IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 28.04.2017, 16:02

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 11 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 22.01.2017, 18:27 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Hallo Zusammen,

Ich habe hinter dem Cop einen Windows VPN RAS Server stehen, den ich jetzt Umgestellt habe von PPTP auf L2TP mit IPSEC. Das war längst überfällig, ich weiss.

Wenn ich aus dem grünen Lan, also lokalen Netzwerk versuche eine VPN herzustellen, klappt alles. Wenn ich jedoch versuche aus dem Internet eine VPN herzustellen, dann klappt es nicht. PPTP über 1723 und GRE klappt.

Ich habe versucht, sowohl das über externen Zugang zu lösen als auch über Weiterleitung.

Hierbei habe ich UDP 500 und 4500 benutzt. VPN im Cop stehtcauf off.

Hat noch jemand einen Rat für mich?

Danke...


Nach oben
   
BeitragVerfasst: 22.01.2017, 21:30 
Offline
Site-Moderator
Site-Moderator
Benutzeravatar

Registriert: 18.12.2007
Beiträge: 3314
Wohnort: Im Norden bei mir zu Hause
:arrow: http://www.serverhowto.de/Teil-6-Abschn ... .50.0.html
ESP vergessen, weiterzuleiten.

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 22.01.2017, 21:49 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Wo finde ich ESP denn für Weiterleitung oder bin ich blind?


Nach oben
   
BeitragVerfasst: 23.01.2017, 22:24 
Offline
Site-Moderator
Site-Moderator
Benutzeravatar

Registriert: 18.12.2007
Beiträge: 3314
Wohnort: Im Norden bei mir zu Hause
Unter "Firewall"->"Dienste" einen benutzerdefinierten Dienst mit ESP anlegen, diesen dann weiterleiten.
Bild

Bild

Aber warum lässt du den VPN-Tunnel nicht gleich auf dem Cop enden?

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 24.01.2017, 07:57 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Hallo Edelweis,

ich muss mich bei dir entschuldigen! Der Grund warum ich das nicht gefunden habe ist, dass ich noch den alten Cop am laufen habe, da geht das ja nicht sorry oder doch?

Ich werde mich jetzt mit dem Cop 2 auseinandersetzen und melde mich dann wieder sorry!

Der Grund warum der Cop nicht die VPN macht ist, dass diverse Einstellungen VPN-Profile usw. über den Windows DC bei der Benutzereinwahl ausgeführt werden! Ich würde dass bestimmt auch den Cop machen lassen können, würde aber so ein Mischmasch werden und schon habe ich ggf. eine Fehlerquelle mehr.

Danke trotzdem....


Nach oben
   
BeitragVerfasst: 27.01.2017, 09:12 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Hallo Edelweis,

ich habe jetzt den Cop2 am laufen und Dienst ESP, so wie NATT. für Port 4500 UDP erstellt, Port 500 war ja bereits als Dienst enthalten. Dann so wie in deinem Beispiel die Weitel. konfig! weitergeleitet.

Jedoch komme ich immer noch nicht durch! Irgendwas blockt immer noch im COP!

Folgende Weiterl sind jetzt drin:

Bild

Verbindung im Green-Lan Client zum Server läuft!

Hat jemand noch eine Idee?


Nach oben
   
BeitragVerfasst: 27.01.2017, 09:27 
Offline
Site-Moderator
Site-Moderator
Benutzeravatar

Registriert: 18.12.2007
Beiträge: 3314
Wohnort: Im Norden bei mir zu Hause
zeroblue2005 hat geschrieben:
Jedoch komme ich immer noch nicht durch! Irgendwas blockt immer noch im COP!
Prüfe dein Firewall-Log, dort sollten die geblockten Zugriffe drin sein.
zeroblue2005 hat geschrieben:
Bild
Nimm die Quell-Ports heraus.

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 27.01.2017, 10:08 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Hallo Edelweis,

ich habe die Verbindung um 9:47 gestartet u. die Quellports entfernt in den LOGS steht das:

09:47:00 RED DROP wan-1 IGMP 192.168.177.1 60:e3:27:5e:b1:4e 224.0.0.1

Vielleicht kurz zur Erklärung:

Der Cop steht hinter einer anderer NAT und die Red-Lan ist Statische Adresse. Da ich schon einen IP-COp 1 am laufen habe, habe ich den COP mit neuen Hostnamen und anderen IP-Adressen daneben gestellt um einen Testlauf zu machen!

Für den Test ist das jetzt aber nicht wichtig, da ich die VPN Testverbindung aus den Netzwerk vor dem COP starte:

IINTERNET <<<>>> NAT 1 /Lan 177.1 Gateway <<<>>> LAN-Red Statisch 177.201 IP-COP2 / LAN Green 178.0 <<<>>> MS-Server 2008 R2 (VPN)

Also ich spreche den COP nicht aus den Internet an sondern dem LAN mit IP-Adresse beim VPN Aufbau!

Ich kann aber auch nichts in den LOGS des MS Server finden, es ist so, als wenn die Weiterl. nicht da wären...


Nach oben
   
BeitragVerfasst: 27.01.2017, 10:18 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Bitte mal nicht weiter suchen, ich glaube der Fehler liegt ganz woanders...


Nach oben
   
BeitragVerfasst: 27.01.2017, 11:17 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
Hallo Zusammen,

ich habe jetzt noch mal ein paar Tests gemacht, ob ggf. eine andere Quelle das Problem ist, wie Switch etc. war es aber nicht! Solange ich den Cop umgehe, egal mit welchen Client und System klappt die Verbindung 1A! Sobald der Cop dazwischen steht, ist schluss mit lustig!

Hier noch mal meine Config im Cop:
(Die Freigabe Apache und VPN GRE und TCP 1723 sind nur zu Testzwecken drin, um zu prüfen ob es überhaupt Weiterl. gibt die laufen. PPTP und HTTP laufen ohne Probleme!

Bild

Bild

Ich bin mit meinem Latein am Ende...


Nach oben
   
BeitragVerfasst: 30.01.2017, 17:40 
Offline
Chief Inspector
Themenstarter
Chief Inspector

Registriert: 12.09.2005
Beiträge: 122
So hier die Lösung für das Problem, dass eigentlich kein Cop Problem ist. Der Cop macht alles richtig! Das Problem ist Windows bzw. der Client!

Der vollständigkeitshalber noch mal die Ports die Weitergeleitet werden müssen:

UDP 500
UDP 4500
ESP
TCP 1701

Dann in der Windows Registry folgenden Eintrag erzeugen und Windows neu starten:

Code:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
den Schlüssel AssumeUDPEncapsulationContextOnSendRule als DWORD 32 anlegen.

Dann doppelt anklicken und den Wert 2 eingeben. Reboot nicht vergessen.

Bitte nicht den selben Fehler machen wie ich und versuchen aus dem lokalen-Netz raus ins Internet die Verbindung aufzubauen, dass klappt nicht...

Komischerweise haben Linux basierte Geräte keine Probleme... das hat immer wunderbar geklappt (Android) usw. so lange man auch hier nicht versucht aus dem lokalen-Netz raus ins Internet die Verbindung aufzubauen, dass klappt nicht...


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 11 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: doppelfischkopp und 0 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de