sein mit Usernamen und Passwort.
Member: lukas0209
lukas0209 Apr 09, 2023 at 12:31:05 (UTC)
Goto Top
Zitat von @aqui:

AH aktivieren ist falsch!!!
AH kann man generell nicht über NAT (IP Adress Translation) übertragen und supportet zudem kein einziger L2TP Client!! Es muss immer ESP sein. Solche IPsec Banalitäten solltest du aber wissen... face-wink
Mit AH scheitert dein Tunnel generell sofort!
Ok, schon umgestellt!
Member: lukas0209
lukas0209 Apr 09, 2023 at 12:36:38 (UTC)
Goto Top
OK, aber in der Remote Dialin User Verwaltung muss zwingend "L2TP mit IPsec Policy" angehakt sein und ein User muss eingerichtet sein mit Usernamen und Passwort.
Der ist auch die ganze Zeit aktiviert.
Member: colinardo
colinardo Apr 09, 2023 updated at 17:31:53 (UTC)
Goto Top
Wie oben schon geschrieben passe halt einfach die IPSec Settings an die des Draytek auf Windows-Seite an wenn der Draytek-Kram sich nicht mehr detailliert konfigurieren lässt, dann lassen sich auch bessere Verfahren als die Crypto-Defaults von Windows nutzen.
Set-VPNConnectionIPSecConfiguration
Also bspw.
Set-VpnConnectionIPsecConfiguration -ConnectionName "Draytek_L2TP" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -PfsGroup PFS2048 -DHGroup Group14 -IntegrityCheckMethod SHA256 -Force

Siehe dazu auch
L2TP over IPsec from Windows 10 to Vigor Router
Ganz unten steht auch die Anpassung über die GUI welche aber im Gegensatz zur meiner oben genannten Powershell-Variante global für alle Verbindungen gilt.

Wenn es immer noch hakt, schau in die Anwendungs- und Dienstprotokolle (RAS Logs) im Eventviewer. Dort sollten mehr Informationen aufgelistet werden.

screenshot

Zusätzlich kannst du das RAS-Logging aktivieren mittels
netsh ras set tracing * enabled
Dann die Verbindung herstellen und danach mittels
netsh ras set tracing * disabled
die Logs auf Platte "flushen".

Danach kannst du die Logs hier einsehen:
C:\Windows\tracing
Member: lukas0209
lukas0209 Apr 10, 2023 at 07:57:44 (UTC)
Goto Top
Morgen zusammen,

ich habe heute Nacht endlich den Fehler gefunden. Die Windows Firewall hat bei öffentlichen Verbindungen keine VPN-Verbindung aufbauen lassen. Das wurde leider durch einen Gruppenrichtlinie gesteuert, die lokale Firewallregeln nicht anwenden lies.
Es ist auf jeden Fall getan, ich kann jetzt wieder einen PSK verteilen und zugleich kann ich auch wieder mein VPN nutzen. face-smile

Vielen Dank @aqui und @colinardo.
Schönen Ostermontag wünsche ich euch.