[2003SBS/Cisco 877] Externe client geen VPN - Netwerken

maandag 27 maart 2006 14:38

Acties:

Lekker belangrijk allemaal

Topicstarter

Ik heb hier een SBS2003 server die via een Cisco 877 aan het internet hangt (adsl dus). De client draait XP sp2.
Ik heb L2TP ingesteld met een preshared key, als ik dan een connectie maakt binnen het domein, dus een lokale pc, welke in het domein hangt, dan gaat het goed en heb ik binnen een paar tellen een verbinding tot stand gebracht.
Als ik vervolgens met de externe client connectie probeer te maken, krijg ik de melding: Error 781, geen certificaten gevonden (oid, maar dit idee). Deze melding is bijna instantaan.
De server heeft 2 nics, waarvan 1 speciaal voor vpn, beide in hetzelfde subnet, 192.168.1.3 en 192.168.1.5, de .5 is voor VPN en de .3 voor het gewone verkeer (lokaal netwerk en internet e.d.)

Wat heb ik al geprobeerd:
Easy VPN server instellen op de router
De poorten 1701, 500, 4500 (udp) forwarden naar de vpn server.
Klooien met de instellingen

(zoals verschillende encryptie niveaus, naast udp ook tcp forwarden, dat soort dingen)

Iemand een idee hoe dit op te lossen?

ps. ik maak gebruik van de SDM

[ Voor 7% gewijzigd door nhimf op 27-03-2006 14:41 ]

Ik stink niet, ik ruik gewoon anders

woensdag 29 maart 2006 11:50

Acties:

Mikey!

Begrijp ik het goed? Wil je een VPN Client connectie vanaf internet opzetten naar een SBS2003 server, of is het de bedoeling dat je een VPN Client connectie wil maken met de 877?

Zou je dit even kunnen verduidelijken?

Ik heb trouwens nog wat informatie kunnen vinden via Google, hieronder staat een paar links:
Link 1
Link 2
Link 3

Alle zoekresultaten kan je hier vinden

Ik zag dat je het probleem ook bij Cisco's NetPro had aangekaart

[ Voor 132% gewijzigd door Mikey! op 29-03-2006 12:03 ]

woensdag 29 maart 2006 12:56

Acties:

Equator

Crew Council

#whisky #barista

Ten eerste is het niet aan te raden om 2 netwerkkaarten in het zelfde subnet te hangen. De server weet dan niet welke weg hij moet kiezen. (Lees: hij kan daarover niet routeren..)

Verder begrijp ik dat je een MIcrosoft VPN wilt bouwen met de MS Client: Dus dat is of pptp of L2TP over IPSec

Voor PPTP dien je de PPTP poorten door te zetten naar de server (Ik weet even neit uit mijn hoofd welke poort dat is, ik meen udp 1723 en GRE (IP Number 47).

Voor L2TP over IPSec hoef je alleen maar de IP sec poorten open te zetten, (udp 500 & 4500) naar de server. Als het goed is hoef je dan geen L2TP (udp 1701) open te zetten. Maar dat is niet helemaal zeker van mijn kant.

Ik denk overigens dat je probleem al opgelost is als je je netwerkkaarten aanpast.

woensdag 29 maart 2006 14:11

Acties:

thamoosio

Ja-haaaaaa

wellicht dat dit helpt?
http://support.microsoft....spx?scid=kb;en-us;Q247231

Bij voorbaat sorry..

woensdag 29 maart 2006 20:19

Acties:

ChaserBoZ_

CyberJ schreef op woensdag 29 maart 2006 @ 12:56:
Ten eerste is het niet aan te raden om 2 netwerkkaarten in het zelfde subnet te hangen. De server weet dan niet welke weg hij moet kiezen. (Lees: hij kan daarover niet routeren..)

Verder begrijp ik dat je een MIcrosoft VPN wilt bouwen met de MS Client: Dus dat is of pptp of L2TP over IPSec

Voor PPTP dien je de PPTP poorten door te zetten naar de server (Ik weet even neit uit mijn hoofd welke poort dat is, ik meen udp 1723 en GRE (IP Number 47).

Voor L2TP over IPSec hoef je alleen maar de IP sec poorten open te zetten, (udp 500 & 4500) naar de server. Als het goed is hoef je dan geen L2TP (udp 1701) open te zetten. Maar dat is niet helemaal zeker van mijn kant.

Ik denk overigens dat je probleem al opgelost is als je je netwerkkaarten aanpast.

PPTP is 1723 inderdaad, de Cisco opent daarbij zelf de benodigde GRE poort.

'Maar het heeft altijd zo gewerkt . . . . . . '

donderdag 30 maart 2006 09:52

Acties:

nhimf

Lekker belangrijk allemaal

Topicstarter

Sorry dat ik later reageer, ik ga deze dingen even bekijken allemaal en dan reageer ik later wel weer.

Het idee is dus l2tp/ipsec met preshared key.
Het probleem van de certificaten had ik al opgelost, ik was (hoe dom kan je zijn) vergeten de preshared key in te stellen op de client. Waarschijnlijk al es gedaan maar later de verbinding weggegooit en vergeten opnieuw in te stellen (met in het achterhoofd het idee dat ik het al had gedaan).

Waar ik nu mee zit is dat ik telkens de 792 melding krijg (time out bij onderhandelen over beveiliging) en heel soms een 789. Ook als ik de "Easy" VPN server op de router instel.

@ Mikey, jup

Maar die site is zo vies baggertraag dat ik het liever hie doe

Ik heb in elk geval de poorten 500, 1791, 4500 geforwarded.

Ik stink niet, ik ruik gewoon anders

vrijdag 31 maart 2006 12:11

Acties:

Mikey!

nhimf schreef op donderdag 30 maart 2006 @ 09:52:
Ook als ik de "Easy" VPN server op de router instel.

Ik zou juist het Easy VPN spul op de router weghalen. Er is een grote kans dat de router nu het VPN gebeuren (gedeeltelijk) opvangt ipv het doorstuurt naar de SBS2003. De router heeft in deze situatie geen echte meetellende functie, behalve dan dat hij de poorten forward naar de server.

Ik heb zoiets al een meegemaakt met remote beheer naar een PIX506. De situatie bestond uit een ADSLrouter (Cisco 877) met 1 IP adres en daarachter een PIX. De PIX moest op afstand benaderbaar zijn dmv SSH, dus de router forwarde poortje 22 naar de PIX. Tegelijkertijd was de router ook geconfigureerd om bereikbaar te zijn via SSH, deze combinatie vloekte ontiegelijk.

Waar ik nu mee zit is dat ik telkens de 792 melding krijg (time out bij onderhandelen over beveiliging) en heel soms een 789. Ook als ik de "Easy" VPN server op de router instel.

Dit heeft te maken met een verkeerde key op de server of op de client. Zie hier en hier meer informatie erover

@ Mikey, jup Maar die site is zo vies baggertraag dat ik het liever hie doe

Het kan op z'n tijd wel eens traag zijn ja

Ik heb in elk geval de poorten 500, 1791, 4500 geforwarded.

Dat is in ieder geval goed!

[ Voor 18% gewijzigd door Mikey! op 31-03-2006 12:15 ]