Toon posts:

[VPN WIN2003 SBS] Kan niet inloggen via VPN

Pagina: 1
Acties:
  • 242 views sinds 30-01-2008
  • Reageer

dinsdag 4 januari 2005 20:22

Acties:

Verwijderd

Topicstarter
Momenteel ben ik bezig bij iemand om 2 vestigingen middels VPN met elkaar te verbinden.

Situatieschets:
Vestiging A:
- 1 win2003 SBS
- 3 cliënt PC's
- 1 Siemens 5835 router/modem, geleverd door KPN met office DSL

De server hangt aan de router en heeft een extern IP-adres, de client PC's hangen aan de server met een switch en krijgen een intern IP van de server.

Vestiging B:
- 2 client PC's
- 1 Siemens 5835 router, geleverd door KPN met office DSL

Beide cliënt PC's hangen aan de router/modem en hebben een extern IP-adres.

Nu moeten de PC's op vestiging B in kunnen loggen op vestiging A, om op de server gebruik te maken van een bepaald programma.

Probleem:

Na een aantal keer met KPN te hebben gebeld voor een handleiding of uitleg over de router heb ik eindelijk te horen gekregen welke poorten ik opwn moest zetten voor VPN op beide routers:
Voor L2TP:
- Poort 1701
- Poort 500

Als ik dit probeer, zie ik de server wel maar is er een certificaat nodig? Ik krijg error 781. Hierover kan ik niets vinden in win2003 SBS. En MS kan hier ook niet mee helpen.

Toen heb ik voor PPTP Poort 1723 open gezet. Maar via het PPTP protocol zie ik de server niet.

Op internet heb ik verschillende artikelen gelezen over dit onderwerp en stuite ik op het feit dat je voor PPTP Protocol GRE 47 open moet zetten. KPN gebeld in die weet van niks.

Heeft iemand van jullie nog ideëen? Ik loop nu tegen het feit aan dat het zowel aan de server als aan de router kan liggen.

dinsdag 4 januari 2005 20:30

Acties:

Verwijderd

Ondersteunt je router wel pptp? Voor het GRE protocol heb je extra ondersteuning voor NAT in je router nodig.

L2TP ben ik minder in Thuis maar ik heb ooit eens gezien dat je op de Client een certificaat hiervoor moet inporteren.

[ Voor 57% gewijzigd door Verwijderd op 04-01-2005 20:32 ]

dinsdag 4 januari 2005 20:33

Acties:

Verwijderd

Topicstarter
Hmm, Dat moet ik dan in de router bekijken. Ze leveren er namelijk geen handleiding bij.

Weet je ook hoe je aan het certificaat in SBS kom? Gewoon via certificaatbeheer?

[ Voor 33% gewijzigd door Verwijderd op 04-01-2005 20:34 ]

dinsdag 4 januari 2005 20:44

Acties:
  • NBK
  • Registratie: Oktober 2002
  • Laatst online: 06-05 10:34

NBK

Weercam-Avatar

Ik heb op me server win2003 VPN draaien en heb de volgende poorten open staan:
500 UDP (IKE)
1701 UDP (VPN Gateway L2TP)
1723 TCP (VPN Gateway PPTP)
4500 UDP (IKE NAT Traversal)
Met die poorten open moet PPTP werken want dat gebruik ik zelf ook. L2TP ben ik nog niet aan toegekomen om mee te spelen.
Je hoeft de poorten alleen bij aan de 'server' kant open te zetten. Dus de kant van de machine waar je naartoe probeerd te verbinden.
Als het dan nog niet werkt heb je waarschijnlijk iets verkeerd staan in de configuratie op je server.

PC's; Home; Met 8619 units als 72e geëindigd bij DPC @ SETI-classic

dinsdag 4 januari 2005 21:07

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 10:02

StevenK

Ik zou die office-dsl routers een schop geven en twee Vigor2600+ routertjes kopen; daarmee kun je probleemloze site2site VPN verbindingen opzetten en dat werkt een heel stuk fijner dan je VPN in je server afhandelen.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

woensdag 5 januari 2005 16:35

Acties:

Verwijderd

Voor PPTP heb je poort 1723 en protocol 47 GRE nodig. Probeer eerst is ff in je interne netwerk een vpn op te zetten naar die server dan weet je in ieder geval of die goed is. Als dit goed is moet je met de router aan het werk.

[ Voor 19% gewijzigd door Verwijderd op 05-01-2005 16:35 ]

woensdag 5 januari 2005 20:35

Acties:
  • sniper20
  • Registratie: Januari 2002
  • Laatst online: 19-11-2025

sniper20

Hebben die Siemens 5835-routers geen mogelijkheid om VPN op te zetten. Server naar Server VPN zou ik niet doen. Koop anders maar twee Cisco-Adsl routers. Heb je tenminste echt professioneel spul.

woensdag 5 januari 2005 22:04

Acties:
  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 10:02

StevenK

sniper20 schreef op woensdag 05 januari 2005 @ 20:35:
Hebben die Siemens 5835-routers geen mogelijkheid om VPN op te zetten. Server naar Server VPN zou ik niet doen. Koop anders maar twee Cisco-Adsl routers. Heb je tenminste echt professioneel spul.
Heb je wel eens gezien wat een Cisco ADSL router *met* VPN ondersteuning kost ?

Zoals ik hierboven al zei: met bijv. 2 drayteks kun je dit ook doen; daarbij is het configureren van een draytek een stuk makkelijker dan je stukbijten op IOS :D

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.

donderdag 6 januari 2005 09:10

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 04 januari 2005 @ 20:30:
Ondersteunt je router wel pptp? Voor het GRE protocol heb je extra ondersteuning voor NAT in je router nodig.

L2TP ben ik minder in Thuis maar ik heb ooit eens gezien dat je op de Client een certificaat hiervoor moet inporteren.
Eenprobleempje, op de router zie ik bij NAT geen mogelijkheden voor het GRE protocol. Enig idee waar ik nog meer kan kijken?
NBK schreef op dinsdag 04 januari 2005 @ 20:44:
Ik heb op me server win2003 VPN draaien en heb de volgende poorten open staan:
500 UDP (IKE)
1701 UDP (VPN Gateway L2TP)
1723 TCP (VPN Gateway PPTP)
4500 UDP (IKE NAT Traversal)
Met die poorten open moet PPTP werken want dat gebruik ik zelf ook. L2TP ben ik nog niet aan toegekomen om mee te spelen.
Je hoeft de poorten alleen bij aan de 'server' kant open te zetten. Dus de kant van de machine waar je naartoe probeerd te verbinden.
Als het dan nog niet werkt heb je waarschijnlijk iets verkeerd staan in de configuratie op je server.
NBK, poort 4500 heb ik open gezet. Tevens kwam ik er achter dat ik UDP poort 1723 open had staan i.p.v. de TCP poort. Ik zal nu weer gaan testen of het werkt.

donderdag 6 januari 2005 10:00

Acties:

Verwijderd

Topicstarter
Ok, via pptp wordt er nu om gebruikersnaam en wachtwoord gevraagd. Echter komt hij niet verder. Fout 721, extern computer werkt niet. Iemand enig idee wat dit kan zijn?

Ik zal nu nog even de instellingen op de server nalopen.
Kan het ook nog zijn dat de router iets blokkeerd?

donderdag 6 januari 2005 10:31

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 09:46

Equator

Crew Council

#whisky #barista

Waarschijnlijk is dit omdat je datakanaal (welke om ver protocol nummer 47 GRE (Generic Routing Encapsulation) loopt) niet is verbonden.
Er zijn wel firewall's met een pptp nat helper, maar de meesten niet.

Even ter verduidelijking:
PPTP Authenticatie loopt over tcp 1723
PPTP Data loopt over GRE (Protocol 47)
..

Wat betreft Server2server VPN. Ik ben er geen tegenstander van. Dat veel mensen er problemen mee hebben is geen reden om het af te zweren.

Bijvoorbeeld een L2TP verbinding tussen servers is makkelijk te verwezelijken. Alles wat je hiervoor moet natten is udp 1701.
Over deze onbeveiligde verbinding kan je dan bijvoorbeeld een IPsec verbinding opzetten om het e.e.a wat veiliger te krijgen.

[ Voor 10% gewijzigd door Equator op 06-01-2005 10:34 ]

donderdag 6 januari 2005 10:47

Acties:

Verwijderd

Topicstarter
CyberJ schreef op donderdag 06 januari 2005 @ 10:31:
Waarschijnlijk is dit omdat je datakanaal (welke om ver protocol nummer 47 GRE (Generic Routing Encapsulation) loopt) niet is verbonden.
Er zijn wel firewall's met een pptp nat helper, maar de meesten niet.

Even ter verduidelijking:
PPTP Authenticatie loopt over tcp 1723
PPTP Data loopt over GRE (Protocol 47)
..

Wat betreft Server2server VPN. Ik ben er geen tegenstander van. Dat veel mensen er problemen mee hebben is geen reden om het af te zweren.

Bijvoorbeeld een L2TP verbinding tussen servers is makkelijk te verwezelijken. Alles wat je hiervoor moet natten is udp 1701.
Over deze onbeveiligde verbinding kan je dan bijvoorbeeld een IPsec verbinding opzetten om het e.e.a wat veiliger te krijgen.
CyberJ, het betrefd een cliënt2server verbinding. Helaas vermoed ik ook dat het aan de router ligt. Is er een mogelijkheid om zelf dat GRE protocol in NAT door te sturen?

donderdag 6 januari 2005 10:56

Acties:
  • IJnte
  • Registratie: Juni 2003
  • Laatst online: 00:04

IJnte

Mmm ik ben zelf een poos bezig geweest om een VPN op te zetten met een L2TP verbinding met IPSec (gaat tenslotte hand in hand). Je zit inderdaad te kloten met die poorten. Ik doe het door een getweaked alcatel modempie. Ik heb poort 1723(TCP) 500(UDP) en niet poort 47 maat Protocol!!! 47 doorgerout naar mijn server(Win2k server).
Zit er niet misschien ook een fout in je DNS e.d.. Als je IP configuratie niet klopt intern dan werkt het ook niet. Als het IP van je server b.v. 10.0.0.1 is, dan zal je moeten gaan prutsen met routingtabellen. Hier heb ik ook geen kaas van gegeten.

Probeer eerst eens een VPN verbinding op te bouwen met PPTP. Niet gelijk moeilijk gaan doen. Als PPTP werkt, kun je alles omzetten naar L2TP met IPSec.

Exploring the world by bicycle! cyclingsilk.wordpress.com

donderdag 6 januari 2005 11:14

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 09:46

Equator

Crew Council

#whisky #barista

CyberJ, het betrefd een cliënt2server verbinding. Helaas vermoed ik ook dat het aan de router ligt. Is er een mogelijkheid om zelf dat GRE protocol in NAT door te sturen?
Neen.
IJnte schreef op donderdag 06 januari 2005 @ 10:56:
Mmm ik ben zelf een poos bezig geweest om een VPN op te zetten met een L2TP verbinding met IPSec (gaat tenslotte hand in hand). Je zit inderdaad te kloten met die poorten. Ik doe het door een getweaked alcatel modempie. Ik heb poort 1723(TCP) 500(UDP) en niet poort 47 maat Protocol!!! 47 doorgerout naar mijn server(Win2k server).
Zit er niet misschien ook een fout in je DNS e.d.. Als je IP configuratie niet klopt intern dan werkt het ook niet. Als het IP van je server b.v. 10.0.0.1 is, dan zal je moeten gaan prutsen met routingtabellen. Hier heb ik ook geen kaas van gegeten.

Probeer eerst eens een VPN verbinding op te bouwen met PPTP. Niet gelijk moeilijk gaan doen. Als PPTP werkt, kun je alles omzetten naar L2TP met IPSec.
NOFI, maar ik denk dat jij L2TP en PPTP door elkaar haalt.

L2TP (Layer 2 Tunneling Protocol) gebruikt alleen udp 1701
PPTP (Point-to-Point Tunneling Protocol) gebruikt tcp 1723, en Het GRE protocol (IP Nummer 47)
udp 500 wordt dacht ik gebruikt voor isakmp.

donderdag 6 januari 2005 11:51

Acties:
  • IJnte
  • Registratie: Juni 2003
  • Laatst online: 00:04

IJnte

Ik meen toch echt dat euh L2TP en IPSec gebruik maken van protocol 47 hoor ;) En uit mijn hoofd gezegd is poort 500 voor IKE. Als je gebruik maakt van Kerberos als authenification dan moet je port 88 nog open zetten.
De rest heb ik openstaan voor PPTP omdat ik met beide nog lekker aan het prustsen ben.
Enkele URL's die ik ervoor gebruikt heb:
http://support.microsoft....aspx?scid=kb;en-us;257225
http://www.securityfocus.com/infocus/1526
http://www.microsoft.com/...security/casetupsteps.asp
http://www.microsoft.com/...umns/cableguy/cg0801.mspx
http://www.microsoft.com/...umns/cableguy/cg0801.mspx
Tja het is alleen gericht op win2k server. Je zult vast wel veel overeenkomsten zien ;).

Exploring the world by bicycle! cyclingsilk.wordpress.com

donderdag 6 januari 2005 12:17

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 09:46

Equator

Crew Council

#whisky #barista

Maakt mij niet uit.. wat je wilt.. maar l2tp maakt GEEN gebruik van het protocol nummer 47.
check: C:\winnt\System32\Drivers\etc\services bestand.

isakmp = IKE (Internet key Exchange)

donderdag 6 januari 2005 17:42

Acties:
  • IJnte
  • Registratie: Juni 2003
  • Laatst online: 00:04

IJnte

CyberJ schreef op donderdag 06 januari 2005 @ 12:17:
Maakt mij niet uit.. wat je wilt.. maar l2tp maakt GEEN gebruik van het protocol nummer 47.
check: C:\winnt\System32\Drivers\etc\services bestand.

isakmp = IKE (Internet key Exchange)
Thnx idd.. je hebt gelijk. Mm dat bied bij mij ook weer perspectieven. Echter is het probleem van de TS al opgelost? Denk het nog niet he :?

Exploring the world by bicycle! cyclingsilk.wordpress.com

donderdag 6 januari 2005 19:04

Acties:

Verwijderd

Topicstarter
Thnx idd.. je hebt gelijk. Mm dat bied bij mij ook weer perspectieven. Echter is het probleem van de TS al opgelost? Denk het nog niet he :?
Nope, ben nog bezig. Die routers van KPN zullen nooit mijn keuze worden.
Maar 2 vragen, als ik in de router in NAT alles voorwaard naar de server werkt dat dan? (loop ik volgens mij alleen meer risico aangezien er geen firewall zit op de server) En zo ja, moet dat dan ook bij de cliënten?

Morgen ga ik dat certificaten service maar eens installeren op de server, stond er nog niet op en morgenochtend is hij voorderest niet nodig. En dan maar gaan proberen om via L2TP een connectie te maken op de server.

donderdag 6 januari 2005 21:04

Acties:
  • sniper20
  • Registratie: Januari 2002
  • Laatst online: 19-11-2025

sniper20

Verwijderd schreef op donderdag 06 januari 2005 @ 19:04:
[...]


Nope, ben nog bezig. Die routers van KPN zullen nooit mijn keuze worden.
Maar 2 vragen, als ik in de router in NAT alles voorwaard naar de server werkt dat dan? (loop ik volgens mij alleen meer risico aangezien er geen firewall zit op de server) En zo ja, moet dat dan ook bij de cliënten?
Alles forwarden naar de server zou ik nooit doen. Loop je veel teveel risico. Je kunt het wel even doen om te testen waar het probleem zit.

donderdag 6 januari 2005 21:29

Acties:

Verwijderd

Verwijderd schreef op dinsdag 04 januari 2005 @ 20:22:

Vestiging A:
- 1 win2003 SBS

De server hangt aan de router en heeft een extern IP-adres

Vestiging B:
- 2 client PC's

Beide cliënt PC's hangen aan de router/modem en hebben een extern IP-adres.
De twee client Pc's en de server hebben een EXTERN IP adres en toch wordt er hier de hele tijd over NAT gesproken. De routers moeten alleen forwarden en hoeven in deze configuratie niets te NAT-ten.

[ Voor 3% gewijzigd door Verwijderd op 06-01-2005 21:44 ]

vrijdag 7 januari 2005 13:46

Acties:

Verwijderd

Topicstarter
net alles voor L2TP in orde gemaakt. PPTP werkt niet, denk dat de router geen GRE Protocol ondersteund.

De installatie van certificaten is goed gegaan, echter komt er nu een time out error na het controleren van de certificaten.

Alle benodigde poorten (poort 1701 en 500 UDP) staan aan weerzijden open. Heeft iemand enig idee waarop hij nu vastloopt?

[ Voor 7% gewijzigd door Verwijderd op 07-01-2005 13:51 ]

vrijdag 7 januari 2005 14:15

Acties:

Verwijderd

Ik zit net de specs van je dslmodem te bekijken, maar deze kan ook als VPNserver werken. Dus waarom maakt je het jezelf zo moeilijk?

L2TP/IPSec gebruikt Protocol 50
http://support.microsoft.com/kb/233256

[ Voor 15% gewijzigd door Verwijderd op 07-01-2005 14:37 ]

vrijdag 7 januari 2005 14:49

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 07 januari 2005 @ 14:15:
Ik zit net de specs van je dslmodem te bekijken, maar deze kan ook als VPNserver werken. Dus waarom maakt je het jezelf zo moeilijk?
Ik heb KPN aan de telefoon gehad hierover en die adviseerde uiteindelijk om desbetreffende poorten open te zetten. Er zit ook geen handleiding bij die routers vandaar dat ik dit gedaan heb.


Momenteel zit ik alleen nog met een beveiligingsfout, Fout 789 en een time out tijdens onderhandelen. Deze fouten wisselen elkaar af.

vrijdag 7 januari 2005 15:22

Acties:

Verwijderd

even voor de duidelijkheid: Je wilt dat clients op locatie 2 toegang hebben tot de server op locatie 1?

Volgens mij kun je dan het beste een vpntunnel maken tussen de beide DSLrouters.

Locatie1----DSL1---vpn----DSL2---Locatie2.

Kheb de handleiding bijna gevonden van je DSLrouter: Tis idd niet 123 te vinden. :-)

EDIT: Hopelijk werkt de link: http://kb.efficient.com/display/1n/kb/article.asp?aid=45909 (NLhandleiding)

Deze is misschien ook handig als je toch je server als VPNserver wil gebruiken:

Completing VPN Connection through Firewall in a Microsoft Networking Environment

Configuring NAT to Allow PPTP Access

Configuring VPN through Firewall (Windows)

[ Voor 48% gewijzigd door Verwijderd op 07-01-2005 15:29 ]

vrijdag 7 januari 2005 22:34

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op vrijdag 07 januari 2005 @ 15:22:
even voor de duidelijkheid: Je wilt dat clients op locatie 2 toegang hebben tot de server op locatie 1?

Volgens mij kun je dan het beste een vpntunnel maken tussen de beide DSLrouters.

Locatie1----DSL1---vpn----DSL2---Locatie2.

Kheb de handleiding bijna gevonden van je DSLrouter: Tis idd niet 123 te vinden. :-)

EDIT: Hopelijk werkt de link: http://kb.efficient.com/display/1n/kb/article.asp?aid=45909 (NLhandleiding)

Deze is misschien ook handig als je toch je server als VPNserver wil gebruiken:

Completing VPN Connection through Firewall in a Microsoft Networking Environment

Configuring NAT to Allow PPTP Access

Configuring VPN through Firewall (Windows)
R01X0, van het weekend en begin volgende week zal ik dit maar eens doorlezen. Helaas kan ik voor donderdag niks op locatie doen. Dus donderdag ga ik weer testen.

woensdag 12 januari 2005 09:50

Acties:

Verwijderd

Topicstarter
Ik heb de handleiding doorgelezen, was zeer nuttig.

Ik heb een vraag, de cliënt pc's moeten connecten op de server om een toepassing te runnen die op de server staat. Kan dat ook als je een VPN verbinding maak tussen de 2 routers? Dit omdat de cliënt dan geen intern (netwerk) IP-adres krijgt. En de toepassing alleen uitgevoerd kan worden op een PC die op het intern netwerk staat.

[ Voor 14% gewijzigd door Verwijderd op 12-01-2005 09:52 ]

woensdag 12 januari 2005 10:30

Acties:

Verwijderd

Topicstarter
Ik heb de NAT-passthrough settings van de routers enabled. Dit omdat er dan multiple VPN verbindingen mogelijk zijn, aldus de handleiding.

Bij het testen van PTPP, maakt de cliënt wel verbinding maar bij het verifieren van Username / password krijg ik de fout 721 met de melding "De externe computer reageerd niet".
Ik ben wezen testen met een foutieve username maar dan krijg ik dezelfde fout.

Bij het testen van de L2TP, is de PC bezig met verbinding maken en krijg ikde ene keer fout 789 "De L2TP-verbindingspoging is mislukt omdat de beveiligingslaag een verwerkingslaag heeft vastgesteld tijdens de eerste onderhandelingen met de externe computer.". En de andere keer fout 792 "De L2TP verbindingspoging is mislukt omdat tijdens de onderhandeling een time-out is opgetreden"
Voordat ik deze meldingen krijg duurd het ongeveer 1 minuut.

Heeft iemand enig idee van hoe en wat?

donderdag 13 januari 2005 09:04

Acties:

Verwijderd

Topicstarter
Ondertussen getest met een laptop 1 op 1, dus zonder de siemens router. Dan kan ik wel via PTPP inloggen. Via L2TP werkt helaas niet, dit ivm een beveiligingsfout. Wel certificaten voor L2TP op de cliënt PC geïnstalleerd maar deze pakt de cliënt PC niet.

Dus ben nu bezig met die router, als iemand suggesties heeft dan zijn die natuurlijk weer welkom.

vrijdag 14 januari 2005 11:07

Acties:

Verwijderd

Topicstarter
Gister de firewall maar eens uitgezet van de router en de PTPP verbinding werkte. Ligt dus toch aan de router. Ookal zegt KPN dat dat niet kan......

We zijn nu aan het kijken wat de vervolg stappen zijn. We denken erover om toch een andere router neer te zetten.

Thx voor alle info.

zaterdag 15 januari 2005 00:56

Acties:

Verwijderd

Ho! Nog even geen andere router neerzetten!!!

Ik ben vanmiddag toevallig bij een klant met precies hetzelfde bezig geweest, hebben ook een officedsl abo.
Mij is het gelukt om via de 5835 een VPN met pptp op te zetten. Ook even zitten stoeien.
Ik heb de maxsec script v/d firewall aangepast met een stel commando's (remote filter)
Het script staat bij m'n klant, als ik er weer kom kan ik het wel even posten hier.
Maar volgens mij moet het ook gewoon mogelijk zijn om met l2tp op de router te configureren. Dan dient de router als eindpunt. Hier wil ik volgende week nog even mee gaan stoeien.

Gr,
Hullie

[ Voor 20% gewijzigd door Verwijderd op 15-01-2005 00:58 ]

Pagina: 1
Reageer