VPN per IKEv2 funktioniert nicht?

LukWindows

Cadet 2nd Year
Registriert
Apr. 2020
Beiträge
17
Guten Tag,

wir betreiben aktuell auf unserem Server eine VPN mittels PPTP was wir aber schleunigst ändern wollen, da es nicht sicher ist. Nun haben wir uns für eine VPN mit IKEv2 entschieden und ich habe soweit alles lt. diesem Tutorial (
) gemacht. Falls ihr hier vielleicht bessere Tutorials oder leichtere habt wäre ich euch sehr dankbar!
Nun aber zum Thema: Wenn ich versuche mich per IKEv2 zu verbinden kommt folgende Fehlermeldung:
Die Netzwerkverbindung ziwschen ihrem Computer und dem VPN Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte zwischen ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wenden Sie sich an den Admin oder den Dienstanbieter, um zu ermitteln, welches Gerät das Problem verursacht.

Da ich nun der Admin bin und nicht wirklich in der Materie VPN stecke habe ich keine Ahnung WO ich überhaupt mit der Suche anfangen soll und ob ich vielleicht beim Setup schon was falsch gemacht habe.
Könntet Ihr mir dabei helfen?
Vielen Dank im voraus!
 
Was genau wurde den schon alles durchgeführt?
Welche Netzwerkkomponenten verwendet ihr?
 
  • Gefällt mir
Reaktionen: LukWindows
Aus dem Bauch heraus, in der Server-Firewall die richtigen Ports freigegeben?
 
  • Gefällt mir
Reaktionen: LukWindows
@Coca_Cola
Wir haben einen Zentralen Server der mit einer Fritzbox verbunden ist. Ich persönlich greife über eine Telekom Box auf den Server zu. Wir haben weder Repeater noch irgendwas anderes.
Die VPN-VM ist mit dem AD Server verbunden und sonst wüsste ich nichts.

Edit:
@d2boxSteve
ich habe die Port 500 und 4500 freigegeben. Einmal auf der VM und auf dem Server auf dem die VM läuft.
 
Hört sich nach Firewallproblemen an. Für IKE muss UDP Port 500 am VPN-Server erreichbar sein, für die ausgehandelte IPSec Verbindung ESP und UDP Port 4500 (NAT-Traversal).
 
Wenn der "Remoteserver nicht antwortet", dann steht eventuell eine Firewall im Weg. Für IPSEC braucht es in der Regel UDP500+4500, respektive eine Freigabe für ESP, je nachdem, ob man NAT-Traversal fährt (ESP durch UDP4500 Tunneln) oder nicht.

Auf dem Zielsystem schon geschaut, ob beim Verbindungsaufbau Pakete ankommen? Schreibt das Zielsystem irgendwas ins Log? Kommt das Quellsystem mit seiner öffentlichen IP oder vielleicht versehentlich mit seiner lokalen IP an?
 
Zentralen Server der mit einer Fritzbox verbunden ist. Ich persönlich greife über eine Telekom Box
Wie hängt das denn zusammen? Kannst du ein Bild machen?

Wir haben weder Repeater noch irgendwas anderes.
Spielt für das VPN auch überhaupt keine Rolle.

Die VPN-VM ist mit dem AD Server verbunden
Was bedeutet verbunden?

ich habe die Port 500 und 4500 freigegeben. Einmal auf der VM und auf dem Server auf dem die VM
Das geht nicht. Du kannst Ports von außen immer nur einmal an einen Server weiterleiten.
Des weiteren ist es nur mit den UDP Ports nicht getan, für einen IPSec Tunnel musst du auch die IP Protokolle AH und ESP weiterleiten (oder zumindest eins von beiden welches du halt nutzt)
 
@KillerCow Wie kann man das tracken? Bin kompletter Novize! :/ Aber was ich sagen kann ist, dass es nach ca. 3 Sekunden rödeln sofort stoppt und mir den Text auswirft. Ich habe die Ports wie oben geschrieben auf der VM für die VPN und auf dem Server allgemein geöffnet.
Ergänzung ()

@Masamune2 Wie meinst du wie das zusammen hängt? Der Server ist halt per LAN an die Fritzbox gesteckt.
Der VPN Server holt sich (so wie ich das verstanden habe) die Anmeldedaten etc. von dem AD Server wo die Benutzer halt verwaltet werden.
 
Angeblich soll es ja technisch kompetente Firmen geben, die technisch weniger kompetente bei solchen Aufgaben unterstützen, wenn man sie mit Geld bedroht. Sollte es sich hier wirklich um ein kommerziell genutztes VPN handeln, würde ich dir diesen Weg dringend nahelegen.
 
  • Gefällt mir
Reaktionen: snaxilian und LukWindows
Masamune2 schrieb:
Des weiteren ist es nur mit den UDP Ports nicht getan,
Doch, wenn man mit NAT-T arbeitet. Genau dafür ist das unter anderem da. Dabei wird ESP in UDP Pakete verpakt und über Port 4500 verschickt.

LukWindows schrieb:
Wie kann man das tracken?
tcpdump ist sehr hilfreich, muss man sich aber erstmal ein bisschen mit auseinandersetzen. Wenn man das nicht kann oder will, dann gibt es, wie schon erwähnt wurde, Dienstleister, die einem die Arbeit abnehmen.
 
Wenn schon eine Fritzbox vorhanden ist warum nicht einfach deren VPN nutzen? Das ist als Anfänger wesentlich einfacher einzurichten.

Doch, wenn man mit NAT-T arbeitet. Genau dafür ist das unter anderem da. Dabei wird ESP in UDP Pakete verpakt und über Port 4500 verschickt.
Stimmt natürlich aber wär gar nicht nötig, die Fritzbox kann ESP weiterreichen.
 
Ohne dir zu Nahe treten zu wollen, aber wenn du dich selbst als "Novize" bezeichnest, würd ich echt aufpassen, was du da tust! Du sagst, du bist nur der Admin? Das ist doch auch Aufgabe eines Administrators. Das klingt irgendwie so, als wenn dir das alles aufs Auge gedrückt wurde...
 
  • Gefällt mir
Reaktionen: Acreus
Zurück
Oben