Securepoint Support Forum

Hallo, Forum,

ich habe Probleme durch unsere 2007nx p6 eine VPN Verbindung per L2TP-Client zu irgendeiner Securepoint 2006nx aufzubauen.

L2TP-Client -> durch 2006nx -> zu 2006nx funktioniert einwandfrei.
L2TP-Client -> durch 2007nx -> zu 2007nx funktioniert einwandfrei.

L2TP-Client -> durch 2007nx -> zu 2006nx geht nicht.

Ist dies ein bekanntes Problem oder sind mehr Informationen notwendig?
(NAT-T auf der 2007nx ist aktiv auf der 2006er denke ich auch)

achim

sehen Sie denn irgendwelche verworfenen Pakete im Log?

ja und ich nehme an, dass dies bei jeder 2006er der selbe fall ist.
(getestet habe ich es nur zwei)

L2TP-Client -> durch 2007nx -> zu 2006nx:
2007nx: keine geblockten Pakete zu sehen
2006nx: von zu src-port: 1701 dst-port: 1701 drop

Mir scheint es so als ob keine verschlüsselung bei der 2006er ankommt, sondern nur die l2tp anfrage. Es erscheinen im Log der 2006er auch keine "ipsec"-Pakete (4500, 500, esp)

Im Log der 2007er lässt sich nichts erkennen.
Könnte die 2007er die ipsec-pakete abfangen? Wäre für mich unlogisch, da
L2TP-Client -> durch 2007nx -> zu 2007nx einwandfrei funktioniert.

achim

Wahrscheinlich versucht der L2TP-Client gar keinen IPSec-Tunnel aufzubauen.
Werden Zertifikate oder ein PSK verwendet?
Ist ein IPSec-Client installiert?

Es werden PSK's verwendet.

>> Wahrscheinlich versucht der L2TP-Client gar keinen IPSec-Tunnel aufzubauen.
Das Gefühl habe ich auch. Nur existiert dieses Problem nur bei dieser Konstellation:

L2TP-Client -> durch 2007nx -> zu 2006nx

mit dem selben Client funktioniert dies:
L2TP-Client -> durch 2007nx -> zu 2007nx

und dies:

L2TP-Client -> xy Router -> zu 2006nx

Es ist egal, welcher Client hier

L2TP-Client -> durch 2007nx -> zu 2006nx verwendet wird. Es funktioniert nicht.

Daher suche ich das Problem nicht am Client, sondern denke, dass die 2007nx "Schuld" hat. ..

Wäre die 2007 "schuld", müsste man auf dieser verworfene Pakete sehen. Im Regelwerk der 2007 muss prinzipiell nur port 500/udp und 4500/udp freigeschaltet sein.
Durch 2007 zu 2007 kann auch ohne IPSec-Tunnel funktionieren.

ok, ich hab weiter getestet und festgestellt, dass bei den getesteten clients die ipsec-dienste nicht richtig laufen. (Ein neu installierter tuts...)

wirshark/ethereal zeigt, dass vom client nur eine l2tp verbindung (ohne verschlüsselung) auf den weg geschickt wird.

Die 2007nx nimmt die l2tp-verbindung auch ohne ipsec an.(die 2006er nicht)

L2TP-Client -> xy Router -> zu 2006nx ist auch nicht mehr erfolgreich zu reproduzieren.

Womit ich mit der Frage hier im Forum "off-topic" bin.
Weiß evtl. trotzdem jemand, wie ich die "IPSEC-Dienste" unter XP pro SP2 (vollständig gepatcht) wieder reparieren kann, ohne das System neu aufzusetzen?
Das TCP/IP-Protokoll habe ich bereits neu installiert und google hat mir bisher noch nicht weiter geholfen.

(PS: die VPN-Verbindungen am Client sind richtig konfiguriert. L2TP/IPSEC, PSK...)

sorry und danke
achim

Also nutze hier auch L2TP durch eine 2007 zur 2006er ohne Probleme.
War eventuell mal ein anderer VPN-Client auf dem System?

Ich denke da verstaerkt in die Richtung Safenet, der gerne in der Registry fummelt.

Auch wenn die Dienste dann gestartet sind, schaut alles zunaechst gut aus, aber kein Tunnel kommt zu Stande.

Folgenden Key wuerde ich mal ueberpruefen:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RasMan\\Parameters

Dort gibt es evtl. einen REG_DWORD-Wert: ProhibitIpSec
Wenn der Wert auf 1 steht, laufen alle Dienste, aber Windows kriegt trotzdem nichts gebacken, wenn was verschluesselt werden soll.
Habe festgestellt, dass selbst nach der Deinstallation mancher Clients, dieser Registry-Eintrag bestehen bleibt :-(.

Achtung bei der Aenderung sollte/muss sichergestellt werden, dass kein anderer VPN-Client aktiv ist.

Aenderungen an der Registry...wie die Lottozahlen = Ohne Gewaehr und nur mit Backup!

Gruss

M.Goeres

Vielen Dank Herr Goeres!!

Der Rasman-Eintrag war's, wobei ich nicht weiß, wo der hergekommen ist.
Ein anderer VPN-Client war mit Absicht nie installiert worden und bis vor Kurzem funktionierte noch alles...


Und sorry nochmal dass ich fälschlicherweise die 2007er in Verdacht hatte...

Achim

Klasse, dass der Tip gepasst hat aber,
mhhh wenn kein VPN-Client, bleiben nicht mehr viele Varianten, da ich Redmond (M$) ausschliesse (Windoof-Update).

Trojaner oder Antiviren/Antimalware-Produkt sind die naechsten Kandidaten, aber bisher habe ich da noch keine boesen Erfahrungen im VPN Bereich mit M$-Boardmitteln.
Welches Produkt ist denn im Einsatz, damit ich in der Zukunft evtl. die Ohren dabei direkt spitze?

Gruss

M.Goeres

ich weiß nicht, ob ich Windoof-Updates ausschließen bzw. was die ursache war...

Ich benutze die MS-Bordmittel L2TP/IPSec, da wir dies auch den Kunden als "einfachste" Lösung "verkaufen" können.

Bisher gab es nur Probleme hinsichtlich:
- nicht gestarteter IPSEC-Dienste
- NAT-Traversal Patch und entsprechender Registry-Einträge bzw. fehlendem SP2 unter XP
- andere VPN-Clients (Sonicwall, Cisco,...)
- DSL-Router-Konfiguration...

und jetzt eben noch der RASman...

Achim