Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN mit Win2k3 Server oder Astaro als Endpunkt

Hallo zusammen,

ich habe das zwar schon mal im englischen Forum gefragt, aber da wußte wohl niemand viel mit meinem Problem anzufangen ;-)
Also...

Ich hab zwei LANs, die übers Internet über einen Tunnel verbunden sind (waren). Eine hat einen Draytek Vigor 2200e (http://www.2-com.de/de/draytel-vigor2200e-dsl-broadband-vpn-router.html) und der andere hatte einen Win2k3 Server als Router. Der Vigor hat eine L2TP Verbindung aufgebaut und das ganze Konstrukt hat einigermaßen funktionert.

So, der 2003 Server wurde durch Astaro in einer virtuellen Maschine ersetzt. Das System selbst funktioniert auch gut. Das einzige, was (neben VPN) nicht vernünftig geht, ist, daß die Systemzeit vollkommen daneben liegt, die geht nämlich massiv vor. Nach einigen Minuten geht sie eben ein paar Minuten vor, was sich recht schnell zu mehreren Tagen Vorsprung entwickelt. Aber nur soviel dazu.

Jedenfalls kann die VPN Verbindung jetzt nicht mehr aufgebaut werden.

Ich hab jetzt schon einige verschiedene Konfigurationen ausprobiert, alle mit Preshared Key:

1) Vigor Konfiguration unverändert und Astaro als L2TP over IPsec Endpunkt. Die Logdateien offenbaren Folgendes:
2008:01:21-00:01:08 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5158: responding to Main Mode from unknown peer DraytekIPaddress
2008:01:21-00:01:08 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5158: Oakley Transform [OAKLEY_DES_CBC (64), OAKLEY_MD5, OAKLEY_GROUP_MODP768] refused due to insecure key_len and enc. alg. not listed in "ike" string
2008:01:21-00:01:08 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5158: Oakley Transform [OAKLEY_DES_CBC (64), OAKLEY_SHA, OAKLEY_GROUP_MODP768] refused due to insecure key_len and enc. alg. not listed in "ike" string
2008:01:21-00:01:11 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5158: Peer ID is ID_IPV4_ADDR: 'DraytekIPaddress'
2008:01:21-00:01:11 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5158: sent MR3, ISAKMP SA established
2008:01:21-00:01:11 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5159: responding to Quick Mode
2008:01:21-00:01:11 (none) pluto[17206]: "D_REF_ouxmeLHxIM_0"[1] DraytekIPaddress #5159: IPsec SA established {ESP=>0x3e1fdea8  - '
2008:01:21-00:01:21 (none) l2tpd[27567]: init: Unable to load config file


2) Vigor auf normales IPsec gesetzt und Astaro als Endpunkt
2008:01:21-08:37:54 (none) pluto[8510]: "D_REF_ouxmeLHxIM_0"[1] DraytekIP #649: Peer ID is ID_IPV4_ADDR: 'DraytekIP'
2008:01:21-08:37:54 (none) pluto[8510]: "D_REF_ouxmeLHxIM_0"[1] DraytekIP #649: sent MR3, ISAKMP SA established
2008:01:21-08:37:54 (none) pluto[8510]: "D_REF_ouxmeLHxIM_0"[1] DraytekIP #650: responding to Quick Mode
2008:01:21-08:37:54 (none) pluto[8510]: "D_REF_ouxmeLHxIM_0"[1] DraytekIP #650: IPsec SA established {ESP=>0x3e1fe189 0x3e1fe18a  - '
2008:01:21-08:38:21 (none) l2tpd[16648]: init: Unable to load config file


3) So, nachdem das alles nicht funktioniert hat, dachte ich, ich leite mal alle eingehenden VPN Verbindungen per NAT zu einem Win2k3 Server um (nicht der eingangs erwähnte), der hinter Astaro im LAN steht.
Aber der Windows Server (auf dem der Routing und Remote Access Daemon läuft) scheint nichts zu kriegen. Also hab ich mir mal das Astaro Packet Filter Log angeschaut. Einer der Einträge lautet wie folgt:
09:23:29  Default DROP  UDP  DraytekIP : 500 →  AstaroIP  :  500 len=204  ttl=246  tos=0x00


Warum verwirft der das Paket? Das läuft ja auf UDP Port 500 und sollte nach dem NAT Regeln (siehe Bild 1) eigentlich durchkommen. Nachdem ich das gesehen hatte, hab ich IKE ganz explizit in einer eigenen Regel weiterleiten lassen, obwohl es ja eigentlich schon durch den Service "VPN Protocols" abgedeckt sein sollte (siehe Screenshot 3 -> "Auto create packet filter rule").

Also dachte ich versuch mal noch ne zusätzliche Packet Filter Regel, die VPN Verbindungen sowohl von innen als auch von außen komplett zuläßt (siehe Screenshot 2). Allerdings verwirft der immer noch IKE Pakete.
Alle Weiteren Portweiterleitungen wie z.B. HTTP oder SMTP auf einen Server im LAN funktinieren einwandfrei.

Der 2003 Server scheint korrekt konfiguriert zu sein, ich kann nämlich (mit dem gleichen Einstellungen wie es der Vigor versucht [Zugangsdaten, etc.]) aus dem LAN zu dem verbinden und er lauscht auf allen Interfaces.

4) PPTP als Debug Verbindung mit Astaro als Endpunkt
Ein letzter Versuch war das Folgende: Ich hab versucht eine PPTP Verbindung vom Vigor zu Astaro aufzubauen. Nachdem das nicht funktioniert hat, hab ich's von nem Laptop mit dem Windows-PPTP-Client versucht. Als das auch nicht geklappt hat, hab ich festgestellt, daß Astaro MS-Chap2 möchte und der Vigor nur MS-Chap1 unterstützt.

Viele Anläufe, von denen bisher leider keiner erfolgreich war. Hat jemand vielleicht eine Idee oder Vorschläge, was ich sonst noch probieren könnte?


This thread was automatically locked due to age.
  • Vigor Konfiguration unverändert und Astaro als L2TP over IPsec Endpunkt

    Wie sieht denn Deine Policy aus ? Der Draytek unterstützt nur 3DES !
    Ich würde eine IPSEC Verbindung versuchen, mit einer eigenen angepassten Policy

    daß die Systemzeit vollkommen daneben liegt, die geht nämlich massiv vor

    Suche im Forum, bekanntes Problem mit VMWare...

    Warum verwirft der das Paket? Das läuft ja auf UDP Port 500 und sollte nach dem NAT Regeln (siehe Bild 1) eigentlich durchkommen. Nachdem ich das gesehen hatte, hab ich IKE ganz explizit in einer eigenen Regel weiterleiten lassen, obwohl es ja eigentlich schon durch den Service "VPN Protocols" abgedeckt sein sollte (siehe Screenshot 3 -> "Auto create packet filter rule").

    Also dachte ich versuch mal noch ne zusätzliche Packet Filter Regel, die VPN Verbindungen sowohl von innen als auch von außen komplett zuläßt (siehe Screenshot 2). Allerdings verwirft der immer noch IKE Pakete.

    Hast Du alle Astaro-eigenen VPN Dienste (IPSEC, etc.) für diesen Test abgeschaltet ?
    Sonst lauschen die nämlich noch vor Deinem W2K3 Server ;-)
  • Ok, für das Zeit Problem scheine ich hierzu was gefunden zu haben. Ich probier das heute Abend mal aus. Ich hatte sogar wirklich schon dazu gesucht, aber wohl nicht gründlich genug.

    Das andere mit IPsec probier ich morgen oder übermorgen aus. Ich komm leider momentan nicht vernünftig auf das Gerät drauf, um was umzustellen (die Verbindung ist ja getrennt). Ich melde mich dann wieder. Schon mal danke für die Anregungen!