ComputerBase Menü
Aktuelles

Windows Server 2008 R2 - VPN Verbindung einrichten

W

WEO1A107

Cadet 2nd Year
Registriert
Sep. 2012
Beiträge
19
Hallo Leute,

ich bräuchte dringend eure Hilfe.
Leider bin ich überhaupt nicht bewandert, was Windows Server betrifft, aber ich habe versucht, mich ein bisschen einzuarbeiten.

Es geht konkret darum, dass ich eine VPN-Verbindung zwischen meinem Server und einem TMG (=Threat Management Gateway= Multifunktionale Firewall, die auch VPN kann) aufbauen möchte.
Dazu habe ich die WAN-IP des TMGs, eine interne IP des TMGs und einen Pre-Shared-Key zur Authentifizierung.
Als VPN-Protokolle sollen L2tp/IPSec verwendet werden.

Leider baut der Server die Verbindung partout nicht auf, ich bekomme immer den Fehler:
"Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschalgen , da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem RemoteComputer aufgetreten ist. "

Ich habe versucht die Verbindung einmal über den Einrichtungs-Assistenten im Netzwerk- und Freigabecenter und einmal über die Serverrolle "Routing und RAS" einzurichten, beides gibt mit denselben Fehler.

Ich hab mich dumm und dusselig gesucht, aber bisher nicht wirklich hilfreiches im Internet gefunden.
Hat vielleicht irgendjemand eine Idee, was falsch laufen könnte?

Grüße :)
 
Gibts evtl nen speziellen SW-Client für das TMG?
VPN und natives Windows is teilweise garnicht mal so das schöne Thema^^ (sry für den unproduktiven Beitrag)
 
Hey, danke für die Antwort!

Nein, es gibt leider keinen Client, ich müsste das irgendwie über die Windows-Internen Funktionen bewerkstelligen.

Ich habe mir in Wireshark einmal die Pakete angesehen.
Es kommt lediglich so weit, dass ein ISAKMP-Paket gesendet wird, das aber im IP-Teil eine falsche Checksumme aufweißt.
Ich vermute mal, dass die Verbindung deswegen nicht aufgebaut wird.

Ich verstehe nur nicht, wieso die Checksumme falsch ist.
Ich habe auf meiner Seite ein NAT und auch NAT-Traversal eingeschaltet.
Im ISAKMP-Paket wird das auch ersichtlich:
Type Payload: Vendor ID (13) : RFC 3947 Negotiation of NAT-Traversal in the IKE

Hat vllt noch jemand eine Idee?
 
Wird denn auf Seiten des TMGs auch genattet, dann sollte die WAN-IP angesprochen werden. Ich würde aber eher IPSEC nehmen statt L2TP, letzteres ist zu unsicher.
 
Hey :)

Es wird L2TP in Verbindung mit IPSec verwendet.
Zuerst als die IPSec-Verbindung und dann nochmal L2TP innerhalb dieser gesicherten Verbindung.

Es wird auf der Seite des TMGs zwar genattet, aber erst hinter dem TMG.
D.h. ich sollte mich eigentlich über die WAN-IP mit dem TMG verbinden können.

Ich bin echt ein bisschen am Ende meiner Ideen.

Was könnte denn sonst noch schief gelaufen sein?
 
Meinst du die Ereignisanzeige am TMG oder bei mir?
Da ich das TMG nicht administriere, habe ich darauf keinen Zugriff.
Ich habe zwar vorher mit dem Admin des TMGs gesprochen, aber dieser konnte mir nur sagen, dass eine Verbindung angefragt, aber vom TMG wieder verworfen wurde.
Warum, konnte er mir nicht sagen.


Bei mir auf dem Win2008 Server bekomme ich immer diese Meldung:
Fehler 789: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Bevor ich es vergesse: Es wird 3DES mit SHA-1 und Diffie-Helmann 2 benutzt, das haben wir schon abgeglichen und diese Fehlerquelle ausgeschlossen.
Ergänzung ()

Zum Thema falsche Checksumme:
--> wiki.wireshark.org/CaptureSetup/Offloading

War möglicherweise nur ein Fehler, der von Wireshark selbst generiert werden kann.

Phuuuuu...
 
M-X schrieb:
@USUOMA
toller beitrag! Er nutzt L2TP MIT IPsec...
Zum Vergrößern anklicken....
Ich meinte damit das er anstelle von einem L2TP-VPN lieber ein IPSec-VPN nutzen sollte.
 
Das geht leider nicht, TMG bietet nur L2TP/IPSec, PPTP oder SSTP an.
Vom TMG-Admin wurde mir deshlab L2TP/IPSec vorgegeben. :)
 
Steht dein Server hinter einem NAT-Router? Dann könnte man evtl. die Sache mit den Registry-Schlüsseln probieren, da L2TP mit IPSec so seine Probleme mit Natting hat.
http://support.microsoft.com/kb/926179
 
Danke für den Link :)

Die Registry-Schlüssel hatte ich schon zuvor angepasst, leider hat das bei mir den Fehler nicht gelöst.
 
Kannst du vielleicht via Wireshark den Verbindungsaufbau hier mal posten, also soweit er kommt. Bitte die Pakete dabei bis zum IP-Header ausklappen.
EDIT: Am besten noch den ESP Header von IPSec. Hatte ich vergessen.
 
Zuletzt bearbeitet:
USUOMA schrieb:
Kannst du vielleicht via Wireshark den Verbindungsaufbau hier mal posten, also soweit er kommt. Bitte die Pakete dabei bis zum IP-Header ausklappen.
EDIT: Am besten noch den ESP Header von IPSec. Hatte ich vergessen.
Zum Vergrößern anklicken....

Bitteschön (leider zerhaut mir das Forum hier die Formatierung, hoffe man kanns trotzdem lesen):

No. Time Source Destination Protocol Length Info
5413 59.641978000 10.10.x.y 94.100.x.y ISAKMP 426 Identity Protection (Main Mode)

Internet Protocol Version 4, Src: 10.10.x.y (10.10.x.y), Dst: 94.100.x.y (94.100.x.y)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 412
Identification: 0x26ab (9899)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0xad59 [correct]
[Good: True]
[Bad: False]
Source: 10.10.x.y
Destination: 94.100.x.y
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Source port: isakmp (500)
Destination port: isakmp (500)
Length: 392
Checksum: 0x8a71 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Internet Security Association and Key Management Protocol
Initiator cookie: c82ab0c9423ff333
Responder cookie: 0000000000000000
Next payload: Security Association (1)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
.... ...0 = Encryption: Not encrypted
.... ..0. = Commit: No commit
.... .0.. = Authentication: No authentication
Message ID: 0x00000000
Length: 384
Type Payload: Security Association (1)
Next payload: Vendor ID (13)
Payload length: 212
Domain of interpretation: IPSEC (1)
Situation: 00000001
.... .... .... .... .... .... .... ...1 = Identity Only: True
.... .... .... .... .... .... .... ..0. = Secrecy: False
.... .... .... .... .... .... .... .0.. = Integrity: False
Type Payload: Proposal (2) # 1
Next payload: NONE / No Next Payload (0)
Payload length: 200
Proposal number: 1
Protocol ID: ISAKMP (1)
SPI Size: 0
Proposal transforms: 5
Type Payload: Transform (3) # 1
Next payload: Transform (3)
Payload length: 40
Transform number: 1
Transform ID: KEY_IKE (1)
Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Encryption-Algorithm (1)
Value: 0007
Encryption Algorithm: AES-CBC (7)
Transform IKE Attribute Type (t=14,l=2) Key-Length : 256
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Key-Length (14)
Value: 0100
Key Length: 256
Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Hash-Algorithm (2)
Value: 0002
HASH Algorithm: SHA (2)
Transform IKE Attribute Type (t=4,l=2) Group-Description : 384-bit random ECP group
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Group-Description (4)
Value: 0014
Group Description: 384-bit random ECP group (20)
Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Authentication-Method (3)
Value: 0001
Authentication Method: PSK (1)
Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Life-Type (11)
Value: 0001
Life Type: Seconds (1)
Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
0... .... .... .... = Transform IKE Format: Type/Length/Value (TLV)
Transform IKE Attribute Type: Life-Duration (12)
Length: 4
Value: 00007080
Life Duration: 28800
Type Payload: Transform (3) # 2
Next payload: Transform (3)
Payload length: 40
Transform number: 2
Transform ID: KEY_IKE (1)
Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Encryption-Algorithm (1)
Value: 0007
Encryption Algorithm: AES-CBC (7)
Transform IKE Attribute Type (t=14,l=2) Key-Length : 128
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Key-Length (14)
Value: 0080
Key Length: 128
Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Hash-Algorithm (2)
Value: 0002
HASH Algorithm: SHA (2)
Transform IKE Attribute Type (t=4,l=2) Group-Description : 256-bit random ECP group
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Group-Description (4)
Value: 0013
Group Description: 256-bit random ECP group (19)
Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Authentication-Method (3)
Value: 0001
Authentication Method: PSK (1)
Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Life-Type (11)
Value: 0001
Life Type: Seconds (1)
Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
0... .... .... .... = Transform IKE Format: Type/Length/Value (TLV)
Transform IKE Attribute Type: Life-Duration (12)
Length: 4
Value: 00007080
Life Duration: 28800
Type Payload: Transform (3) # 3
Next payload: Transform (3)
Payload length: 40
Transform number: 3
Transform ID: KEY_IKE (1)
Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Encryption-Algorithm (1)
Value: 0007
Encryption Algorithm: AES-CBC (7)
Transform IKE Attribute Type (t=14,l=2) Key-Length : 256
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Key-Length (14)
Value: 0100
Key Length: 256
Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Hash-Algorithm (2)
Value: 0002
HASH Algorithm: SHA (2)
Transform IKE Attribute Type (t=4,l=2) Group-Description : 2048 bit MODP group
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Group-Description (4)
Value: 000e
Group Description: 2048 bit MODP group (14)
Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Authentication-Method (3)
Value: 0001
Authentication Method: PSK (1)
Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Life-Type (11)
Value: 0001
Life Type: Seconds (1)
Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
0... .... .... .... = Transform IKE Format: Type/Length/Value (TLV)
Transform IKE Attribute Type: Life-Duration (12)
Length: 4
Value: 00007080
Life Duration: 28800
Type Payload: Transform (3) # 4
Next payload: Transform (3)
Payload length: 36
Transform number: 4
Transform ID: KEY_IKE (1)
Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : 3DES-CBC
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Encryption-Algorithm (1)
Value: 0005
Encryption Algorithm: 3DES-CBC (5)
Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Hash-Algorithm (2)
Value: 0002
HASH Algorithm: SHA (2)
Transform IKE Attribute Type (t=4,l=2) Group-Description : 2048 bit MODP group
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Group-Description (4)
Value: 000e
Group Description: 2048 bit MODP group (14)
Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Authentication-Method (3)
Value: 0001
Authentication Method: PSK (1)
Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Life-Type (11)
Value: 0001
Life Type: Seconds (1)
Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
0... .... .... .... = Transform IKE Format: Type/Length/Value (TLV)
Transform IKE Attribute Type: Life-Duration (12)
Length: 4
Value: 00007080
Life Duration: 28800
Type Payload: Transform (3) # 5
Next payload: NONE / No Next Payload (0)
Payload length: 36
Transform number: 5
Transform ID: KEY_IKE (1)
Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : 3DES-CBC
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Encryption-Algorithm (1)
Value: 0005
Encryption Algorithm: 3DES-CBC (5)
Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Hash-Algorithm (2)
Value: 0002
HASH Algorithm: SHA (2)
Transform IKE Attribute Type (t=4,l=2) Group-Description : Alternate 1024-bit MODP group
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Group-Description (4)
Value: 0002
Group Description: Alternate 1024-bit MODP group (2)
Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Authentication-Method (3)
Value: 0001
Authentication Method: PSK (1)
Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
1... .... .... .... = Transform IKE Format: Type/Value (TV)
Transform IKE Attribute Type: Life-Type (11)
Value: 0001
Life Type: Seconds (1)
Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
0... .... .... .... = Transform IKE Format: Type/Length/Value (TLV)
Transform IKE Attribute Type: Life-Duration (12)
Length: 4
Value: 00007080
Life Duration: 28800
Type Payload: Vendor ID (13) : MS NT5 ISAKMPOAKLEY
Next payload: Vendor ID (13)
Payload length: 24
Vendor ID: 1e2b516905991c7d7c96fcbfb587e46100000008
Vendor ID: MS NT5 ISAKMPOAKLEY
MS NT5 ISAKMPOAKLEY: Unknown (8)
Type Payload: Vendor ID (13) : RFC 3947 Negotiation of NAT-Traversal in the IKE
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: 4a131c81070358455c5728f20e95452f
Vendor ID: RFC 3947 Negotiation of NAT-Traversal in the IKE
Type Payload: Vendor ID (13) : draft-ietf-ipsec-nat-t-ike-02\n
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: 90cb80913ebb696e086381b5ec427b1f
Vendor ID: draft-ietf-ipsec-nat-t-ike-02\n
Type Payload: Vendor ID (13) : Microsoft L2TP/IPSec VPN Client
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: 4048b7d56ebce88525e7de7f00d6c2d3
Vendor ID: Microsoft L2TP/IPSec VPN Client
Type Payload: Vendor ID (13) : Unknown Vendor ID
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: fb1de3cdf341b7ea16b7e5be0855f120
Vendor ID: Unknown Vendor ID
Type Payload: Vendor ID (13) : Microsoft Vid-Initial-Contact
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: 26244d38eddb61b3172a36e3d0cfb819
Vendor ID: Microsoft Vid-Initial-Contact
Type Payload: Vendor ID (13) : Unknown Vendor ID
Next payload: NONE / No Next Payload (0)
Payload length: 20
Vendor ID: e3a5966a76379fe707228231e5ce8652
Vendor ID: Unknown Vendor ID
Zum Vergrößern anklicken....
Ergänzung ()

USUOMA schrieb:
Kannst du vielleicht via Wireshark den Verbindungsaufbau hier mal posten, also soweit er kommt. Bitte die Pakete dabei bis zum IP-Header ausklappen.
EDIT: Am besten noch den ESP Header von IPSec. Hatte ich vergessen.
Zum Vergrößern anklicken....

Bis zu ESP kommt es leider gar nicht :(
 
Kannst du die darunter liegenden Header auch mit posten. So wie es aussieht bekommst du keine Antwort von der Gegenstelle oder?
Edit: Vielleicht übersichtshalber erstmal ohne Aufklappen die Header des Pakets oder der Pakete posten.
 
Yapp, die Antwort fehlt.

Das hier ist der restliche Teil (Bytestrom + Ehternet):
Frame 54693: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Interface id: 0
WTAP_ENCAP: 1
Arrival Time: Dec 18, 2012 14:19:41.198745000 Mitteleuropäische Zeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1355836781.198745000 seconds
[Time delta from previous captured frame: 0.314901000 seconds]
[Time delta from previous displayed frame: 4.999717000 seconds]
[Time since reference or first frame: 1643.683909000 seconds]
Frame Number: 54693
Frame Length: 426 bytes (3408 bits)
Capture Length: 426 bytes (3408 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:isakmp]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: FujitsuT_xy (xx:xx:xx:xx), Dst: Draytek_xy (yy:yy:yy:yy)
Destination: Draytek_xy
Address: Draytek_xy
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: FujitsuT_xy
Address: FujitsuT_xy
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: IP (0x0800)
Zum Vergrößern anklicken....
Ergänzung ()

Übersichtlicher:

Code: 
No.     Time           Source                Destination           Protocol Length Info
  54693 1643.683909000 10.10.x.y          94.100.x.y     ISAKMP   426    Identity Protection (Main Mode)

Frame 54693: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Ethernet II, Src: FujitsuT_xy, Dst: Draytek_xy
Internet Protocol Version 4, Src: 10.10.x.y (10.10.x.y), Dst: 94.100.x.y (94.100.x.y)
    Version: 4
    Header length: 20 bytes
    Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
    Total Length: 412
    Identification: 0x1340 (4928)
    Flags: 0x00
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0xc0c4 [correct]
        [Good: True]
        [Bad: False]
    Source: 10.10.x.y
    Destination: 94.x.y
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
    Source port: isakmp (500)
    Destination port: isakmp (500)
    Length: 392
    Checksum: 0xa3c4 [validation disabled]
Internet Security Association and Key Management Protocol
    Initiator cookie: 84550e33a5fc5c8f
    Responder cookie: 0000000000000000
    Next payload: Security Association (1)
    Version: 1.0
    Exchange type: Identity Protection (Main Mode) (2)
    Flags: 0x00
    Message ID: 0x00000000
    Length: 384
    Type Payload: Security Association (1)
        Next payload: Vendor ID (13)
        Payload length: 212
        Domain of interpretation: IPSEC (1)
        Situation: 00000001
        Type Payload: Proposal (2) # 1
            Next payload: NONE / No Next Payload  (0)
            Payload length: 200
            Proposal number: 1
            Protocol ID: ISAKMP (1)
            SPI Size: 0
            Proposal transforms: 5
            Type Payload: Transform (3) # 1
                Next payload: Transform (3)
                Payload length: 40
                Transform number: 1
                Transform ID: KEY_IKE (1)
                Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
                Transform IKE Attribute Type (t=14,l=2) Key-Length : 256
                Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
                Transform IKE Attribute Type (t=4,l=2) Group-Description : 384-bit random ECP group
                Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
                Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
                Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
            Type Payload: Transform (3) # 2
                Next payload: Transform (3)
                Payload length: 40
                Transform number: 2
                Transform ID: KEY_IKE (1)
                Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
                Transform IKE Attribute Type (t=14,l=2) Key-Length : 128
                Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
                Transform IKE Attribute Type (t=4,l=2) Group-Description : 256-bit random ECP group
                Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
                Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
                Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
            Type Payload: Transform (3) # 3
                Next payload: Transform (3)
                Payload length: 40
                Transform number: 3
                Transform ID: KEY_IKE (1)
                Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : AES-CBC
                Transform IKE Attribute Type (t=14,l=2) Key-Length : 256
                Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
                Transform IKE Attribute Type (t=4,l=2) Group-Description : 2048 bit MODP group
                Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
                Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
                Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
            Type Payload: Transform (3) # 4
                Next payload: Transform (3)
                Payload length: 36
                Transform number: 4
                Transform ID: KEY_IKE (1)
                Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : 3DES-CBC
                Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
                Transform IKE Attribute Type (t=4,l=2) Group-Description : 2048 bit MODP group
                Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
                Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
                Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
            Type Payload: Transform (3) # 5
                Next payload: NONE / No Next Payload  (0)
                Payload length: 36
                Transform number: 5
                Transform ID: KEY_IKE (1)
                Transform IKE Attribute Type (t=1,l=2) Encryption-Algorithm : 3DES-CBC
                Transform IKE Attribute Type (t=2,l=2) Hash-Algorithm : SHA
                Transform IKE Attribute Type (t=4,l=2) Group-Description : Alternate 1024-bit MODP group
                Transform IKE Attribute Type (t=3,l=2) Authentication-Method : PSK
                Transform IKE Attribute Type (t=11,l=2) Life-Type : Seconds
                Transform IKE Attribute Type (t=12,l=4) Life-Duration : 28800
    Type Payload: Vendor ID (13) : MS NT5 ISAKMPOAKLEY
        Next payload: Vendor ID (13)
        Payload length: 24
        Vendor ID: 1e2b516905991c7d7c96fcbfb587e46100000008
        Vendor ID: MS NT5 ISAKMPOAKLEY
        MS NT5 ISAKMPOAKLEY: Unknown (8)
    Type Payload: Vendor ID (13) : RFC 3947 Negotiation of NAT-Traversal in the IKE
        Next payload: Vendor ID (13)
        Payload length: 20
        Vendor ID: 4a131c81070358455c5728f20e95452f
        Vendor ID: RFC 3947 Negotiation of NAT-Traversal in the IKE
    Type Payload: Vendor ID (13) : draft-ietf-ipsec-nat-t-ike-02\n
        Next payload: Vendor ID (13)
        Payload length: 20
        Vendor ID: 90cb80913ebb696e086381b5ec427b1f
        Vendor ID: draft-ietf-ipsec-nat-t-ike-02\n
    Type Payload: Vendor ID (13) : Microsoft L2TP/IPSec VPN Client
        Next payload: Vendor ID (13)
        Payload length: 20
        Vendor ID: 4048b7d56ebce88525e7de7f00d6c2d3
        Vendor ID: Microsoft L2TP/IPSec VPN Client
    Type Payload: Vendor ID (13) : Unknown Vendor ID
        Next payload: Vendor ID (13)
        Payload length: 20
        Vendor ID: fb1de3cdf341b7ea16b7e5be0855f120
        Vendor ID: Unknown Vendor ID
    Type Payload: Vendor ID (13) : Microsoft Vid-Initial-Contact
        Next payload: Vendor ID (13)
        Payload length: 20
        Vendor ID: 26244d38eddb61b3172a36e3d0cfb819
        Vendor ID: Microsoft Vid-Initial-Contact
    Type Payload: Vendor ID (13) : Unknown Vendor ID
        Next payload: NONE / No Next Payload  (0)
        Payload length: 20
        Vendor ID: e3a5966a76379fe707228231e5ce8652
        Vendor ID: Unknown Vendor ID
 
Also wenn du keine Antwort auf das erste Paket vom Main Mode bekommst, wird es wohl beim Empfänger verworfen. Ist es möglich beim Admin vom TMG nachzufragen, ob und warum das Paket dort verworfen wird?
Edit: Der TMG muss auch NAT Traversal unterstützen.
 
Zuletzt bearbeitet: (Nachtrag)
USUOMA schrieb:
Also wenn du keine Antwort auf das erste Paket vom Main Mode bekommst, wird es wohl beim Empfänger verworfen. Ist es möglich beim Admin vom TMG nachzufragen, ob und warum das Paket dort verworfen wird?
Edit: Der TMG muss auch NAT Traversal unterstützen.
Zum Vergrößern anklicken....

Ich habe schon nachgefragt :)
Es wird verworfen, aber der Mensch kann mir leider nicht sagen, warum.

Deinem Tipp, dass TMG auch NAT-Traversal unterstützen muss, werde ich mal nachgehen.
Allerdings haben wir auch schon versucht, uns mit unserem eigenen Router (also nicht dem Server, sondern wirklich dem Router mit statischer WAN-IP) zum TMG zu verbinden. D.h. da dürfte dann kein NAT mehr dazwischen sein und auch das ging leider nicht.

So langsam verliere ich immer mehr die Hoffnung, dass das noch was wird.
Dabei kanns ja nicht so schwer sein..
 
Also das der Admin dir nicht den Grund für das Verwerfen sagen kann ist leider etwas suboptimal, um es mal höflich auszudrücken. Das auch die Verbindung von dem Router, also von WAN-IP zu WAN-IP nicht funktioniert, ist schon recht merkwürdig. So langsam beschleicht mich das Gefühl das auf Seiten TMG etwas querläuft, egal bei welchem Szenario.
Wenn das mit dem NAT-Traversal von beiden Seiten unterstützt wird und trotzdem das Paket verworfen wird, dann fällt mir ohne nähere Infos von dem TMG Admin nicht mehr ein, woran es liegen kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
VPN-Verbindung zum Arbeitsplatz kann nicht hergestellt werden
2
Antworten
25
Aufrufe
2.961
NichtExpert
N
conf_t
Fritzbox IPSec VPN mit Wireguard ablösen, Anleitungen funktionieren nicht
2
Antworten
25
Aufrufe
1.652
conf_t
conf_t
N
Fritzbox VPN und Gateway aus anderem Netz
Antworten
11
Aufrufe
3.902
ny_unity
N
G
VPN Netzwerk mit eigenem externem Server und mehreren Endpunkten
Antworten
4
Aufrufe
1.024
riversource
R
M
DNS/Kerberos Fehler am Windows Server
Antworten
5
Aufrufe
472
Michi777
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz