L2TP/IPSEC Einwahl -Problem Portforwarding

jonathan · Beitrag von **jonathan** » 06 Sep 2012, 16:27

Hallo zusammen,
ich habe ein Problem mit unserem Lancomrouter- Wir verwenden einen 1681V.

Ich habe eine L2TP/IPSEC VPN Server auf unserem 2008r2 eingerichtet und dort eine öffentliche IP hinterlegt.
In der Firewall habe ich UDP500,UDP4500 und Protokoll 50 (ESP) für die Verbindung freigeben.
Via Handy und Windows VPN Client funktioniert es -> nun wollte ich aber keine extra IP nutzen sondern die öffentliche IP des Routers.

-Portforwarding eingerichtet:UDP500,UDP4500 auf die interne Serveradresse umgeleitet
-Firewallregel die WAN RouterIP ergänzt.

Mit dem Iphone 4 kann ich mich mit L2tp anmelden, der Windowsserver sagt den Fehler Nr. 789. Über die andere öffentliche IP geht es komischerweise immer noch.

Laut Lancom wird beim Forwarding UDP500 automatisch das Protokoll 50 weitergereicht - Kann mir jemand einen Tipp geben wo der Fehler liegt ?

Danke

Habe die Frage auch hier gestellt: http://www.mcseboard.de/windows-forum-s ... ost1165113

garfield0815 · Beitrag von **garfield0815** » 07 Sep 2012, 08:56

Hatt der 1681v kein VPN ????

Wahre doch sinvoller ihn gleich als VPN Server zu nutzen oder aus welchen Grund soll das n 2003 Server machen

Wenn es der server macht kommt jeder von extern auf den Server
bzw über das port forwarding ins Netz

jonathan · Beitrag von **jonathan** » 07 Sep 2012, 09:17

Hi,
die Authentifizierung erfolgt per Windowsuser und L2TP/IPSec ist kompatibel mit Iphone,Linux,OSX und Windows Boardmitteln.
Dazu kommt dass ich den AD Zugriff via AD steuern kann.

Ich möchte ungern einen 2. Nutzer oder Clienttool für die Mitarbeiter, außerdem funktioniert L2TP/IPSec über den Server wunderbar (habe einen öffentlichen IPPool) - lediglich direkt via Portforwarding will es nicht.

Außerdem - Wieso sollte es unsicher sein - Ins Netz kommt da so schnell keiner => Er authentifiziert sich zwar an einer Netzkomponente und hat hier über die Portszugriff -Das wars doch aber auch.

Dr.Einstein · Beitrag von **Dr.Einstein** » 07 Sep 2012, 09:41

Hallo jonathan,

L2TP über IPSec beinhaltet doch

- 500 + 4500 UDP für IPSec
- Protokoll 50 ESP für IPSec
- 1701 UDP (glaube auch TCP) für L2TP

1701 fehlt irgendwie in deiner Auflistung

Gruß Dr.Einstein

jonathan · Beitrag von **jonathan** » 07 Sep 2012, 09:50

Hi,
ich Trage den 1701 UDP/TCP nochmal in die Firewall und ins Forwarding ein.
Hatte ich aber meiner Meinung nach schon getestet.
Forwarding ESP sollte an dem UDP Port 500 hängen und dadurch weitergeleitet werden.

Was mich wundert, ich habe den Port in der Firewallregel auch nicht freigegeben und der Zugriff ging über die separate öffentliche IP ohne Probleme.

Grüße

PS: Edit: Läuft der 1701 nicht im 500er IKE gekapselt?

PPS: Hat leider nicht funktioniert

garfield0815 · Beitrag von **garfield0815** » 08 Sep 2012, 15:23

der lancom ist auch kompatibel mit iphone

und für windows gibts freeware vpn clients die einwandfrei funktioniren

und ob er nu auf microsoft -> verbinden
oder andere software -> verbinden drückt

jonathan · Beitrag von **jonathan** » 13 Sep 2012, 14:19

also so manchmal!
Da sind erheblich Unterschiede

-benötige 3. Software am Client
-benötige 2. Zugangsdaten am Client
-Mehr Aufwand für die Pflege.

Für einen oder zwei Benutzer mag das ok sein, aber doch nicht für 15+.

Übrigens habe ich das Ganze verworfen - PPTP wird über ein Zertifikat abgesichert und anstelle von L2TP/IPSEC eingesetzt. Damit ist die MSCHAP Schwachstelle auch uninteressant.
Nachteil nicht kompatibel zu Iphone/Android - da benötgen wir kein VPN^^

Grüße Jonathan