L2TP VPN (RSA) Fehler

[Ghost_Rider_R]

Hallo zusammen,

ich habe einen VPN Server auf Windows Server 2019 Basis installiert und bekomme beim Verbindungsaufbau diese Fehlermeldung:

Kann mir hier jemand einen Tipp geben, woran es liegen könnte?
Tante Google kennt den Fehler noch nicht so gut.

Vielen Dank für eure Hilfe.

LG Ghost

 

[madmax2010]

wie sieht dein routing aus? an welchen stellen machst du NAT?
wo geht die Route lang?
gibt es logs?

 

[Blackspeed]

1. Über ncpa.cpl kannst du ggf. die VPN-Verbindung noch besser einstellen, als über diese neue GUI
2. Um VPN mit L2TP von außen mit einem Router zwischen VPN-Server und dem Internet zu verwenden, müssen manche Sachen in der Firewall auf dem Router freigeschaltet werden. Leider geht das nicht immer bei den Komplettsystemen. Bei meinem Linux-Router mache ich folgendes in den IP-Tables:

#!/bin/bash

#Variables
IPT=/usr/sbin/iptables
IPT6=/usr/sbin/ip6tables

#2.0 NAT
#2.1 VPN access
$IPT -t nat -A PREROUTING -p 50 -j DNAT --to 172.16.0.5                                                #L2TP
$IPT -t nat -A PREROUTING -p 51 -j DNAT --to 172.16.0.5                                                #L2TP
$IPT -t nat -A PREROUTING -p tcp --dport 1701 -i ppp0 -j DNAT --to 172.16.0.5                                    #L2TP
$IPT -t nat -A PREROUTING -p udp --dport 1701 -i ppp0 -j DNAT --to 172.16.0.5                                    #L2TP
$IPT -t nat -A PREROUTING -p udp --dport 4500 -i ppp0 -j DNAT --to 172.16.0.5                                    #L2TP
$IPT -t nat -A PREROUTING -p udp --dport 500 -i ppp0 -j DNAT --to 172.16.0.5                                    #L2TP

#3.1 VPN access
$IPT -A FORWARD -p 50 -j ACCEPT                                                            #L2TP
$IPT -A FORWARD -p 51 -j ACCEPT                                                            #L2TP
$IPT -A FORWARD -p udp --dport 1701 -d 172.16.0.5 -j ACCEPT                                            #L2TP
$IPT -A FORWARD -p udp --dport 4500 -d 172.16.0.5 -j ACCEPT                                            #L2TP
$IPT -A FORWARD -p udp --dport 500 -d 172.16.0.5 -j ACCEPT                                            #L2TP
$IPT -A FORWARD -p udp --sport 1701 -j ACCEPT                                                    #L2TP

Ist etwas generisch gehalten, weil du auch nicht viele Details zu dem eigentlichen Problem und dem Umfeld geschrieben hast. Es müssen also UDP 1701, 4500, 500 freigeschaltet werden. Und die IP-Protokolle 50 und 51 müssen an den VPN Server weiter "genattet" werden.

 

[Ghost_Rider_R]

Hallo zusammen,

ohne die Tipps bisher getestet zu haben (kommt noch), erstmal noch ein paar weitere Infos zu meiner Vorgehensweise:

Zugriff für User in AD gewährt:

Das interne Netz läuft unter 192.168.28.0/22.
Der VPN-Server hat die 192.168.0.110.
Der Client hat via DHCP die 192.168.30.x zugewiesen bekommen (ist also im selben Netz wie der VPN-Server).

In Firewall das Netz 192.168.28.0 /22 und 192.168.26.0/24 freigegeben (zu Testzwecken wurde diese auch schon komplett deaktiviert).

Vorgehensweise Installation VPN:
Rolle Remotezugriff unter Windows Server 2019 Datacenter hinzugefügt:

Bei der Installation wurde dann Individuell ausgewählt und nur VPN ausgewählt.

Dann Routing und RAS geöffnet zur initialen Einrichtung:
Preshared-Key eingetragen:

IP-Adresszuweisung gesetzt:

Der Rest ist noch auf den Standardwerten.

Auf dem Client wurde folgendes gesetzt:

Die PSKs stimmen natürlich überein, wurden wegen den Screenshots aber geändert.

Der Zugriff erfolgt also zu Testzwecken erstmal aus dem selben Netz und direkt auf den VPN-Server (was zwar erstmal Sinnlos ist, aber es geht hier nur um den Test).

Leider meldet er immer diesen Fehler:

Hab ich etwas wichtiges übersehen?

Vielen Dank und LG
Ghost Rider

 

[Blackspeed]

Passen die Authentifizierungsmethoden? Und, sind die L2TP-Ports vorhanden?
Vielleicht siehst du etwas im Ereignisprotokoll des VPN-Servers?

 

[Ghost_Rider_R]

Die Einstellungen sind bei mir wie folgt gesetzt:

IKEv2 ist nicht gesetzt, wir wollen aber auch nur L2TP / IPSec aktivieren.
BTW. Kann man alles andere deaktivieren, wenn ja wie?

Bei den Ports hab ich gefühlt 500 Einträge in der Liste, warum ist mir nicht klar. Kann man die irgendwie entfernen?

Im Log konnte ich keine Fehler o.Ä. feststellen

 

[Blackspeed]

Siehe meine Screenshots. Wenn du die Eigenschaften von "Ports" links im Baum aufmachst, kannst du die Menge an Ports einstellen. Dort sind unnötig viele voreingestellt. Diese kannst du reduzieren. Achte auch darauf, dass eingehend RAS-Verbindungen zugelassen sind, bei dem L2TP-Port (siehe Bild).

 

[Ghost_Rider_R]

Die Ports habe ich wie folgt reduziert, passt das so?

Heißt das ich kann hier nun nur 5 parallele VPN Verbindung aufbauen, da ich 5 Ports habe? ist der 6. Port dann für den VPN-Dienst selbst? alles andere habe ich deaktiviert.

Der Fehler aus dem Ausgangspost besteht aber weiterhin. Kann das damit zusammen hängen, dass ich der VM nur eine Netzwerkschnittstelle zugewiesen habe?

Ergänzung (4. Mai 2022)

wie sieht dein routing aus? an welchen stellen machst du NAT?
wo geht die Route lang?
gibt es logs?

Das Setting ist wie folgt:
Wir haben einen normalen Router (FritzBox), welche direkt an unserem Netz hängt. Und in diesem Netz ist unser VPN Server und auch der Client, mit dem ich die Verbindung zum VPN-Server teste. Dazu möchte ich mich direkt auf den VPN Server verbinden um zu schauen, ob eine Verbindung zustande kommt.

Ein Routing müsste für den Verbindungsaufbau ja erstmal noch nicht notwendig sein, da alle im selben Netz sind. Später wird das dann natürlich umgestellt aber bei mir klemmt es ja direkt schon bei der direkten Verbindungsanfrage.

 

[Blackspeed]

Ist unter IPv4 das Interface "Intern" drinnen?
Dass es nur ein Interface im Server gibt, macht nichts. In meinem (mittlerweile 2022 als Core) Server habe ich auch nur eine Schnittstelle drinnen, die in meinem ganz gewöhnlichen Heimnetz angeschlossen ist. Ich habe allerdings kein separates VPN-Netz oder Adressbereich eingestellt.
Ansonsten ist meine Konfiguration ähnlich. Vielleicht wäre es mal einen Versuch wert, auf DHCP zu stellen, oder aus dem gleichen Netz des VPN-Servers die Adressen für die VPN-Clients Adressvergabe auszuwählen.

Komisch, bei mir ging es intern eigentlich immer sofort, ohne viel einzustellen.
Vielleicht fehlt noch eine "Grundfunktion"? >

 

[Ghost_Rider_R]

Ich habe in einem englischen Forum etwas über diesen Fehler gelesen im Zusammenhang mit deaktiviertem IPv6 und genau das haben wir auch, ich glaube da muss ich eben mal forschen...

Ergänzung (4. Mai 2022)

Also jetzt läuft es. Es lag am deaktivierten IPv6 Protokoll, auch wenn nur IPv4 genutzt wird.
Vielen Dank für eure Hilfe!