[Draytek] VPN verbinding vanuit Draytek naar Win SBS 2008

donderdag 11 februari 2016 18:07

Acties:

Topicstarter

Ik ben me hoofd al aardig aan het breken op deze kwestie en kan het niet uitstaan dat ik er al vele uren mee bezig ben.

Scenario:
Klant heeft een Windows 2008 SBS server met daarop de Routing and Remote Access rol draaien, die zowel PPTP als L2TP/IPSec VPN's toestaat. Dit werkt prima wanneer ik verbind vanaf mijn Windows 7 client. Dan geen enkel probleem. Zowel PPTP als L2TP VPN werkt prima dan.
Vanaf een branch office wil ik een Draytek router plaatsen en die een LAN2LAN VPN te laten maken naar de Windows 2008 SBS VPN server.
Aan de kant van de Windows 2008 SBS server staat een Zyxel USG 100 router/firewall.
Voordat ik deze nieuwe Draytek heb gekocht dacht ik dit eerst maar even te testen.

Echter: zodra ik een VPN verbinding wil opzetten als test naar deze server vanaf mijn eigen Draytek 2950 of een Draytek 2920 bij een klant (beide laatste firmware) krijg ik met geen mogelijkheid verbinding.

Ook wanneeer ik de Draytek een VPN laat maken naar bijv een andere server van een andere klant krijg ik geen verbinding.

code:

Op de Draytek maak ik een LAN to LAN verbinding profiel, ik kies daarbij:
-Enable this profile
-VPN Dial-Out Through: WAN1 only
-Call direction: Dial-out]
-Always on: aangevinkt
onder Dial-Out settings:
-Type of server I am calling: PPTP (maar ook L2TP with IPSec policy werkt niet)
-Server IP/host name for VPN: publieke host van VPN server
-Username & password van een VPN user
-PPP authentication: PAP/CHAP/MS-CHAP/MS-CHAP v2
-VJ Compression: AAN
-Dial-IN settings staan default
onder TCP/IP Network settings
-Remote Network IP: 192.168.2.0 (dit is het interne subnet van het remote netwerk)
-Remote Network mask: 255.255.255.0
-Local Network IP: 192.168.24.254 (dit is het IP van de Draytek router)
-Local Network mask: 255.255.255.0
-RIP direction: disable
From first subnet to remote network, you have to do: Route

Draytek support al gebeld maar kom ik ook niet mee verder.
De VPN user waarmee ik nu test staat in Active Directory onder Dial-In op ALLOW, Normaal gaat dit natuurlijk via de Network Policy Server (NPS).

Iemand een idee? Of een instelling die ik zou moeten nalopen? $_/-\o_$

Nog wat logging op zowel de server als Draytek client:

code:

 2016-02-11 18:21:47  Destroy pptp connection ifno: 12, socket: 22 
 2016-02-11 18:21:46  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x08 Magic Number: 0x1 ## 
 2016-02-11 18:21:43  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x07 Magic Number: 0x1 ## 
 2016-02-11 18:21:40  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x06 Magic Number: 0x1 ## 
 2016-02-11 18:21:37  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x05 Magic Number: 0x1 ## 
 2016-02-11 18:21:34  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x04 Magic Number: 0x1 ## 
 2016-02-11 18:21:31  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x03 Magic Number: 0x1 ## 
 2016-02-11 18:21:28  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x02 Magic Number: 0x1 ## 
 2016-02-11 18:21:25  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x01 Magic Number: 0x1 ## 
 2016-02-11 18:21:22  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x00 Magic Number: 0x1 ## 
 2016-02-11 18:21:22  PPP Start (VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 10) 
 2016-02-11 18:21:22  Dialing Node1 (VPNNaam) :  
 2016-02-11 18:21:19  PPP Closed : LCP Time-out () 
 2016-02-11 18:21:17  [L2L][DOWN][PPTP][@1:VPNNaam] 
 2016-02-11 18:21:17  PPP Drop VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 12 
 2016-02-11 18:21:16  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x0C Magic Number: 0x1 ## 
 2016-02-11 18:21:13  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x0B Magic Number: 0x1 ## 
 2016-02-11 18:21:10  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x0A Magic Number: 0x1 ## 
 2016-02-11 18:21:07  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x09 Magic Number: 0x1 ## 
 2016-02-11 18:21:04  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x08 Magic Number: 0x1 ## 
 2016-02-11 18:21:01  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x07 Magic Number: 0x1 ## 
 2016-02-11 18:21:00  Destroy pptp connection ifno: 11, socket: 21 
 2016-02-11 18:20:58  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x06 Magic Number: 0x1 ## 
 2016-02-11 18:20:55  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x05 Magic Number: 0x1 ## 
 2016-02-11 18:20:52  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x04 Magic Number: 0x1 ## 
 2016-02-11 18:20:49  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x03 Magic Number: 0x1 ## 
 2016-02-11 18:20:46  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x02 Magic Number: 0x1 ## 
 2016-02-11 18:20:43  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x01 Magic Number: 0x1 ## 
 2016-02-11 18:20:43  Destroy pptp connection ifno: 10, socket: 18 
 2016-02-11 18:20:43  PPP Closed : LCP Time-out () 
 2016-02-11 18:20:41  PPTP (VPN-2, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x00 Magic Number: 0x1 ## 
 2016-02-11 18:20:41  PPP Start (VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 12) 
 2016-02-11 18:20:41  Dialing Node1 (VPNNaam) :  
 2016-02-11 18:20:41  IsVirtualInterfaceIdle[11] IDLE, but state NOT IDLE, waiting to destroy ??? 0_0_0_5_0_0 
 2016-02-11 18:20:41  IsVirtualInterfaceIdle[10] IDLE, but state NOT IDLE, waiting to destroy ??? 0_1_0_5_0_0 
 2016-02-11 18:20:41  [L2L][DOWN][PPTP][@1:VPNNaam] 
 2016-02-11 18:20:41  PPP Drop VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 10 
 2016-02-11 18:20:41  PPP Closed : Hang Up (VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 10) 
 2016-02-11 18:20:41  DropVPN() VPN : L2L Dial-out, Profile index = 1, Name = VPNNaam, ifno = 10 
 2016-02-11 18:20:41  Re-dial L2L[1], ifno: 10, status: 3 from WEB... 
 2016-02-11 18:20:40  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x02 Magic Number: 0x1 ## 
 2016-02-11 18:20:37  PPTP (VPN-0, Gebruikersnaam) ==> Protocol:LCP(c021) ConfReq Identifier:0x01 Magic Number: 0x1 ##

In de logging op de Zyxel firewall aan de kant van de server zie ik netjes dat verkeer van de client naar poort 1723 wordt doorgestuurd naar de server.
En in de Windows 2008 SBS firewall log zie ik:

code:

1	2016-02-11 18:26:03 ALLOW TCP [[IP van client]] 192.168.6.2 8581 1723 0 - 0 0 0 - - - RECEIVE

[ Voor 52% gewijzigd door Urk op 11-02-2016 18:27 ]

zaterdag 13 februari 2016 03:18

Acties:

Urk

Topicstarter

Kickje

zaterdag 13 februari 2016 04:18

Acties:

johnkeates

Kan je niet beter een veilig protocol gebruiken? PPTP is nou niet bepaald veilig, en het gebruik van GRE maakt het ook niet bepaald handig. De time-outs die je krijgt suggereren dat er simpelweg geen communicatie is. Kijk daar eens naar, in beide richten aan beide kanten. Wat packet captures zouden ook handig zijn.

zondag 14 februari 2016 17:28

Acties:

Urk

Topicstarter

Het is nu wel gelukt door een IPSec tunnel tussen beide routers actief te krijgen, dat werkt wel. PPTP was puur en alleen even om te testen, en dat zou simpelweg zeker gewoon moeten werken.
De vraag blijft dus min of meer betreft PPTP.

Vraag

Alle reacties