[W2K3ent] RRAS met L2TP connect niet, poort 1701 ook TCP?

Ik heb zojuist een RRAS server geconfigureerd die L2TP/IPSec verbindingen moet gaan accepteren.
voor de testopstelling heb ik authenticatie nog op pap laten staan en encryptie op none.

nu wil ik met een client inloggen op de server. Nu geeft die direct de error "789: The L2TP connection attempt failed because the security layer encounterd a processing error during initial negotiations with the remote computer"

Ook in de radius (IAS) wordt geen authorisatiepoging gelogged.

Ik denk daarom dat het probleem op Layer 3 ligt (client en RRAS server zitten in het zelfdde subnet en de server kan wel gepingd worden)

Ik heb daarom een netstat -an gedaan, en poort 1701 luistert alleen naar UDP.

naar mijn weten heeft L2TP ook TCP1701 nodig, maar ik weet dit niet zeker, kan het zijn dat om de een of andere reden mijn RRAS niet naar TCP1701 luistert of is dat niet nodig?

Rolfie schreef op vrijdag 18 maart 2005 @ 15:06:
Ik zou je probleem eerder zoeken in de certificaten. heb je die goed geconfigueerd, of maak je gebruik van Preshared keys?

Configuring the ISA Server Firewall/VPN Server to Support L2TP/IPSec NAT Traversal Client Connections

Virtual Private Networking


Wat heb je zelf al gedaan om het probleem te lokaliseren. Je heeft een beetje erg weinig informatie.

Nou, ik heb het al vrij precies gelokaliseerd. Ik kan wel pingen, (l3 is dus ok) maar geen L2tp VPN opzetten. (PPTP gaat wel goed). Allebei de kanten hebben de zelfde IPSec preshared key. Echter zie ik niets in de logging van de radius, dus ik neem aan dat de tunnel in negotiation blijft hangen, omdat ik in de radius zou zien als die in de authentication zou komen.

Maar aangezien er vrij weinig te configureren is in de negitiation fase, lijkt het me niet dat hier het probleem zit.

het is een windows client en de server is RRAS. daar kun je L2TP niet configureren zonder IPSec...

CyberJ schreef op maandag 21 maart 2005 @ 08:25:
Die loopt dan toch door je tunnel.. En daarvoor hoef je IMO niet meer een poort open te zetten.

* JackBol werkt nooit met IPsec
Wij gebruiken een protocol van een partner van ons. Zij hebben EAP-TLS over L2tp gerealiseerd en dat werkt fantastisch. De basistunnel loopt over l2tp en wij mappen enkel 1701 naar binnen.

EAP-TLS is een authenticatiemethode, dat heeft niets met IPSec te maken, die de encryptie van het verkeer regelt.

maar verder:

op de server draait geen firewall, alle poorten zijn bereikbaar. zowel 1701 als 500.
Ik ben misschien op het spoor waar het aan ligt, maar dat ben ik nu aan het testen.

CyberJ schreef op maandag 21 maart 2005 @ 13:38:
[...]

Ik ben volledig op de hoogte wat en waarvoor EAP-TLS is. Das mijn werk.

Ik vergat echter te melden dat er binnen hun implementatie voor de versleuteling AES256 bit encryptie gebruikt kan worden en voor de compressie Stack Compression.
Dit performd dusdanig goed dat wij de mogelijkheid voor IPSec nooit gebruiken.

kan U mij vertellen welk product U daarvoor gebruikt?

CyberJ schreef op maandag 21 maart 2005 @ 15:08:
Jep, maar alleen als je me nooit meer U noemt.

http://www.ncp.de -> Products -> Secure Server.

Reseller: http://www.future-it.nl/ncp.htm

Leuk product, echter, maak je nog steeds gebruik van IPSec, echter nu met AES-256 encryptie, en heb je dus nog steeds je IKE.