Hallo zusammen,
ich hab hier ein Problem mit der terminierung eines PPTP Tunnels hinter einem Lancom 1721 (FW: 7.60) Gerät. Das Gerät selbst ist via ADSL angebunden.
Ich hab auf dem gerät schon ein Port Forward auf 25 laufen was auch funktioniert.
Ich sitz jetzt schon einige Stunden hier und finde keine Lösung.
Ich habe auf dem Lancom Gerät folgende Ports an unseren Windows Server weitergeleitet:
Port 500 UDP
Port 4500 UDP
Port 1723 TCP
Außerdem hab ich eine Firewallregel erstellt:
quelle: ALLE // quell-dienst: ALLE // ziel: IP_DES_SERVERS // ziel-dienst: PPTP, IPSEC
Die Dienste habe ich einfach ausgewählt. Bei IPSEC sieht man ja, welche Ports verwendet werden. bei PPTP sieht man leider nichts.
Hier der Trace:
#
| LANCOM 1721 VPN (Annex B)
| Ver. 7.60.0160Rel / 25.02.2009 / 6.26b/E74.02.54
| SN. 138761800018
| Copyright (c) LANCOM Systems
GW02, Connection No.: 002 (LAN)
Password:
root@GW02:/
> trace + ip-router @ -"port: 25" -"port: 53" - "port: 80"
IP-Router ON @ -"port: 25" -"port: 53" -"port: 80"
root@GW02:/
>
[IP-Router] 2009/08/09 20:05:15,620
IP-Router Rx (ADSL, RtgTag: 0):
DstIP: 192.168.1.4, SrcIP: 80.187.105.57, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1723, SrcPort: 40764, Flags: S
Route: LAN Tx (INTRANET):
[IP-Router] 2009/08/09 20:05:18,350
IP-Router Rx (ADSL, RtgTag: 0):
DstIP: 192.168.1.4, SrcIP: 80.187.105.57, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1723, SrcPort: 40764, Flags: S
Route: LAN Tx (INTRANET):
[IP-Router] 2009/08/09 20:05:24,370
IP-Router Rx (ADSL, RtgTag: 0):
DstIP: 192.168.1.4, SrcIP: 80.187.105.57, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1723, SrcPort: 40764, Flags: S
Route: LAN Tx (INTRANET):
[IP-Router] 2009/08/09 20:05:33,610
IP-Router Rx (LAN-2, INTRANET, RtgTag: 0):
DstIP: 224.0.0.1, SrcIP: 192.168.1.5, Len: 36, DSCP/TOS: 0x00
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Network unreachable (no route) => Discard
[IP-Router] 2009/08/09 20:05:36,410
IP-Router Rx (ADSL, RtgTag: 0):
DstIP: 192.168.1.4, SrcIP: 80.187.105.57, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1723, SrcPort: 40764, Flags: S
Route: LAN Tx (INTRANET):
[IP-Router] 2009/08/09 20:05:41,320
IP-Router Rx (ADSL, RtgTag: 0):
DstIP: 192.168.1.4, SrcIP: 80.187.105.57, Len: 64, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 1723, SrcPort: 47371, Flags: S
Route: LAN Tx (INTRANET):
Die Ports 25,53 und 80 hab ich absichtlich raus genommen da sonst zu viel traffic dazwischen wäre.
Auf dem Windows XP Rechner mit UMTS Karte bekam ich nach dem Verbindungsversuch nur eine Fehlermeldung 800.
Hat jemand eine Idee wie ich dieses Problem lösen kann?
Kann man das Lancom Gerät vielleicht als VPN Endpunkt "ohne" NCP Client benutzen also mit Windows Boardmitteln?
Mein Kollege hat sich etwas darüber pickiert, dass es wohl sooo aufwendig wäre bei Lancom etwas zu konfigurieren....
ich hoffe ihr könnt mir helfen.
Viele Grüße
Christian
VPN Terminierung hinter einem Lancom Gerät?
Moderator: Lancom-Systems Moderatoren
Hi cfrancke,
bist du sicher, daß der PPTP-Server auch die IP-Adresse 192.168.1.4 hat?
Wenn ja: Ist das LANCOM auch das Default-Gateway für den PPTP-Server?
Wenn ja: Ist auf dem PPTP-Server vielleicht eine Desktop-Fireall installiert, die den TCP-Port 1723 blockiert und zusätzlich noch den Stealth-Mode aktiviert hat?
Das LANCOM jedenfalls schickt das SYN der Kontrollsession an die 192.168.1.4 weiter, aber es kommt überhaupt keine Antwort - d.h. am LANCOM liegt's nicht...
Gruß
Backslash
bist du sicher, daß der PPTP-Server auch die IP-Adresse 192.168.1.4 hat?
Wenn ja: Ist das LANCOM auch das Default-Gateway für den PPTP-Server?
Wenn ja: Ist auf dem PPTP-Server vielleicht eine Desktop-Fireall installiert, die den TCP-Port 1723 blockiert und zusätzlich noch den Stealth-Mode aktiviert hat?
Das LANCOM jedenfalls schickt das SYN der Kontrollsession an die 192.168.1.4 weiter, aber es kommt überhaupt keine Antwort - d.h. am LANCOM liegt's nicht...
Gruß
Backslash
Hi Backslash,
erst mal vielen Dank für deine Antwort.
Die des Servers stimmt. Es handelt sich dabei um einen Windows 2003 Server bei dem Routing und RAS konfiguriert ist.
Das Lancom ist das 2. Default Gateway. Also auf dem Windows 2003 Server sind 2 GW eingetragen einmal der ISA der über eine SDSL Leitung raus geht und einmal das Lancom, welches über ein ADSL Modem raus geht.
Ist das vielleicht der Grund?
Eine Firewall läuft auf dem Server nicht.
Viele Grüße
Christian
erst mal vielen Dank für deine Antwort.
Die des Servers stimmt. Es handelt sich dabei um einen Windows 2003 Server bei dem Routing und RAS konfiguriert ist.
Das Lancom ist das 2. Default Gateway. Also auf dem Windows 2003 Server sind 2 GW eingetragen einmal der ISA der über eine SDSL Leitung raus geht und einmal das Lancom, welches über ein ADSL Modem raus geht.
Ist das vielleicht der Grund?
Eine Firewall läuft auf dem Server nicht.
Viele Grüße
Christian
Hi cfrancke
Das SYN/ACK geht vermutlich über die andere Leitung raus und wird spätestens beim LANCOM verworfen - wahrscheinlicher ist jedoch, daß es bereits vom SDSL-Router verworfen wird (weil nicht zu einer maskierten Session gehörend).
Was ist das Default-(SDSL-)Gateway denn für ein Router? Ggf. kannst du dort das PPTP über ein "policy based routing" auf das LANCOM umleiten (TCP mit Quellport(!) 1723 sowie GRE).
Oder du nutzt das LANCOM als Default-Gateway, daß beide Leitungen als Load-Balancer bedient - dann ist es sogar egal, ob die PPTP-Verbindung über die ADSL- oder die SDSL-Leidung reinkommt.
Gruß
Bckslash
ja, höchstwahrscheinlichDas Lancom ist das 2. Default Gateway. Also auf dem Windows 2003 Server sind 2 GW eingetragen einmal der ISA der über eine SDSL Leitung raus geht und einmal das Lancom, welches über ein ADSL Modem raus geht.
Ist das vielleicht der Grund?
Das SYN/ACK geht vermutlich über die andere Leitung raus und wird spätestens beim LANCOM verworfen - wahrscheinlicher ist jedoch, daß es bereits vom SDSL-Router verworfen wird (weil nicht zu einer maskierten Session gehörend).
Was ist das Default-(SDSL-)Gateway denn für ein Router? Ggf. kannst du dort das PPTP über ein "policy based routing" auf das LANCOM umleiten (TCP mit Quellport(!) 1723 sowie GRE).
Oder du nutzt das LANCOM als Default-Gateway, daß beide Leitungen als Load-Balancer bedient - dann ist es sogar egal, ob die PPTP-Verbindung über die ADSL- oder die SDSL-Leidung reinkommt.
Gruß
Bckslash
Hi Backslash,
ich hab jetzt auf dem Server einen Test gemacht indem ich nur den Lancom Router als GW eingetragen habe. Leider klappte dies auch nicht. Das merkwürdige ist, dass ich für den Routing und RAS Dienst auf dem Windows 2003 Server alles was zum mitloggen ist eingeschaltet habe. In den Ereignisprotkollen erscheint aber gar nichts ergo kommt gar nichts überhaupt erst an.
Ich muss jetzt nochmal ganz blöd fragen:
Was muss ich am Lancom Gerät konfigurieren damit ich eine PPTP Verbindung zum Windows 2003 Server herstellen kann?
Viele Grüße
CHristian
ich hab jetzt auf dem Server einen Test gemacht indem ich nur den Lancom Router als GW eingetragen habe. Leider klappte dies auch nicht. Das merkwürdige ist, dass ich für den Routing und RAS Dienst auf dem Windows 2003 Server alles was zum mitloggen ist eingeschaltet habe. In den Ereignisprotkollen erscheint aber gar nichts ergo kommt gar nichts überhaupt erst an.
Ich muss jetzt nochmal ganz blöd fragen:
Was muss ich am Lancom Gerät konfigurieren damit ich eine PPTP Verbindung zum Windows 2003 Server herstellen kann?
Viele Grüße
CHristian
Hi Backslash,
mir ist jetzt doch was im Logging vom Windows Server 2003 aufgefallen. Immer wenn ich einen VPN Verbindungsversuch unternehme kommt 2 Minuten später dieser Eintrag im Eventlog.
______________
Ereignistyp: Warnung
Ereignisquelle: RemoteAccess
Ereigniskategorie: Keine
Ereigniskennung: 20049
Datum: 25.08.2009
Zeit: 14:53:04
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Die Verbindung des mit Port VPN5-245 verbundenen Benutzers wurde getrennt, da da die Authentifizierung nicht innerhalb des Zeitrahmens durchgeführt wurde.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
________________________
Mir scheints so als ob die initiale Anfrage durch kommt und der Windows Server merkt, dass ich mit ihm eine Verbindung aufbauen möchte aber irgendetwas kommt nicht durch. Kann es sein, dass das Lancom Gerät das GRE Protokoll nicht weiterleitet?
VIele Grüße
CHristian
mir ist jetzt doch was im Logging vom Windows Server 2003 aufgefallen. Immer wenn ich einen VPN Verbindungsversuch unternehme kommt 2 Minuten später dieser Eintrag im Eventlog.
______________
Ereignistyp: Warnung
Ereignisquelle: RemoteAccess
Ereigniskategorie: Keine
Ereigniskennung: 20049
Datum: 25.08.2009
Zeit: 14:53:04
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Die Verbindung des mit Port VPN5-245 verbundenen Benutzers wurde getrennt, da da die Authentifizierung nicht innerhalb des Zeitrahmens durchgeführt wurde.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
________________________
Mir scheints so als ob die initiale Anfrage durch kommt und der Windows Server merkt, dass ich mit ihm eine Verbindung aufbauen möchte aber irgendetwas kommt nicht durch. Kann es sein, dass das Lancom Gerät das GRE Protokoll nicht weiterleitet?
VIele Grüße
CHristian
Hi cfrancke,
du mußt nur das Portforwarding für den TCP-Port 1723 einrichten. Daß es funktioniert sieht man ja an dem Trace aus deinem ersten Post - das LANCOM schickt das Paket auf's LAN... Wenn du ganz sicher zu gehen willst und dem Router-Trace allein nicht vertraust, kannst du ja zusätzlich einen Ethernet-Trace machen, den du auf PPTP einschränkst: trace # eth @ PPTP
Ansonsten mußt du nur noch den W2k3-Server so konfigurieren, daß der die TCP-Pakete
a) annimmt (Stichwort: Windows-Firewall) und
b) die Antworten an das LANCOM und nicht an den SDSL-Router schickt
Gruß
Backslash
Kannst du den W2k3-Server denn vom LANCOM aus anpingen?ich hab jetzt auf dem Server einen Test gemacht indem ich nur den Lancom Router als GW eingetragen habe. Leider klappte dies auch nicht. Das merkwürdige ist, dass ich für den Routing und RAS Dienst auf dem Windows 2003 Server alles was zum mitloggen ist eingeschaltet habe. In den Ereignisprotkollen erscheint aber gar nichts ergo kommt gar nichts überhaupt erst an.
Was muss ich am Lancom Gerät konfigurieren damit ich eine PPTP Verbindung zum Windows 2003 Server herstellen kann?
du mußt nur das Portforwarding für den TCP-Port 1723 einrichten. Daß es funktioniert sieht man ja an dem Trace aus deinem ersten Post - das LANCOM schickt das Paket auf's LAN... Wenn du ganz sicher zu gehen willst und dem Router-Trace allein nicht vertraust, kannst du ja zusätzlich einen Ethernet-Trace machen, den du auf PPTP einschränkst: trace # eth @ PPTP
Ansonsten mußt du nur noch den W2k3-Server so konfigurieren, daß der die TCP-Pakete
a) annimmt (Stichwort: Windows-Firewall) und
b) die Antworten an das LANCOM und nicht an den SDSL-Router schickt
Gruß
Backslash
Hi backslash,
Eingehend: ALLE QUELLEN / ALLE DIENSTE nach 192.168.1.4 / PPTP (gibts so zum auswählen)
oder sollte ich an dieser Stelle eher explizit den Port 1723 auswählen?
Eine Outbound Rule (Also von Server nach draußen) hab ich nicht erstellt. Ich denke wegen Statefull müsste ja rauswärts bei einer Anfrage die Verbindung möglich sein.
Ich meld mich wieder sobald ich getestet hab.
Vielen Dank schon mal für deine Hilfe!
Viele Grüße
Christian
Genau das hatte ich mir auch schon gedacht. Lancom Geräte sind ja in der Regel sehr einfach zu handhaben. Dank dir für die Bestätigung. Nur ein Punkt noch dazu. Wenn ich ein Portforewarding mache muss ich natürlich auf dem Lancom Gerät den entsprechenden Eintrag in der Firewall machen, oder? Ich hab an dieser Stelle ja die Einstellung so gemacht:du mußt nur das Portforwarding für den TCP-Port 1723 einrichten. Daß es funktioniert sieht man ja an dem Trace aus deinem ersten Post - das LANCOM schickt das Paket auf's LAN... Wenn du ganz sicher zu gehen willst und dem Router-Trace allein nicht vertraust, kannst du ja zusätzlich einen Ethernet-Trace machen, den du auf PPTP einschränkst: trace # eth @ PPTP
Eingehend: ALLE QUELLEN / ALLE DIENSTE nach 192.168.1.4 / PPTP (gibts so zum auswählen)
oder sollte ich an dieser Stelle eher explizit den Port 1723 auswählen?
Eine Outbound Rule (Also von Server nach draußen) hab ich nicht erstellt. Ich denke wegen Statefull müsste ja rauswärts bei einer Anfrage die Verbindung möglich sein.
Eine Firewall auf dem Server gibts bei uns nicht.Ansonsten mußt du nur noch den W2k3-Server so konfigurieren, daß der die TCP-Pakete
a) annimmt (Stichwort: Windows-Firewall) und
Da muss ich dann wohl mal mit einem Wireshark auf dem Server prüfen wo die Pakete hinfließen.b) die Antworten an das LANCOM und nicht an den SDSL-Router schickt
Ich meld mich wieder sobald ich getestet hab.
Vielen Dank schon mal für deine Hilfe!
Viele Grüße
Christian
Hi cfrancke
Gruß
Backslash
nur wenn die Firewall aufgrund einer Deny-All-Strategie das Paket blocken würde - es schadet aber auch nicht, eine solche Regel aufzunehmen.Wenn ich ein Portforewarding mache muss ich natürlich auf dem Lancom Gerät den entsprechenden Eintrag in der Firewall machen, oder?
das ist korrekt.Ich hab an dieser Stelle ja die Einstellung so gemacht:
Eingehend: ALLE QUELLEN / ALLE DIENSTE nach 192.168.1.4 / PPTP (gibts so zum auswählen)
kannst du auch machen, aber das Objekt "PPTP" enthält ja "Protokoll TCP" und "Port 1723"...oder sollte ich an dieser Stelle eher explizit den Port 1723 auswählen?
Das ist richtig. Eine abgehende Regel brauchst du nur, wenn du von "innen" eine PPTP-Verbindung nach "aussen" aufbauen willst.Eine Outbound Rule (Also von Server nach draußen) hab ich nicht erstellt. Ich denke wegen Statefull müsste ja rauswärts bei einer Anfrage die Verbindung möglich sein.
Gruß
Backslash