 |
|
|
|
| Autor |
Nachricht |
Philipp
Anmeldungsdatum: 07.07.2005
Beiträge: 10
|
 Verfasst am:
Mo 02 Feb, 2009 11:14 |
  |
|
Hallo zusammen,
folgendes Szenario: eine LANCOM 7111 trennt unser Subnetz vom übergeordneten Netz. Dabei ist ein Teil unseres Subnetzes als DMZ eingerichtet, das interne Netz ist getrennt davon als privates Netz eingerichtet. Klappt so weit alles hervorragend.
Nun soll in dem Netzwerk ein Windows 2008-Server hinzugefügt werden, der als VPN-Server eingesetzt werden soll. Dazu hat dieser einen Anschluss im Intranet und einen in der DMZ. Konfiguration des Servers passt so weit: ein Client in der DMZ kann sich per L2TP/IPSec einwählen.
Nun soll in der Firewall eine Freigabe erfolgen, dass der Server auch von außerhalb der Firewall erreichbar ist. Dazu hatte ich Port 500 UDP und Protokoll 50 (ESP) in der Firewall freigegeben. Nur das funktioniert nicht 
Die Port-500-Regel greift zwar lt. Lanmonitor, aber die Verbindung zwischen Client und Server kommt nicht zu stande:
| Zitat:
|
789
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.
|
Nachdem der Client in der DMZ funktioniert, muss es irgendwie im Netz liegen - und die Firewall ist da der erste Kandidat. Aber selbst wenn ich jegliche Verbindung zum VPN-Server zulasse, klappt es nicht. Irgendwie scheinen nicht alle Pakete sauber durch die Firewall zu gehen.
Hat mir jemand einen Tipp, woran das liegen könnte? Bei LANCOM selbst wird zwar über entsprechende Verbindungen geredet, aber immer nur in dem Szenario, wo ein Port aus dem internen Netz freigegeben wird. Und wieso sollte ich das machen, wenn ich eine DMZ habe?
Viele Grüße und Danke,
Philipp |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mo 02 Feb, 2009 16:09 |
|
|
Hi Philipp,
gib zusätzlich zum UDP-Port 500 auch mal den UDP-Port 4500 frei. Vielleicht macht der Windows 2008-Server ja NAT-T. Dann kannst du auch dir die Regel für ESP sparen
Gruß
Backslash |
|
|
|
|
Philipp
Anmeldungsdatum: 07.07.2005
Beiträge: 10
|
| Verfasst am:
Mo 02 Feb, 2009 16:47 |
|
|
Hallo Backslash,
danke für die Antwort. Hatte ich leider auch schon probiert bzw. es klappt ja auch nicht, wenn alle Ports und alle Verbindungen zum VPN-Server zugelassen werden.
Ich habe auch mal testweise eine SNMP-Aktion bei allen relevanten Deny-Regeln hinterlassen - es tritt keine in Erscheinung.
Für mich sieht es so aus, als ob entweder die ESP-Pakete nicht sauber durchlaufen oder sonst irgendwas mit den Paketen (Fragmentierung?) passiert.
Gruß, Philipp |
|
|
|
|
|
|
|
|
| |
|
|
