Dienst VPN PPTP ok, L2TP funktioniert nicht

[hwschroeder]

Hallo,

auf dem OS X Server 10.4.11 läuft der VPN Dienst mit user/pass (PPTP) und user/pass/shared secret (L2TP).
Von einem Client 10.5.1 kann die Verbindung mit PPTP aufgebaut werden, L2TP funktioniert aber nicht.
Die Clients 10.4.11 haben dieses Problem nicht.

Eine Idee?

 

[pepi]

Irgendwelche Fehlermeldungen oder Einträge in den Logfiles am Client oder am Server?
Gruß Pepi

 

[hwschroeder]

Gar nicht. Der Server sieht noch nicht einmal, dass der Ruf mit L2PT eingeht.

 

[pepi]

Dann stell mal Dein logging etwas verboser ein… und vorher gib bitte unter Leopard Dein SharedSecret nochmal ein, ich vermute, daß Du Dich da schlicht und ergreifend vertippt hast. (Ich nehme mal an, daß Du keine Zertifikate verwendest.)
Gruß Pepi

 

[hwschroeder]

Das mit den Zertifikaten habe ich gelassen, da ich zwar auf dem Server Zertifikate erstellen kann, aber diese weder als Datei noch sonstwas finde, damit ich die auf den Client übertragen könnte.
Aber ich habe das Problem intern gefunden, indem ich Netzwerkverbindung L2TP auf dem 10.5. Client gelöscht und neu angelegt habe.
Danach gehts intern, aber sobald ich extern bin, funktioniert wieder nur PPTP.
Ich denke, da muss ich nocheinmal an den Router bzgl "Dienst 50".

 

[pepi]

Dei Zertifikate kannst Du einfach aus dem ServerAdmin rausziehen. Steht so in der Doku drinnen. Nachdem Du gemeint hattest, daß es unter 10.4 funktioniert bin ich eigentlich davon ausgegangen, daß Du ESP am Router schon weiterreichst.
Du solltest intern übrigens keine VPN Verbindungen zulassen. Passe Deine Firewall Konfiguration entsprechend an.
Gruß Pepi

 

[hwschroeder]

Am weiterreichen von ESP in meinem Router scheitere ich.
Hier wird ein Thomson Speedtouch 516i V6 eingesetzt, und obwohl in der user.ini die apps ESP und IKE auf aktiviert stehen, funktioniert das nicht.

Kennt einer den Router?
Oder kennt einer den Linksys WRT 54 GC ?
Laut Datenblatt beherrscht der VPN pass-trough ohne Klimmzüge.

 

[pepi]

Am weiterreichen von ESP in meinem Router scheitere ich.
Hier wird ein Thomson Speedtouch 516i V6 eingesetzt, und obwohl in der user.ini die apps ESP und IKE auf aktiviert stehen, funktioniert das nicht.

Kennt einer den Router?
Oder kennt einer den Linksys WRT 54 GC ?
Laut Datenblatt beherrscht der VPN pass-trough ohne Klimmzüge.

Dein Speedtouch filtert nichts soweit mir das bekannt ist. (Schreckliche Hardware) Macht das Speedtouch auch NAT oder nur Gateway? (Wenn es NAT macht, wird das nicht funktionieren.)

Der WRT-54-GC beherrscht "VPN-Passthrough" auch problemlos, sofern man das in dern Konfiguration auch angehakerlt hat.
Gruß Pepi

 

[hwschroeder]

Das Speedtouch übernimmt die PPOE Einwahl, Routing + NAT
Also muss da wohl andere Hardware her.
Ich werd mal dem Chef ein paar EUR rausleiern müssen und den Linksys mal zum testen kommen lassen.
Dann spielt das 516i nur noch Modem (Bridge) und alles andere soll der Linksys übernehmen.

 

[pepi]

Dann kann das so nichts werden. Nur aus Neugierde, wer ist Dein ISP?
Gruß Pepi

 

[hwschroeder]

Acor

 

[wahnsinn]

Ich schließ mich dem Thema hier mal an:

Ich habe auch einige Probleme mit VPN über L2TP. Wenn ich von "draußen" rein will geht gar nichts. Aber das liegt wahrscheinlich an meiner noch falsch konfigurierten Firewall. Das soll hier (noch) nicht das Problem sein. Der nagelneue Mac Server steht hier im Büro und ich versuche im Moment mich von meinem Rechner aus mit dem VPN zu verbinden. Über PPTP geht's und über L2TP geht's von meinem Mac aus nicht.
Vom Mac meines Kollegen aus funktioniert die L2TP-Verbindung tadellos. Und es liegt nicht an den Zugangsdaten, die hab ich wirklich 1000 mal überprüft und auch auf beiden Rechnern ausprobiert.

Hier mal das Log von meinem missglückten Versucht:

2008-01-15 12:38:59 CET    Incoming call... Address given to client = 192.168.2.204
Tue Jan 15 12:38:59 2008 : Directory Services Authentication plugin initialized
Tue Jan 15 12:38:59 2008 : Directory Services Authorization plugin initialized
Tue Jan 15 12:38:59 2008 : L2TP incoming call in progress from '192.168.2.165'...
Tue Jan 15 12:38:59 2008 : L2TP received SCCRQ
Tue Jan 15 12:38:59 2008 : L2TP sent SCCRP
Tue Jan 15 12:38:59 2008 : L2TP received SCCCN
Tue Jan 15 12:38:59 2008 : L2TP received ICRQ
Tue Jan 15 12:38:59 2008 : L2TP sent ICRP
Tue Jan 15 12:38:59 2008 : L2TP received ICCN
Tue Jan 15 12:38:59 2008 : L2TP connection established.
Tue Jan 15 12:38:59 2008 : using link 1
Tue Jan 15 12:38:59 2008 : Using interface ppp1
Tue Jan 15 12:38:59 2008 : Connect: ppp1 <--> socket[34:18]
Tue Jan 15 12:38:59 2008 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
Tue Jan 15 12:38:59 2008 : rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x958bbe00> <pcomp> <accomp>]
Tue Jan 15 12:38:59 2008 : lcp_reqci: returning CONFACK.
Tue Jan 15 12:38:59 2008 : sent [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x958bbe00> <pcomp> <accomp>]
Tue Jan 15 12:39:02 2008 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
Tue Jan 15 12:39:02 2008 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
Tue Jan 15 12:39:02 2008 : sent [LCP EchoReq id=0x0 magic=0x936184ed]
Tue Jan 15 12:39:02 2008 : sent [CHAP Challenge id=0x4a <d33bdef33ffee6904a16b9ac4b5b45cd>, name = "Xserve01.zeroseven"]
Tue Jan 15 12:39:02 2008 : rcvd [LCP EchoReq id=0x0 magic=0x958bbe00]
Tue Jan 15 12:39:02 2008 : sent [LCP EchoRep id=0x0 magic=0x936184ed]
Tue Jan 15 12:39:02 2008 : rcvd [LCP EchoRep id=0x0 magic=0x958bbe00]
Tue Jan 15 12:39:02 2008 : rcvd [CHAP Response id=0x4a <3c2057525941ef7379c8a01656bb81230000000000000000fffb4e1b52def4dff68215f9779f9ce6b2336d3bbaa8e02000>, name = "albrechtk"]
Tue Jan 15 12:39:02 2008 : sent [CHAP Success id=0x4a "S=311A4F24F87570A171D98154A1079009BA75C811 M=Access granted"]
Tue Jan 15 12:39:02 2008 : CHAP peer authentication succeeded for albrechtk
Tue Jan 15 12:39:02 2008 : DSAccessControl plugin: User 'albrechtk' authorized for access
Tue Jan 15 12:39:02 2008 : sent [IPCP ConfReq id=0x1 <addr 192.168.2.102>]
Tue Jan 15 12:39:02 2008 : sent [ACSCP] 01 01 00 04
Tue Jan 15 12:39:02 2008 : rcvd [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>]
Tue Jan 15 12:39:02 2008 : Unsupported protocol 'Compression Control Protocol' (0x80fd) received
Tue Jan 15 12:39:02 2008 : sent [LCP ProtRej id=0x2 80 fd 01 01 00 0a 12 06 01 00 00 60]
Tue Jan 15 12:39:02 2008 : rcvd [IPCP TermAck id=0x1]
Tue Jan 15 12:39:02 2008 : rcvd [ACSCP] 06 01 00 04
Tue Jan 15 12:39:02 2008 : rcvd [LCP TermReq id=0x2 "MPPE required but peer negotiation failed"]
Tue Jan 15 12:39:02 2008 : LCP terminated by peer (MPPE required but peer negotiation failed)
Tue Jan 15 12:39:02 2008 : sent [LCP TermAck id=0x2]
Tue Jan 15 12:39:02 2008 : L2TP received CDN
Tue Jan 15 12:39:02 2008 : Connection terminated.
Tue Jan 15 12:39:02 2008 : Connect time 0.1 minutes.
Tue Jan 15 12:39:02 2008 : Sent 0 bytes, received 0 bytes.
Tue Jan 15 12:39:02 2008 : L2TP disconnecting...
Tue Jan 15 12:39:02 2008 : L2TP sent CDN
Tue Jan 15 12:39:02 2008 : L2TP sent StopCCN
Tue Jan 15 12:39:02 2008 : L2TP disconnected
2008-01-15 12:39:02 CET       --> Client with address = 192.168.2.204 has hungup

Hat jemand eine Lösung? Oder wenigstens eine Ahnung?

Ich vermute dass das Hauptproblem irgendwie mit MPPE (was auch immer das sein mag) und der Zeile Unsupported protocol 'Compression Control Protocol' (0x80fd) received zusammen hängt. Aber ich komm nicht weiter. Google und diverse Foren hab ich heute schon den ganzen Vormittag gequält.

 

[pepi]

Ich schließ mich dem Thema hier mal an:

Ich habe auch einige Probleme mit VPN über L2TP. Wenn ich von "draußen" rein will geht gar nichts. Aber das liegt wahrscheinlich an meiner noch falsch konfigurierten Firewall.[…]

Schön, aber ohne irgendwelche Infos zur Konfiguration ein unsinniges Ratespiel, welches sich zu spiele nicht lohnt… Mehr Details bitte…
Gruß Pepi

 

[wahnsinn]

Schön, aber ohne irgendwelche Infos zur Konfiguration ein unsinniges Ratespiel, welches sich zu spiele nicht lohnt… Mehr Details bitte…
Gruß Pepi

Es ist vür mich ebenfalls ein Ratestpiel, welche Infos du wohl noch benötigst.

Der Server sowie die Rechner, von denen aus ich die Versuche starte sind beide im selben Netzwerk (192.168.2.x - Subnetz 255.255.255.0) - also die Firewall ist im Moment nicht das Problem.

Der Server hat die feste IP 192.168.2.102 - alle anderen Clients bekommen ihre über DHCP vom Router (Bereich .130 bis .199).

Für L2TP habe ich den Bereich .200 bis .219 eingestellt. PPP-Identifizierung über MS-CHAPv2 und IPsec-Identifizierung über einen Schlüssel (weil ich keine Ahnung habe wie ich an die Zertifikats-Datei kommen soll)

PPTP hat den Adressbereich von .220 bis .239 und PPP-Identifizierung ebenfalls über MS-CHAPv2.

Bei den Clientinformationen hab ich als DNS-Server den Router eingestellt und bei der Netzwerkroutendefinition die IP-Adresse 192.168.2.102, das Subnetz 255.255.255.0 und den Netzwerktyp "privat".

 

[pepi]

Es ist vür mich ebenfalls ein Ratestpiel, welche Infos du wohl noch benötigst.

Der Server sowie die Rechner, von denen aus ich die Versuche starte sind beide im selben Netzwerk (192.168.2.x - Subnetz 255.255.255.0) - also die Firewall ist im Moment nicht das Problem.

Der Server hat die feste IP 192.168.2.102 - alle anderen Clients bekommen ihre über DHCP vom Router (Bereich .130 bis .199).

Für L2TP habe ich den Bereich .200 bis .219 eingestellt. PPP-Identifizierung über MS-CHAPv2 und IPsec-Identifizierung über einen Schlüssel (weil ich keine Ahnung habe wie ich an die Zertifikats-Datei kommen soll)

PPTP hat den Adressbereich von .220 bis .239 und PPP-Identifizierung ebenfalls über MS-CHAPv2.

Bei den Clientinformationen hab ich als DNS-Server den Router eingestellt und bei der Netzwerkroutendefinition die IP-Adresse 192.168.2.102, das Subnetz 255.255.255.0 und den Netzwerktyp "privat".

Hast Du die Firewall am Server nicht aufgedreht, oder was macht Dich so sicher, daß es nicht daran liegt?

Ist Euer DNS Server wirklich ein DNS Server oder nur der DNS Cache auf Eurem (nicht näher genannten) Router? Die Netzwerk Routendefinition ist so nicht ganz korrekt aber für den Verbindungsversuch mal irrelevant und bei einer Verbindung vom LAN ins selbe LAN sowieso völlig egal.

Der verwendete Username und Passwort hast Du auch überprüft und als korrekt identifiziert, ebenso wie das SharedSecret? Der verwendete problematische User ist auch sicher für den VPN Dienst freigegeben?
Gruß Pepi

 

[wahnsinn]

Hast Du die Firewall am Server nicht aufgedreht, oder was macht Dich so sicher, daß es nicht daran liegt?

Ich meinte die Firewall im Router. An die Firewall im Server hab ich gar nicht gedacht. Passt das Admin-Tool die Firewall nicht automatisch an, wenn ich einen Dienst konfiguriere? Wo kann ich das manuell noch nachträglich schauen bzw. Korrigieren?

Ist Euer DNS Server wirklich ein DNS Server oder nur der DNS Cache auf Eurem (nicht näher genannten) Router? Die Netzwerk Routendefinition ist so nicht ganz korrekt aber für den Verbindungsversuch mal irrelevant und bei einer Verbindung vom LAN ins selbe LAN sowieso völlig egal.

Der DNS ist kein wirklicher DNS. Das ist nur der Router bei dem dann wiederum der DNS des Providers eingetragen ist. Aber daran kann's doch nicht liegen...
Wie wäre denn eine korrekte Routendefinition?

Der verwendete Username und Passwort hast Du auch überprüft und als korrekt identifiziert, ebenso wie das SharedSecret? Der verwendete problematische User ist auch sicher für den VPN Dienst freigegeben?
Gruß Pepi

Mehrmals überprüft. Mehrmals neu eingegeben. Und die Log-Datei sagt ja auch, dass der User stimmt. Oder interpretiere ich diese beiden Zeilen hier falsch?

 Tue Jan 15 12:39:02 2008 : CHAP peer authentication succeeded for albrechtk
Tue Jan 15 12:39:02 2008 : DSAccessControl plugin: User 'albrechtk' authorized for access

 

[pepi]

Ich meinte die Firewall im Router. An die Firewall im Server hab ich gar nicht gedacht. Passt das Admin-Tool die Firewall nicht automatisch an, wenn ich einen Dienst konfiguriere? Wo kann ich das manuell noch nachträglich schauen bzw. Korrigieren?

Daß die Firewall im Router an den Verbindungsproblemen im LAN selten schuld ist ist mir schon klar, deswegen hab' ich extra nochmal auf die Firewall am Server hingewiesen. Nein, das Admin Tool ändern nicht eigenmächtig Deine Firewall Settings. Das wäre erstens eine gröbere Sicherheitslücke und zweitens könnte es diese Entscheidungen nicht autonom treffen. Die Einstellungen findest Du bestimmt selbst, oder muß ich Dich wirklich auf den Eintrag mit dem Namen Firewall hinweisen? Eben.

Der DNS ist kein wirklicher DNS. Das ist nur der Router bei dem dann wiederum der DNS des Providers eingetragen ist. Aber daran kann's doch nicht liegen...
Wie wäre denn eine korrekte Routendefinition?

Also ein DNS Cache. Das bestätigt meine Vermutung, daß der Setup vom Konzept her schleissig unvollständig ist und nur halbfertig implementiert ist. Bei den Routendefinition fehlt beispielsweise eine Public Route und bei Netzwerkangaben verwendet man üblicherweise keine Host IPs.

Mehrmals überprüft. Mehrmals neu eingegeben. Und die Log-Datei sagt ja auch, dass der User stimmt. Oder interpretiere ich diese beiden Zeilen hier falsch?

 Tue Jan 15 12:39:02 2008 : CHAP peer authentication succeeded for albrechtk
Tue Jan 15 12:39:02 2008 : DSAccessControl plugin: User 'albrechtk' authorized for access

Soweit ich das mit nur dem halben Log beurteilen kann müßte das passen. Hast Du noch andere VPN Client Software auf Deinem Client installiert die vielleicht an den Racoon Settings was verstellt haben könnten?
Gruß Pepi