14
WS12 als VPN-Server L2TP PSK über Netzwerk I.O. über Internet Fehler 789
Hallo,
habe mir meinen VPN-Server eingerichtet und der funktioniert mit PPTP auch wunderbar und auch L2TP scheint keine größeren Probleme zu haben, denn auf Netzwerkebene funktioniert auch L2TP ohne Probleme (also mit direkter Netzwerk-IP), auch das mit dem NAT passt soweit - denke ich, denn ich bekomme vom Server eine neue IP in einem anderen Adressbereich zugewiesen. Doch sobald ich über Dyndns, direkte Internet-IP oder MyFritz connecten möchte, benötigt es erst mal lange und dann bekomme ich nach einer Zeit den Fehler 789. Sowohl mit Android als auch mit Windows 8.1 Geräten.
Für mich sieht es so aus als ob es irgendein Problem mit einer Firewall gibt, aber welches und wo?!
Ports sind frei =>
GRE GRE
PPTP TCP 1723
L2TP UDP 1701
IKE UDP 500
NAT-T UDP 4500
L2TP UDP 10000
ESP ESP
Kerberos TCP 88
Kerberos UDP 88
Habe auch schon mit Exposed Host probiert, aber ohne Erfolg. Wie gesagt auf Netzwerkebene funktioniert es problemlos und PPTP funktioniert übers Internet auch ohne Probleme, jedoch muss es irgendwo ein Problem mit L2TP geben.
Was meint ihr?
Vielen Dank schon mal im voraus!
habe mir meinen VPN-Server eingerichtet und der funktioniert mit PPTP auch wunderbar und auch L2TP scheint keine größeren Probleme zu haben, denn auf Netzwerkebene funktioniert auch L2TP ohne Probleme (also mit direkter Netzwerk-IP), auch das mit dem NAT passt soweit - denke ich, denn ich bekomme vom Server eine neue IP in einem anderen Adressbereich zugewiesen. Doch sobald ich über Dyndns, direkte Internet-IP oder MyFritz connecten möchte, benötigt es erst mal lange und dann bekomme ich nach einer Zeit den Fehler 789. Sowohl mit Android als auch mit Windows 8.1 Geräten.
Für mich sieht es so aus als ob es irgendein Problem mit einer Firewall gibt, aber welches und wo?!
Ports sind frei =>
GRE GRE
PPTP TCP 1723
L2TP UDP 1701
IKE UDP 500
NAT-T UDP 4500
L2TP UDP 10000
ESP ESP
Kerberos TCP 88
Kerberos UDP 88
Habe auch schon mit Exposed Host probiert, aber ohne Erfolg. Wie gesagt auf Netzwerkebene funktioniert es problemlos und PPTP funktioniert übers Internet auch ohne Probleme, jedoch muss es irgendwo ein Problem mit L2TP geben.
Was meint ihr?
Vielen Dank schon mal im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258342
Url: https://administrator.de/forum/ws12-als-vpn-server-l2tp-psk-ueber-netzwerk-i-o-ueber-internet-fehler-789-258342.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
14 Kommentare
Neuester Kommentar
Hallo bugzz,
häufigste Ursache ist bei diesem Fehler das NAT-Traversal:
Grüße Uwe
p.s. Kerberos hat auf der Firewall nichts zu suchen, für L2TP o. IPSec reichen 1701/500/4500UDP und ESP(50) Protokoll. Die Probleme sind hier meist bei den Clients zu suchen, bei denen oft falsche Verschlüsselungsparameter aktiviert sind. Ebenso müssen die des Servers (Phase1 und Phase2) dazu passen.
Ein Trace mit Wireshark bringt dir hier sofort Klarheit woran die Verbinung scheitert! Da du eine Fritte hast kannst du zur Aufzeichnung der Pakete diese benutzen.
häufigste Ursache ist bei diesem Fehler das NAT-Traversal:
Grüße Uwe
p.s. Kerberos hat auf der Firewall nichts zu suchen, für L2TP o. IPSec reichen 1701/500/4500UDP und ESP(50) Protokoll. Die Probleme sind hier meist bei den Clients zu suchen, bei denen oft falsche Verschlüsselungsparameter aktiviert sind. Ebenso müssen die des Servers (Phase1 und Phase2) dazu passen.
Ein Trace mit Wireshark bringt dir hier sofort Klarheit woran die Verbinung scheitert! Da du eine Fritte hast kannst du zur Aufzeichnung der Pakete diese benutzen.
Danke für deine Antwort.
Habe gestern mich auch schon umgeschaut, aber habe irgendwie nichts passendes gefunden. Diese Registryänderung habe ich schon durchgeführt, aber ohne Erfolg!
Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge, theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über meinen DynDns machen will oder?
Habe gestern mich auch schon umgeschaut, aber habe irgendwie nichts passendes gefunden. Diese Registryänderung habe ich schon durchgeführt, aber ohne Erfolg!
Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge, theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über meinen DynDns machen will oder?
Zitat von @bugzzz:
Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge,
theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über
meinen DynDns machen will oder?
auf Fehler bei der Sicherheitsaushandlung (nicht passende Algorithmen Phase1 und 2) und nicht ankommende ESP Pakete. Das hier zu erklären würde aber den Rahmen sprengen. Du könntest höchstens das Capture-File irgendwo zu Download bereitstellen, oder dich via PM melden dann kannst du mir das File mal per Mail schicken. Natürlich mit Angabe welches Device welche IP hat.Der Tipp mit Wireshark ist gut, aber worauf muss ich achten? Ich habe in der Minute beim connecten ca. 500 Einträge,
theoretisch müsste ja meine Internet-IP anfragen an meine Internet-IP oder?! Wenn ich das aus meinem Netzwerk über
meinen DynDns machen will oder?
Grüße Uwe
Danke für deine Hilfe. Hoffe du verstehst, dass ich ein solches Protokoll ungern weitergebe. Habe mal ein paar Ausschnitte als Screen geuppt.
http://www.directupload.net/file/d/3845/85ub4fj8_png.htm
http://www.directupload.net/file/d/3845/srmjxd6y_png.htm
Habe mal die wichtigsten Zeilen ausgeschnitten... denke der Aufbau beginnt bei Zeile 17 von meinem Rechner aus über den Router. Der bekommt vom DynDNS die öffentliche IP und startet die Anfrage ab Zeile 22 bis 27 und dann läuft ein Aufbau ab Zeile 31 bis 54 oder was macht er da?!
Ich denke der Fehler liegt irgendwo zwischen Zeile 22 und 27, denn in Zeile 39 versucht der Server irgendwie was mit dem Protokoll IGMPv3 mit der IP 224.0.0.22 zu machen. Das tritt weiter oben mit der IP meines Rechners auch auf, falscher DNS?!
http://www.directupload.net/file/d/3845/85ub4fj8_png.htm
http://www.directupload.net/file/d/3845/srmjxd6y_png.htm
Habe mal die wichtigsten Zeilen ausgeschnitten... denke der Aufbau beginnt bei Zeile 17 von meinem Rechner aus über den Router. Der bekommt vom DynDNS die öffentliche IP und startet die Anfrage ab Zeile 22 bis 27 und dann läuft ein Aufbau ab Zeile 31 bis 54 oder was macht er da?!
Ich denke der Fehler liegt irgendwo zwischen Zeile 22 und 27, denn in Zeile 39 versucht der Server irgendwie was mit dem Protokoll IGMPv3 mit der IP 224.0.0.22 zu machen. Das tritt weiter oben mit der IP meines Rechners auch auf, falscher DNS?!
Wenn ich mir das selbe im eigenen Netzwerk anschaue, also über direkte IP einen L2TP VPN zu öffnen, dann geht das innerhalb von Sekunden und genau die Abfrage die hier an in obigen Beispielen an den Router gehen, gehen hier direkt an den Server.
mit den Bildern kann man natürlich so leider nix anfangen ...
genau die Abfrage die hier an in obigen Beispielen an den Router gehen, gehen hier direkt an den Server.
ahaaaa, du hast in der Fritte die integrierte VPN-Funktion nicht deaktiviert dort dürfen keinerlei Profile vorhanden sein!!
Was benötigst um damit was anzufangen? Ich mein mit dem File könntest alles mögliche mit meinem Netzwerk anfangen... ^^
Ja die ist aktiviert, aber ich benötige die Verbindung zwischen der Box zu anderen Boxen! Allerdings ist die Verbindung der anderen Boxen dauerhaft aufgebaut!
Ja die ist aktiviert, aber ich benötige die Verbindung zwischen der Box zu anderen Boxen! Allerdings ist die Verbindung der anderen Boxen dauerhaft aufgebaut!
Das stimmt, daran lag es... ohne Fritz Profile funktioniert es. Mal überlegen wie ich dann die Verbindung zu anderen Netzwerken halte, hast du deine Idee?
Zitat von @bugzzz:
Das stimmt, daran lag es... ohne Fritz Profile funktioniert es. Mal überlegen wie ich dann die Verbindung zu anderen
Netzwerken halte, hast du deine Idee?
Entweder alle Netze auf der Fritte terminieren, oder auf dem Server ein anderes VPN-Protokoll wie OpenVPN benutzen. Oder besser gleich einen anständigen Router wie einen Mikrotik (gibts ab ca 30€) hernehmen der das alles parallel und vernünftig mit allen Feinheiten beherrscht.Das stimmt, daran lag es... ohne Fritz Profile funktioniert es. Mal überlegen wie ich dann die Verbindung zu anderen
Netzwerken halte, hast du deine Idee?
Grüße Uwe
Guten Morgen Uwe,
also ich dank dir nochmal - es funktioniert soweit.
Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.
Ist es möglich einen dauerhaften Tunnel zwischen einem Server zu einer FritzBox aufzubauen, also in der Art wie eine FritzBox das macht?
Ach und frohe Weihnachten noch
also ich dank dir nochmal - es funktioniert soweit.
Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.
Ist es möglich einen dauerhaften Tunnel zwischen einem Server zu einer FritzBox aufzubauen, also in der Art wie eine FritzBox das macht?
Ach und frohe Weihnachten noch
Morgen,
was alle möglichen Finessen beherrscht. Natürlich sind die Mikrotiks keine Spielzeuge, d.h. tiefergehende Netzwerk-und Routing- und Firewallkentnisse sind hier für eine vernünftige Konfiguration unabdinglich (ähnlich wie bei den Ciscos). Wenn du was für Otto-Normalverbraucher mit Klicki-Bunti Interface suchst bedien dich besser bei LANCOM,DRAYTEK, CISCO (Einsteigerklasse) & Co, dafür ist der Preis den du für die Geräte zahlst, natürlich höher. Das was die können kann der Mikrotik ebenfalls, nur muss man hier eben wissen was man tut!
VPN Einwahlserver mit Fritzbox als LAN LAN Kopplung
Grüße Uwe
Zitat von @bugzzz:
Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.
Die Mikrotiks haben kein Modem. Naja, wenn man nur die "Konsumer"-Seite betrachtet sind die Fritten OK, Profis machen das lieber mit was anständigem Was sind das für Router, kenne ich nicht? Mit Modem? Dachte eigentlich das die FritzBoxen Top sind.
was alle möglichen Finessen beherrscht. Natürlich sind die Mikrotiks keine Spielzeuge, d.h. tiefergehende Netzwerk-und Routing- und Firewallkentnisse sind hier für eine vernünftige Konfiguration unabdinglich (ähnlich wie bei den Ciscos). Wenn du was für Otto-Normalverbraucher mit Klicki-Bunti Interface suchst bedien dich besser bei LANCOM,DRAYTEK, CISCO (Einsteigerklasse) & Co, dafür ist der Preis den du für die Geräte zahlst, natürlich höher. Das was die können kann der Mikrotik ebenfalls, nur muss man hier eben wissen was man tut!Ist es möglich einen dauerhaften Tunnel zwischen einem Server zu einer FritzBox aufzubauen, also in der Art wie eine FritzBox das macht?
Du meinst ein einfaches LAN2LAN VPN mit einem Windows Server als Gegenstelle, dafür sind die Fritten nicht geeignet, da die Fritte nur pures IPSec spricht, wohingegen der Windows Server nur L2TP o.IPSec macht.VPN Einwahlserver mit Fritzbox als LAN LAN Kopplung
Ach und frohe Weihnachten noch
Wünsche ich ebenso *<(:--)Grüße Uwe
So das Problem ist noch nicht ganz gelöst... und zwar funktioniert es soweit ganz gut, jedoch hat mein Android L Smartphone probleme mit der L2TP Verbindung. Es ging am Anfang und jetzt auf einmal verbindet es nicht, aber PPTP macht es ohne Probleme!
Wie gesagt, das komische, dass es vorher ging!
Wie gesagt, das komische, dass es vorher ging!
Es ging am Anfang und jetzt auf einmal verbindet es nicht,
Das hilft uns hier jetzt ungemein 
check die RRAS Logs darin solltest du den Fehler finden wenn dir nicht das Netz einen Strich durch die Rechnung macht. Wie oben bereits geschrieben ist Wireshark dein Freund...Wie gesagt, das komische, dass es vorher ging!
zwischenzeitlich wieder das VPN der Fritte aktiviert 
? Du sagtest ja das du die Fritte als Kopplungsrouter zwischen anderen VPN benötigst ... beides (Fritte und den Server) gleichzeitig als L2TP o.IPSEC geht mit einer öffentlichen IP nicht. Ansonsten weiche auf OpenVPN für die Smartphones aus, das läuft auch parallel zu den anderen VPNs.Ansonsten wie gesagt einen professionelleren Router besorgen, der die VPNs alle auf dem Router terminiert - alles andere ist Gefrickel, was dir immer wieder mal Probleme bereiten wird.
