none
Microsoft VPN - chyba 721

    Dotaz

  • Ahoj, na jednom serveru mi nejde MS VPNka. Píše mi to error 721 a to i přes to, že jsem vypl bránu firewall. Na firewallu mám povolený port 1720-1723.

    Klient se evidentně k serveru připojí, ale skončí to na ověřování uživatelského jména a hesla

    Děkuji za radu

    čtvrtek 20. ledna 2011 8:56

Odpovědi

  • Zdravim,

     

    ten server je VPN server, alebo vystupuje ako klient, na ktorom otvarate VPN pripojenie niekam? Medzi VPN klientom a VPN serverom je este nejake zariadenie ( router, hardverovy firewall, NAT, ... ) ?

    Pre PPTP pripojenie nestaci na FW otvorit len port TCP 1723, ale je nutny aj IP protokol 47 ( GRE ).

     

     

    To resolve this issue, configure the network firewall to permit GRE protocol 47. Also, make sure that the network firewall permits TCP traffic on port 1723. Both of these conditions must be met to establish VPN connectivity by using PPTP.

    http://support.microsoft.com/kb/888201

     

    Boris

    čtvrtek 20. ledna 2011 9:44
  • Ok, ja za tym firewallom este nejaky VPN server? Ak ano, funguje PPTP konektivita na tento druhy VPN server? Ak je klient na tej samej sieti, ako VPN server, konektivita funguje?

    Su to len uvahy v snahe zistit, ci je problem vo VPN servri alebo vo firewalle.
    Kazdopadne, FW by nemal blokovat TCP 1723 a IP protokol 47 ( GRE ) smerom na VPN server ...

    Boris

    čtvrtek 20. ledna 2011 10:01
  • A co je tam za firewall? TMG? Nebo jenom obyčejný Windows firewall? Jinak PPTP funkčnost odzkoušíš i jednoduše z lokální sítě obyčejným připojením na ten server...

    Pak bych začal řešit firewall...jestli se to stalo nějak najednou, tak bych zkontroloval poslední naisntalované aktualizace a samozřejmě eventlog, jestli v něm nejsou nějaké zprávy o tom, že zhavarovala nějaká služba..

    čtvrtek 20. ledna 2011 12:16
  • Problem samozrejme moze byt aj niekde inde ako v tom D-Link firewalli, preto som sa pytal, ci je mozne vytvorit VPN spojenie, ked je klient aj VPN server na jednej LAN sieti - tym by sme vylucili FW. Stale ale podozrievam ten D-Link :) ... Spojenie na TCP 1723 sice vytvorit moze, ale bez GRE protokolu sa dalej nepohneme :

     

    To better understand the use of GRE in the creation and use of VPNs, it is helpful to understand the packet structure. After the PPTP control session has been established, GRE is used to encapsulate the data or payload in a secure manner.

    http://support.microsoft.com/kb/241251

     

    Takze i ked je TCP controll session vytvorena, autentizacia neprebieha, lebo nefunguje IP 47 ( GRE ). Samozrejme, na vine nemusi byt nevyhnutne firewall, mozno je na chybe klient alebo server ( aktualizacie? ), priciny mozu byt rozne. Ako som pisal - najlahsi test, ktory ma napada, je skusit vytvorit VPN spojenie v ramci LAN, teda zobrat server aj klienta na jeden switch a sprvit konekciu - ak to ide cez switch, a nie cez D-Link firewall, tak to bude zrejme FW .... Ak to nejde ani v ramci LAN, chybu treba hladat v konfiguracii a v logoch OS klienta alebo servra.

     

    Boris

     

    čtvrtek 20. ledna 2011 14:43
  • Ještě se taky koukni do nastavení toho serveru, jestli tam je třeba nějaký rozsah IP adres na přidělování a kdyžtak mu ho zkus pokusně udělat...ale jak už jsem psal výše - vyzkoušej to normálně jen z lokální sítě...chyba podle mě bude v tom D-Linku - zkusil bych ho vyresetovat do továrních hodnot...
    čtvrtek 20. ledna 2011 14:46

Všechny reakce

  • Zdravim,

     

    ten server je VPN server, alebo vystupuje ako klient, na ktorom otvarate VPN pripojenie niekam? Medzi VPN klientom a VPN serverom je este nejake zariadenie ( router, hardverovy firewall, NAT, ... ) ?

    Pre PPTP pripojenie nestaci na FW otvorit len port TCP 1723, ale je nutny aj IP protokol 47 ( GRE ).

     

     

    To resolve this issue, configure the network firewall to permit GRE protocol 47. Also, make sure that the network firewall permits TCP traffic on port 1723. Both of these conditions must be met to establish VPN connectivity by using PPTP.

    http://support.microsoft.com/kb/888201

     

    Boris

    čtvrtek 20. ledna 2011 9:44
  • Ahoj, ten VPN server je server, před serverem je firewall. Takže jfirewall je mezi klientem a serverem.

    čtvrtek 20. ledna 2011 9:53
  • Ok, ja za tym firewallom este nejaky VPN server? Ak ano, funguje PPTP konektivita na tento druhy VPN server? Ak je klient na tej samej sieti, ako VPN server, konektivita funguje?

    Su to len uvahy v snahe zistit, ci je problem vo VPN servri alebo vo firewalle.
    Kazdopadne, FW by nemal blokovat TCP 1723 a IP protokol 47 ( GRE ) smerom na VPN server ...

    Boris

    čtvrtek 20. ledna 2011 10:01
  • Je tam ještě jeden server s direct access, ale ten jsem vypl. Vypadá to na rozbitý firewall, protože GRE je povolený a nepropouští to.
    čtvrtek 20. ledna 2011 10:09
  • A co je tam za firewall? TMG? Nebo jenom obyčejný Windows firewall? Jinak PPTP funkčnost odzkoušíš i jednoduše z lokální sítě obyčejným připojením na ten server...

    Pak bych začal řešit firewall...jestli se to stalo nějak najednou, tak bych zkontroloval poslední naisntalované aktualizace a samozřejmě eventlog, jestli v něm nejsou nějaké zprávy o tom, že zhavarovala nějaká služba..

    čtvrtek 20. ledna 2011 12:16
  • TMG jsem v životě neviděl :-) je před VPN serverem D-Link firewall, firmware je aktuální a stalo se to jen tak najednou. VPN server jsem dal do DMZ a stejně nic. Před tím mi to fungovalo :-)

    Eventviewer na mě nic nekřičí

    Log firewallu jsem nezkoukl, tak jdu na to ;)

    čtvrtek 20. ledna 2011 12:50
  • Jirko tak v logu firewallu mi to píše, že klient na dané adrese se přes port 1723 připojil, takže VPN je funknční, ale skončí to na ověřování klienta, čili skutečně ač jsou všechny to IP protokoly a porty otevřené, tak se k VPN sice připojím, ale nepřihlásím se, bo to selže na authentizaci.
    čtvrtek 20. ledna 2011 13:12
  • Problem samozrejme moze byt aj niekde inde ako v tom D-Link firewalli, preto som sa pytal, ci je mozne vytvorit VPN spojenie, ked je klient aj VPN server na jednej LAN sieti - tym by sme vylucili FW. Stale ale podozrievam ten D-Link :) ... Spojenie na TCP 1723 sice vytvorit moze, ale bez GRE protokolu sa dalej nepohneme :

     

    To better understand the use of GRE in the creation and use of VPNs, it is helpful to understand the packet structure. After the PPTP control session has been established, GRE is used to encapsulate the data or payload in a secure manner.

    http://support.microsoft.com/kb/241251

     

    Takze i ked je TCP controll session vytvorena, autentizacia neprebieha, lebo nefunguje IP 47 ( GRE ). Samozrejme, na vine nemusi byt nevyhnutne firewall, mozno je na chybe klient alebo server ( aktualizacie? ), priciny mozu byt rozne. Ako som pisal - najlahsi test, ktory ma napada, je skusit vytvorit VPN spojenie v ramci LAN, teda zobrat server aj klienta na jeden switch a sprvit konekciu - ak to ide cez switch, a nie cez D-Link firewall, tak to bude zrejme FW .... Ak to nejde ani v ramci LAN, chybu treba hladat v konfiguracii a v logoch OS klienta alebo servra.

     

    Boris

     

    čtvrtek 20. ledna 2011 14:43
  • Ještě se taky koukni do nastavení toho serveru, jestli tam je třeba nějaký rozsah IP adres na přidělování a kdyžtak mu ho zkus pokusně udělat...ale jak už jsem psal výše - vyzkoušej to normálně jen z lokální sítě...chyba podle mě bude v tom D-Linku - zkusil bych ho vyresetovat do továrních hodnot...
    čtvrtek 20. ledna 2011 14:46
  • Na vině byl skutečně firewall je KO., jde na reklamaci, bo začala vypadávat i síť , přesto, že se všechno v systemu tvářilo online, fyzicky nic online nebylo. Nepingnul jsem si ani DNS server
    čtvrtek 20. ledna 2011 20:25