folgendes Szenario: eine LANCOM 7111 trennt unser Subnetz vom übergeordneten Netz. Dabei ist ein Teil unseres Subnetzes als DMZ eingerichtet, das interne Netz ist getrennt davon als privates Netz eingerichtet. Klappt so weit alles hervorragend.
Nun soll in dem Netzwerk ein Windows 2008-Server hinzugefügt werden, der als VPN-Server eingesetzt werden soll. Dazu hat dieser einen Anschluss im Intranet und einen in der DMZ. Konfiguration des Servers passt so weit: ein Client in der DMZ kann sich per L2TP/IPSec einwählen.
Nun soll in der Firewall eine Freigabe erfolgen, dass der Server auch von außerhalb der Firewall erreichbar ist. Dazu hatte ich Port 500 UDP und Protokoll 50 (ESP) in der Firewall freigegeben. Nur das funktioniert nicht
Die Port-500-Regel greift zwar lt. Lanmonitor, aber die Verbindung zwischen Client und Server kommt nicht zu stande:
Nachdem der Client in der DMZ funktioniert, muss es irgendwie im Netz liegen - und die Firewall ist da der erste Kandidat. Aber selbst wenn ich jegliche Verbindung zum VPN-Server zulasse, klappt es nicht. Irgendwie scheinen nicht alle Pakete sauber durch die Firewall zu gehen.789
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.
Hat mir jemand einen Tipp, woran das liegen könnte? Bei LANCOM selbst wird zwar über entsprechende Verbindungen geredet, aber immer nur in dem Szenario, wo ein Port aus dem internen Netz freigegeben wird. Und wieso sollte ich das machen, wenn ich eine DMZ habe?
Viele Grüße und Danke,
Philipp
