Hallo,
ich bin gerade seit Tagen am rumprobieren und bekomme es nicht hin eine L2TP Verbindung zu etablieren. Eine Normale PPTP-Verbingung geht allerdings.
Ich habe diverse Ms-Anleitungen im technet durchforstet aber komme nicht wirklich weiter.
Mein Ziel:
Freigegebene Clients sollen sich per VPN und Zertifikat in das Netzwerk einloggen können.
Hat jemand erfahrung in dem bereich und kann mir helfen?
Grüße
Pecadis
Das hat mit meinen Fachgebieten leider überhaupt nichts zu tun…
Halte ich mich raus. Viel Glück damit.
Hallo Pecadis,
Wesentlich zu wissen ist, ob der Server direkt am Internet hängt, oder über einen Router. Ich gehe mal von letzterem aus.
Wenn ein Router zwischengeschaltet ist, der dann die IP-Adressübersetzung ins Internet vornimmt, muss natürlich alles Notwendige an TCP/IP-Ports und Protokollen an den Server weitergeleitet werden.
Bei PPTP ist ja 1723/tcp und Protokoll 47 notwendig, bei L2TP/IPSec widersprechen sich die Angaben etwas, faktisch reicht aber IPSec (500/udp), NAT-T (4500/udp) und ESP (Protokoll 50). VPN-Passthru erledigt das meist mit, wenn es diese Einstellung am Router gibt.
Wenn man IPSec nutzt, sollte man unbedingt schauen, dass sich nicht der Router für VPNs verantwortlich fühlt - VPN-Passthru schaltet das aus.
Mit 2008 sollte es eigentlich keine Schwierigkeiten mit NAT-T bei L2TP/IPSec geben, aber es ist trotzdem immer etwas hakelig. „Fremdprotokolle“ wie OpenVPN (ein freies SSL-VPN) erlauben mehr Flexibilität und Stabilität, benötigen aber den entsprechenden Client.
Hallo Herr Hoffmann,
Danke für die schnelle rückantwort.
Das mit den Ports habe ich bereits gewusst und auch so umgesetzt. Jedoch kann ich vom Client aus (es ist dabei egal ob ich aus dem Lokalen Netz oder dem Internet wähle) keine verbindung aufbauen per L2TP/Ipsec. Der Fehler der dann erscheint ist der Fehler 766 weswegen ich vermute dass an meinem Server etwas falsch eingerichtet wurde.
Ich habe wie oben beschrieben schon diverse anleitungen durchprobiert, jedoch nicht mit dem gewünschten erfolg.
Grüße
Pecadis
Der Fehler der dann erscheint ist der Fehler 766
weswegen ich vermute dass an
meinem Server etwas falsch eingerichtet wurde.
Der Fehler liegt bei Meldung 766 wohl an einem fehlenden oder ungültigen Maschinenzertifikat. Siehe u.a. http://blogs.technet.com/b/rrasblog/archive/2009/06/…
Man muss ein Zertifikat für den VPN-Server erzeugen, und dort auch installieren, damit es funktioniert. Ich bin mir aber nicht ganz sicher, ob man das Zertifikat dann auch auf dem Client installieren muss.
Hallo,
Nein auch nach dieser anleitung funktioniert es leider nicht wie gewünscht.
Welche einstellungen müssen denn vorgenommen werden damit alles Funktioniert?
Also welche Zertifikate müssen wo liegen und von wem, wie signiert worden sein?
Ich weiß leider auch nicht mehr als das, was beschrieben ist. Eine CA muss ein Zertifikat für den VPN-Server ausstellen, das auch für Client-Authentifizierung verwendet werden kann, und dieses muss auf dem Server und den Clients installiert werden.
Oft verwendet man den eigenen VPN-Server als Zertifizierungsstelle (CA). Dann muss diese (manuell) als vertrauenswürdig klassifiziert werden (beim Importieren).
Ok ich denke da komme ich des Rätsels Lösung etwas näher
Wie kann ich denn als CA ein solches Zertifikat ausstellen? das Importieren weiß ich wie das geht.
Muss mein Ras das Zertifikat haben oder muss es allgemein auf dem Server liegen?
„Zertifizierungsstelle“ ist ein Rollendienst auf dem Server. Wenn man diesen aktiviert, kann man ein selbst-signiertes Zertifikat ausstellen (hier muss man wahrscheinlich auf die Verwendung achten - am besten für alles zulassen).
Das muss dann auf Server und Client importiert werden, und zwar manuell und „körperlich“. Ohne Zertifikat wird die Verbindung sofort abgelehnt.
Was spricht gegen pptp!
L2TP geht nur in Verbindung mit IPsec!
Hallo Herr Glaser,
Was spricht gegen pptp!
Persönlich habe ich ja nichts gegen PPTP. Jedoch möchte ich auch aus Weiterbildungszwecken und Beruflicher neugier einen VPN Tunnel aufbauen auf L2TP mit Ipsec. Des weiteren habe ich gelesen (ich habe noch keine möglichkeit gefunden das nachzuprüfen) dass es einfacher als andere VPN Protokolle möglich ist, das PPTP zu knacken und so in ein Privates Netzwerk einzudringen.
L2TP geht nur in Verbindung mit IPsec!
Das ist mir durchaus bewusst. Deswegen frage ich hier auch nach einer exakten Implementierung.
Hallo,
Hallo,
ich hoff der Thread ist noch einigermassen aktuell oder vielleicht interessierts ja sonst jemanden?
ich hatte das gleiche Problem wie Du und vor ein paar Wochen hab ich an einem der vielen verregneten Wochenenden mal wieder damit rumgespielt … und plötzlich hat’s funktioniert und ich wusste kaum warum.
Daher hab ich mich grad hingesetzt und das nochmal nachzuvollziehen versucht und dabei dokumentiert so weit es ging. Wäre klasse wenn jemand das mal ausprobieren könnte und feedback dazu geben:
http://i-link.de/L2TP/L2TP_Certificate_VPN.html
oder als PDF
http://i-link.de/L2TP/Windows_L2TP_VPN_mit_Zertifika…
Viele Grüsse, Markus