1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  2. Unsere jährliche Weihnachts-Banner-Aktion hat begonnen! Wir freuen uns auf viele, viele kreative Vorschläge.
    Mehr dazu könnt Ihr hier nachlesen: Weihnachtsbanner 2016

    Information ausblenden

Dienst VPN PPTP ok, L2TP funktioniert nicht

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von hwschroeder, 11.01.08.

  1. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
    Hallo,

    auf dem OS X Server 10.4.11 läuft der VPN Dienst mit user/pass (PPTP) und user/pass/shared secret (L2TP).
    Von einem Client 10.5.1 kann die Verbindung mit PPTP aufgebaut werden, L2TP funktioniert aber nicht.
    Die Clients 10.4.11 haben dieses Problem nicht.

    Eine Idee?
     
  2. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Irgendwelche Fehlermeldungen oder Einträge in den Logfiles am Client oder am Server?
    Gruß Pepi
     
  3. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
    Gar nicht. Der Server sieht noch nicht einmal, dass der Ruf mit L2PT eingeht.
     
  4. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Dann stell mal Dein logging etwas verboser ein… und vorher gib bitte unter Leopard Dein SharedSecret nochmal ein, ich vermute, daß Du Dich da schlicht und ergreifend vertippt hast. (Ich nehme mal an, daß Du keine Zertifikate verwendest.)
    Gruß Pepi
     
  5. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
    Das mit den Zertifikaten habe ich gelassen, da ich zwar auf dem Server Zertifikate erstellen kann, aber diese weder als Datei noch sonstwas finde, damit ich die auf den Client übertragen könnte.
    Aber ich habe das Problem intern gefunden, indem ich Netzwerkverbindung L2TP auf dem 10.5. Client gelöscht und neu angelegt habe.
    Danach gehts intern, aber sobald ich extern bin, funktioniert wieder nur PPTP.
    Ich denke, da muss ich nocheinmal an den Router bzgl "Dienst 50".
     
  6. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Dei Zertifikate kannst Du einfach aus dem ServerAdmin rausziehen. Steht so in der Doku drinnen. Nachdem Du gemeint hattest, daß es unter 10.4 funktioniert bin ich eigentlich davon ausgegangen, daß Du ESP am Router schon weiterreichst.
    Du solltest intern übrigens keine VPN Verbindungen zulassen. Passe Deine Firewall Konfiguration entsprechend an.
    Gruß Pepi
     
  7. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
    Am weiterreichen von ESP in meinem Router scheitere ich.
    Hier wird ein Thomson Speedtouch 516i V6 eingesetzt, und obwohl in der user.ini die apps ESP und IKE auf aktiviert stehen, funktioniert das nicht.

    Kennt einer den Router?
    Oder kennt einer den Linksys WRT 54 GC ?
    Laut Datenblatt beherrscht der VPN pass-trough ohne Klimmzüge.
     
  8. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Dein Speedtouch filtert nichts soweit mir das bekannt ist. (Schreckliche Hardware) Macht das Speedtouch auch NAT oder nur Gateway? (Wenn es NAT macht, wird das nicht funktionieren.)

    Der WRT-54-GC beherrscht "VPN-Passthrough" auch problemlos, sofern man das in dern Konfiguration auch angehakerlt hat.
    Gruß Pepi
     
  9. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
    Das Speedtouch übernimmt die PPOE Einwahl, Routing + NAT :(
    Also muss da wohl andere Hardware her.
    Ich werd mal dem Chef ein paar EUR rausleiern müssen und den Linksys mal zum testen kommen lassen.
    Dann spielt das 516i nur noch Modem (Bridge) und alles andere soll der Linksys übernehmen.
     
  10. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Dann kann das so nichts werden. Nur aus Neugierde, wer ist Dein ISP?
    Gruß Pepi
     
  11. hwschroeder

    hwschroeder Lambertine

    Dabei seit:
    06.09.06
    Beiträge:
    698
  12. wahnsinn

    wahnsinn Jonagold

    Dabei seit:
    23.12.06
    Beiträge:
    19
    Ich schließ mich dem Thema hier mal an:

    Ich habe auch einige Probleme mit VPN über L2TP. Wenn ich von "draußen" rein will geht gar nichts. Aber das liegt wahrscheinlich an meiner noch falsch konfigurierten Firewall. Das soll hier (noch) nicht das Problem sein. Der nagelneue Mac Server steht hier im Büro und ich versuche im Moment mich von meinem Rechner aus mit dem VPN zu verbinden. Über PPTP geht's und über L2TP geht's von meinem Mac aus nicht.
    Vom Mac meines Kollegen aus funktioniert die L2TP-Verbindung tadellos. Und es liegt nicht an den Zugangsdaten, die hab ich wirklich 1000 mal überprüft und auch auf beiden Rechnern ausprobiert.

    Hier mal das Log von meinem missglückten Versucht:

    Code:
    2008-01-15 12:38:59 CET    Incoming call... Address given to client = 192.168.2.204
    Tue Jan 15 12:38:59 2008 : Directory Services Authentication plugin initialized
    Tue Jan 15 12:38:59 2008 : Directory Services Authorization plugin initialized
    Tue Jan 15 12:38:59 2008 : L2TP incoming call in progress from '192.168.2.165'...
    Tue Jan 15 12:38:59 2008 : L2TP received SCCRQ
    Tue Jan 15 12:38:59 2008 : L2TP sent SCCRP
    Tue Jan 15 12:38:59 2008 : L2TP received SCCCN
    Tue Jan 15 12:38:59 2008 : L2TP received ICRQ
    Tue Jan 15 12:38:59 2008 : L2TP sent ICRP
    Tue Jan 15 12:38:59 2008 : L2TP received ICCN
    Tue Jan 15 12:38:59 2008 : L2TP connection established.
    Tue Jan 15 12:38:59 2008 : using link 1
    Tue Jan 15 12:38:59 2008 : Using interface ppp1
    Tue Jan 15 12:38:59 2008 : Connect: ppp1 <--> socket[34:18]
    Tue Jan 15 12:38:59 2008 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
    Tue Jan 15 12:38:59 2008 : rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x958bbe00> <pcomp> <accomp>]
    Tue Jan 15 12:38:59 2008 : lcp_reqci: returning CONFACK.
    Tue Jan 15 12:38:59 2008 : sent [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x958bbe00> <pcomp> <accomp>]
    Tue Jan 15 12:39:02 2008 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
    Tue Jan 15 12:39:02 2008 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x936184ed> <pcomp> <accomp>]
    Tue Jan 15 12:39:02 2008 : sent [LCP EchoReq id=0x0 magic=0x936184ed]
    Tue Jan 15 12:39:02 2008 : sent [CHAP Challenge id=0x4a <d33bdef33ffee6904a16b9ac4b5b45cd>, name = "Xserve01.zeroseven"]
    Tue Jan 15 12:39:02 2008 : rcvd [LCP EchoReq id=0x0 magic=0x958bbe00]
    Tue Jan 15 12:39:02 2008 : sent [LCP EchoRep id=0x0 magic=0x936184ed]
    Tue Jan 15 12:39:02 2008 : rcvd [LCP EchoRep id=0x0 magic=0x958bbe00]
    Tue Jan 15 12:39:02 2008 : rcvd [CHAP Response id=0x4a <3c2057525941ef7379c8a01656bb81230000000000000000fffb4e1b52def4dff68215f9779f9ce6b2336d3bbaa8e02000>, name = "albrechtk"]
    Tue Jan 15 12:39:02 2008 : sent [CHAP Success id=0x4a "S=311A4F24F87570A171D98154A1079009BA75C811 M=Access granted"]
    Tue Jan 15 12:39:02 2008 : CHAP peer authentication succeeded for albrechtk
    Tue Jan 15 12:39:02 2008 : DSAccessControl plugin: User 'albrechtk' authorized for access
    Tue Jan 15 12:39:02 2008 : sent [IPCP ConfReq id=0x1 <addr 192.168.2.102>]
    Tue Jan 15 12:39:02 2008 : sent [ACSCP] 01 01 00 04
    Tue Jan 15 12:39:02 2008 : rcvd [CCP ConfReq id=0x1 <mppe +H -M +S +L -D -C>]
    Tue Jan 15 12:39:02 2008 : Unsupported protocol 'Compression Control Protocol' (0x80fd) received
    Tue Jan 15 12:39:02 2008 : sent [LCP ProtRej id=0x2 80 fd 01 01 00 0a 12 06 01 00 00 60]
    Tue Jan 15 12:39:02 2008 : rcvd [IPCP TermAck id=0x1]
    Tue Jan 15 12:39:02 2008 : rcvd [ACSCP] 06 01 00 04
    Tue Jan 15 12:39:02 2008 : rcvd [LCP TermReq id=0x2 "MPPE required but peer negotiation failed"]
    Tue Jan 15 12:39:02 2008 : LCP terminated by peer (MPPE required but peer negotiation failed)
    Tue Jan 15 12:39:02 2008 : sent [LCP TermAck id=0x2]
    Tue Jan 15 12:39:02 2008 : L2TP received CDN
    Tue Jan 15 12:39:02 2008 : Connection terminated.
    Tue Jan 15 12:39:02 2008 : Connect time 0.1 minutes.
    Tue Jan 15 12:39:02 2008 : Sent 0 bytes, received 0 bytes.
    Tue Jan 15 12:39:02 2008 : L2TP disconnecting...
    Tue Jan 15 12:39:02 2008 : L2TP sent CDN
    Tue Jan 15 12:39:02 2008 : L2TP sent StopCCN
    Tue Jan 15 12:39:02 2008 : L2TP disconnected
    2008-01-15 12:39:02 CET       --> Client with address = 192.168.2.204 has hungup
    Hat jemand eine Lösung? Oder wenigstens eine Ahnung?

    Ich vermute dass das Hauptproblem irgendwie mit MPPE (was auch immer das sein mag) und der Zeile Unsupported protocol 'Compression Control Protocol' (0x80fd) received zusammen hängt. Aber ich komm nicht weiter. Google und diverse Foren hab ich heute schon den ganzen Vormittag gequält.
     
  13. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Schön, aber ohne irgendwelche Infos zur Konfiguration ein unsinniges Ratespiel, welches sich zu spiele nicht lohnt… Mehr Details bitte…
    Gruß Pepi
     
  14. wahnsinn

    wahnsinn Jonagold

    Dabei seit:
    23.12.06
    Beiträge:
    19
    Es ist vür mich ebenfalls ein Ratestpiel, welche Infos du wohl noch benötigst. ;)

    Der Server sowie die Rechner, von denen aus ich die Versuche starte sind beide im selben Netzwerk (192.168.2.x - Subnetz 255.255.255.0) - also die Firewall ist im Moment nicht das Problem.

    Der Server hat die feste IP 192.168.2.102 - alle anderen Clients bekommen ihre über DHCP vom Router (Bereich .130 bis .199).

    Für L2TP habe ich den Bereich .200 bis .219 eingestellt. PPP-Identifizierung über MS-CHAPv2 und IPsec-Identifizierung über einen Schlüssel (weil ich keine Ahnung habe wie ich an die Zertifikats-Datei kommen soll)

    PPTP hat den Adressbereich von .220 bis .239 und PPP-Identifizierung ebenfalls über MS-CHAPv2.

    Bei den Clientinformationen hab ich als DNS-Server den Router eingestellt und bei der Netzwerkroutendefinition die IP-Adresse 192.168.2.102, das Subnetz 255.255.255.0 und den Netzwerktyp "privat".
     
    #14 wahnsinn, 15.01.08
    Zuletzt bearbeitet: 15.01.08
  15. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Hast Du die Firewall am Server nicht aufgedreht, oder was macht Dich so sicher, daß es nicht daran liegt?

    Ist Euer DNS Server wirklich ein DNS Server oder nur der DNS Cache auf Eurem (nicht näher genannten) Router? Die Netzwerk Routendefinition ist so nicht ganz korrekt aber für den Verbindungsversuch mal irrelevant und bei einer Verbindung vom LAN ins selbe LAN sowieso völlig egal.

    Der verwendete Username und Passwort hast Du auch überprüft und als korrekt identifiziert, ebenso wie das SharedSecret? Der verwendete problematische User ist auch sicher für den VPN Dienst freigegeben?
    Gruß Pepi
     
  16. wahnsinn

    wahnsinn Jonagold

    Dabei seit:
    23.12.06
    Beiträge:
    19
    Ich meinte die Firewall im Router. An die Firewall im Server hab ich gar nicht gedacht. Passt das Admin-Tool die Firewall nicht automatisch an, wenn ich einen Dienst konfiguriere? Wo kann ich das manuell noch nachträglich schauen bzw. Korrigieren?

    Der DNS ist kein wirklicher DNS. Das ist nur der Router bei dem dann wiederum der DNS des Providers eingetragen ist. Aber daran kann's doch nicht liegen...
    Wie wäre denn eine korrekte Routendefinition?

    Mehrmals überprüft. Mehrmals neu eingegeben. Und die Log-Datei sagt ja auch, dass der User stimmt. Oder interpretiere ich diese beiden Zeilen hier falsch?
    Code:
     Tue Jan 15 12:39:02 2008 : CHAP peer authentication succeeded for albrechtk
    Tue Jan 15 12:39:02 2008 : DSAccessControl plugin: User 'albrechtk' authorized for access
    
     
  17. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Daß die Firewall im Router an den Verbindungsproblemen im LAN selten schuld ist ist mir schon klar, deswegen hab' ich extra nochmal auf die Firewall am Server hingewiesen. Nein, das Admin Tool ändern nicht eigenmächtig Deine Firewall Settings. Das wäre erstens eine gröbere Sicherheitslücke und zweitens könnte es diese Entscheidungen nicht autonom treffen. Die Einstellungen findest Du bestimmt selbst, oder muß ich Dich wirklich auf den Eintrag mit dem Namen Firewall hinweisen? Eben. :)

    Also ein DNS Cache. Das bestätigt meine Vermutung, daß der Setup vom Konzept her schleissig unvollständig ist und nur halbfertig implementiert ist. Bei den Routendefinition fehlt beispielsweise eine Public Route und bei Netzwerkangaben verwendet man üblicherweise keine Host IPs.

    Soweit ich das mit nur dem halben Log beurteilen kann müßte das passen. Hast Du noch andere VPN Client Software auf Deinem Client installiert die vielleicht an den Racoon Settings was verstellt haben könnten?
    Gruß Pepi
     
    #17 pepi, 16.01.08
    Zuletzt bearbeitet: 16.01.08

Diese Seite empfehlen