Ein Kunde von mir wollte jetzt sein PPTP VPN (auf meinen Rat hin, evtl. bereue ich das *g*) auf L2TP mit IPSec umstellen.
Intern in seinem LAN klappt alles, nur sollen sich die Mitarbeiter auch extern "einwählen" können.
Also ich hab jetzt den Port 1701 und 500 auf den Server geforwardet (das ist das was ich zu dem Thema gefunden habe), und trozdem geht die Einwahl von extern nicht.
Bei PPTP hat ja 1723 gereicht (GRE kann man ja beim LANCOM nicht einstellen).
L2TP Forwarding
Moderator: Lancom-Systems Moderatoren
L2TP Forwarding
1x 1724, 1x 1722 , 1x 1511, 3x L54g, 1x L54ag Firmware auf allen Geräten 7.22
Hi Konni
Und vor allem: Wo stehen Kunde und VPN-Server?
Wenn der VPN-Server hinter einem LANCOM steht, dann muß für die erste Variante im LANCOM Port 500 per Port-Forwarding an den VPN-Server weitergeleitet werden (die inverse Maskierung erkennt IPSec und leitet auch die ESP-Pakete weiter). In der Firewall muß dann noch der UDP Port 500 und das Protokoll 50 (ESP) erlaubt werden (LANconfig bietet dafür in der Firewall einen vordefinierten Wert: "Virtuelles Privates Netzwerk (VPN/IPSec)") . Für die Zweite Variante muß nur der Port 1701 weitergeleitet und in der Firewall erlaubt werden (auch dafür bietet LANconfig einen vordefinierten Wert: "Layer2-Tunnel (L2TP)").
Steht der Kunde hinter einem LANCOM, dann muß für die erste Variante in der Firewall der UDP-Port 500 und das Protokoll 50 (=ESP) erlaubt werden ("Virtuelles Privates Netzwerk (VPN/IPSec)") und für die zweite Variante halt der UDP-Port 1701 ("Layer2-Tunnel (L2TP)").
Gruß
Backslash
Was meinst du damit: L2TP over IPSec oder IPSec over L2TP?Ein Kunde von mir wollte jetzt sein PPTP VPN (auf meinen Rat hin, evtl. bereue ich das *g*) auf L2TP mit IPSec umstellen.
Und vor allem: Wo stehen Kunde und VPN-Server?
Wenn der VPN-Server hinter einem LANCOM steht, dann muß für die erste Variante im LANCOM Port 500 per Port-Forwarding an den VPN-Server weitergeleitet werden (die inverse Maskierung erkennt IPSec und leitet auch die ESP-Pakete weiter). In der Firewall muß dann noch der UDP Port 500 und das Protokoll 50 (ESP) erlaubt werden (LANconfig bietet dafür in der Firewall einen vordefinierten Wert: "Virtuelles Privates Netzwerk (VPN/IPSec)") . Für die Zweite Variante muß nur der Port 1701 weitergeleitet und in der Firewall erlaubt werden (auch dafür bietet LANconfig einen vordefinierten Wert: "Layer2-Tunnel (L2TP)").
Steht der Kunde hinter einem LANCOM, dann muß für die erste Variante in der Firewall der UDP-Port 500 und das Protokoll 50 (=ESP) erlaubt werden ("Virtuelles Privates Netzwerk (VPN/IPSec)") und für die zweite Variante halt der UDP-Port 1701 ("Layer2-Tunnel (L2TP)").
Gruß
Backslash
Also ich meine IPSec oder L2TP (das was MS bei Windows mitliefert).
Also der Server ist ein Win2003SBS mit Routing&RAS als einwahlserver, der Server steht hinter einem LANCOM 1521 oder 1511.
Am Router habe ich den Port 1701 an die IP des Server geforwardet, und ebenfalls den Port 500.
In der Firewall habe ich eine neue Regel erstellt:
Aktion: Übertragen
Quelle: Verbindungen von allen Stationen
Ziel: An folgende Station (und da die IP des VPN Servers)
Regel: L2TP
Einwählen will er sich vom Internet auf den Server mithilfe von WinXP.
Also der Server ist ein Win2003SBS mit Routing&RAS als einwahlserver, der Server steht hinter einem LANCOM 1521 oder 1511.
Am Router habe ich den Port 1701 an die IP des Server geforwardet, und ebenfalls den Port 500.
In der Firewall habe ich eine neue Regel erstellt:
Aktion: Übertragen
Quelle: Verbindungen von allen Stationen
Ziel: An folgende Station (und da die IP des VPN Servers)
Regel: L2TP
Einwählen will er sich vom Internet auf den Server mithilfe von WinXP.
1x 1724, 1x 1722 , 1x 1511, 3x L54g, 1x L54ag Firmware auf allen Geräten 7.22
Hi Konni,
soweit ich weiss, ist das, was MS mit "L2TP mit IPSec" meint, ist ein L2TP over IPSec, d.h. sie bauen erst eine IPSec-Verbindung im Transport-Mode auf, über die sie dann L2TP machen (damit darüber auch noch IPX möglich ist).
In der Firewall mußt du also den Port 500 und das Protokoll 50 (ESP) freigeben.
Für das Port-Forwarding mußt du nur den Port 500 an den internen Rechner weiterleiten, da die Maskierung das IPSec automatisch erkennt (IPSec-Passthrough)...
Und danach darfst du dich dann mit Microsofts IPSec-Stack herumärgern...
Gruß
Backslash
soweit ich weiss, ist das, was MS mit "L2TP mit IPSec" meint, ist ein L2TP over IPSec, d.h. sie bauen erst eine IPSec-Verbindung im Transport-Mode auf, über die sie dann L2TP machen (damit darüber auch noch IPX möglich ist).
In der Firewall mußt du also den Port 500 und das Protokoll 50 (ESP) freigeben.
Code: Alles auswählen
Aktion: Übertragen
Quelle: Verbindungen von allen Stationen
Ziel: An folgende Station (und da die IP des VPN Servers)
Dienste: Virtuelles Privates Netzwerk (VPN/IPSec) Und danach darfst du dich dann mit Microsofts IPSec-Stack herumärgern...
Gruß
Backslash