none
RRAS L2TP

    Dotaz

  • Zdravim, navazuji na:
    http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/c999b093-f209-4767-9e81-f640fdacbcf7

    Mám problém s L2TP spojením Site-to-site.

    Na jedné straně mám subnet 10.1.0.0/255.255.240.0 na straně druhé 10.1.16.0/255.255.254.0.
    Nastavil jsem pro VPN klienty adresy 172.16.1.1-2 a na straně druhé 172.16.2.1-2.
    Servery s RRAS jsou přímo na lince od ISP na veřejné IP a mají vypnutý firewall.
    Na obou stranách jsem nastavil L2TP Pre-shared key na "123" jak na serverech tak na Demand-dial spojeních.
    Na obou stranách jsem nastavil NAT do vniřní sítě.
    Při konfiguraci RRAS jsem na obouch stranách zvolil Custom a zaškrtnul si VPN & Demand-dial & NAT & LAN Routing.

    To je myslím už všechno co jsem dělal. Když jsem to nastavoval v LABu, tak všechno běhalo nádherně.

    Nyní když dám připojit na jedné nebo druhé straně, tak dostanu tuto chybovou hlášku, která se následně objeví v event logu s kódem 20111:

    A Demand Dial connection to the remote interface vpn2 on port VPN2-127 was successfully initiated but failed to complete successfully because of the  following error: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

    • Upravený Ruda Dvořák středa 7. prosince 2011 14:45 chyba radkovani
    středa 7. prosince 2011 14:44

Odpovědi

  • No tak tam může být problém. Zkus ještě vytvořit obyčejné VPN připojení - jako klient -> server od někud na ten server, co je za tím NATem. Ony IPTables by měly být kvalitní, ale možná tam něco nepropouští...

    čtvrtek 8. prosince 2011 11:33

Všechny reakce

  • mas zapnutou podporu NATu pro L2TP? L2TP umi jet po UDP i po svych nativnich protokolech.

     

    MP

    středa 7. prosince 2011 15:02
    Vlastník
  • mas zapnutou podporu NATu pro L2TP? L2TP umi jet po UDP i po svych nativnich protokolech.

     

    MP


    Nejspis ne, ale nejak si pod tim nedokazu predstavit co mam zapnout. Asi jsem natvrdlej.
    středa 7. prosince 2011 15:36
  • Ahoj,

    ještě mrkni na tohle:

    http://support.microsoft.com/kb/247231
    
    a
     zkus restartovat ty services co tam píšou.

    Pokud máš konektivitu přímo od postkytovatele (a není to nějaký Wifi provider, kde máš jen přesměrovanou IP) tak by to mělo projít v pohodě.

    středa 7. prosince 2011 23:03
  • Ahoj,

    ještě mrkni na tohle:

    http://support.microsoft.com/kb/247231
    
    a
     zkus restartovat ty services co tam píšou.

     

    Pokud máš konektivitu přímo od postkytovatele (a není to nějaký Wifi provider, kde máš jen přesměrovanou IP) tak by to mělo projít v pohodě.

    Tohle KB jsem taky objevil a nepomohlo. Jinak na jedne strane je optika az na misto. A na druhy strane je to pres Wi-Fi ISP ma na strese nejake svoje zarizeni.
    středa 7. prosince 2011 23:14
  • Ok, a máte u toho Wifi poskytovatele veřejnou IP nebo jen přenatovanou veřejnou na neveřejnou?
    středa 7. prosince 2011 23:15
  • Ok, a máte u toho Wifi poskytovatele veřejnou IP nebo jen přenatovanou veřejnou na neveřejnou?

    Myslím, že je NATovaná. Určtě. Máme rozdílnou na interfacu a veřejnou.
    středa 7. prosince 2011 23:49
  • No tak tam může být problém. Zkus ještě vytvořit obyčejné VPN připojení - jako klient -> server od někud na ten server, co je za tím NATem. Ony IPTables by měly být kvalitní, ale možná tam něco nepropouští...

    čtvrtek 8. prosince 2011 11:33
  • A NATuje se ti i ESP (IP protokol c. 50) nebo jen TCP/UDP?

    MAm pocit, ze MS L2TP UMI jet i bez ESP (jen na TCP/UDP) ale ze je treba toto povolit. Mrkni na http://support.microsoft.com/kb/926179/en-us

     

    MP



    P.S. stare dobre PPTP VPN ti nevyhovuje? Pouziva take mene standardni protokol (GRE, IP protokol c. 47), ale NATovani GRE podporuji uz nejake to tisicileti snad vsechny routery/NATovatka

     

    P.P.S. nejlepsi volba je samozrejme SSL VPN. Port 443 / TCP je jedine co potrebujes, jen musis mit certifikat

    čtvrtek 8. prosince 2011 12:05
    Vlastník
  • PPTP funguje naprosto spolehlivě - pokud by se ti nepodařilo rozjet to L2TP, tak se dá použít i ono.

    SSL VPN mu Windows Server neudělá site to site. Nyní je site to site možné jen PPTP a L2TP. V novém Windows Serveru je možnost IKEv2.

    L2TP ve Windows to umí jen na TCP/UDP, ale prý se to nedá využít pro site to site, podle infa na technetu...

    čtvrtek 8. prosince 2011 12:13
  • Omlouvam se, TL;DR - takze jsem prehledl site2site pozadavek

     

    MP

    čtvrtek 8. prosince 2011 12:32
    Vlastník
  • No tak tam může být problém. Zkus ještě vytvořit obyčejné VPN připojení - jako klient -> server od někud na ten server, co je za tím NATem. Ony IPTables by měly být kvalitní, ale možná tam něco nepropouští...

    Přes PPTP se to z Win7 normálně připojí. Přes L2TP dostatnu Error 809

    A NATuje se ti i ESP (IP protokol c. 50) nebo jen TCP/UDP?

    MAm pocit, ze MS L2TP UMI jet i bez ESP (jen na TCP/UDP) ale ze je treba toto povolit. Mrkni na http://support.microsoft.com/kb/926179/en-us

     

    MP



    P.S. stare dobre PPTP VPN ti nevyhovuje? Pouziva take mene standardni protokol (GRE, IP protokol c. 47), ale NATovani GRE podporuji uz nejake to tisicileti snad vsechny routery/NATovatka

     

    P.P.S. nejlepsi volba je samozrejme SSL VPN. Port 443 / TCP je jedine co potrebujes, jen musis mit certifikat

    Poslal jsem mail ISP, tak uvidim jak to mame.

    PPTP funguje naprosto spolehlivě - pokud by se ti nepodařilo rozjet to L2TP, tak se dá použít i ono.

    SSL VPN mu Windows Server neudělá site to site. Nyní je site to site možné jen PPTP a L2TP. V novém Windows Serveru je možnost IKEv2.

    L2TP ve Windows to umí jen na TCP/UDP, ale prý se to nedá využít pro site to site, podle infa na technetu...

    SSL VPN používám přes HW prostředky ve WinSrv bohužel až někdy déle.
    čtvrtek 8. prosince 2011 14:06
  • Tak jsem dostal od ISP info ze IPSec pres jeho NATOVANI neprojde. :(
    pátek 9. prosince 2011 16:05
  • No tak v tom případě asi přejdi na PPTP. To potřebuje jen port 1723 (TCP).
    pátek 9. prosince 2011 16:52
  • Nene. Potrebuje take specialni protokol (GRE)!!!

     

    MP

    pátek 9. prosince 2011 18:08
    Vlastník
  • To je určitě pravda, ale v životě jsem s ním neměl problém - respektive nikdy jsem ho nemapoval, protože ty levné routery ani neví co to je a prostě to pouštějí nebo to mají schované pod PPTP Passthrought.

    Protože jsi ale předtím psal, že s GRE problémy prakticky neexistují, tak jsem mu s tím nechtěl přidělávat starosti. On prakticky jen řeší co udělá s tím NATem u poskytovatele. A přes něj musí PPTP projít 100%.

    pátek 9. prosince 2011 19:06
  • Vsak jsem psal ze GRE proleze skoro vzdy skoro vsim. I kdyz ... pred par lety jsem narazil na problem s Ciscem ktere nechapalo ze GRE patri do IP family .... nakonec jsem musel krom IP povolit jeste samostatne GRE

     

    MP

    pátek 9. prosince 2011 19:38
    Vlastník