locked
Error 619 bei PPTP VPN Verbindung RRS feed

  • Frage

  • Hallo Zusammen,

    ich möchte gerne eine Access rule für die VPN Einwahl bei einem Kunden mit PPTP über unseren TMG2010 einrichten.

    Also, erlaubt ist das Protokoll PPTP für alle User von Intern nach Extern.

    Soweit, so gut.

    Doch bei der VPN Einwahl kommt nur noch "Verifying username and password..." und dann erscheint die Fehlermeldung:

    Error 619: A connection to the remote computer could not be established, so the port used for this connecting was closed.

    Der gleiche Client mit den gleichen Einstellungen kommt mit einer normalen DSL Verbindung ohne TMG ans Ziel.

    Habe Ihr eine Idee, was ich da noch evt. freischalten muss?

    Danke und viele Grüße, Anastasia

    Montag, 9. August 2010 13:52

Antworten

  • Hi,

    der Vollständigkeithalber und vielleicht als Hilfe für andere, die das gleiche Problem haben, hier die Lösung:

    1. Im PPTP Protokoll das filtering ausschalten

    2. VPN Client access aktivieren auf dem internen Netzwerk

    Jetzt funzt eine PPTP Verbindung von einem Client im LAN zu einem externen Server durch den TMG (2010 SP2).

    Viele Grüße, Anastasia

    Dienstag, 25. Oktober 2011 08:32

Alle Antworten

  • Hi,

    der Client ist Secure NAT Client und hat nicht den TMG Client installiert?
    der PPTP Filter in TMG ist aktiviert?
    Kann es so was sein?:
    http://blogs.technet.com/b/isablog/archive/2009/01/07/a-pptp-client-might-fail-to-connect-to-a-vpn-server-on-the-internet-through-an-isa-server-2006.aspx
    BTW: Aus Sicherheitsgruenden keine gute Idee finde ich einem internen Client einen Tunnel durch den TMG/ISA zu erlauben, dann hast Du gar keine Filtermoeglichkeit mehr

     


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Montag, 9. August 2010 15:09
  • Hi,

    also, der Client hat keine TMG Client Software installiert und der PPTP Filter ist aktiv.

    Ach du jeh, wenn das an dem Router liegt (Lancom 1721+)... Firmware Update gibt es dazu nicht, aktuelle Firmware ist drauf.

    Dann kann ich hier also nichts mehr machen, außer den Router ersetzen?

    Viele Grüße, Anastasia

    Dienstag, 10. August 2010 08:07
  • Am 10.08.2010 schrieb Anastasia Wickels:

    Hi,

    Ach du jeh, wenn das an dem Router liegt (Lancom 1721+)... Firmware Update gibt es dazu nicht, aktuelle Firmware ist drauf.

    Dann kann ich hier also nichts mehr machen, außer den Router ersetzen?

    Wenn der Router es nicht unterstützt, wird dir wohl nichts anderes übrig
    bleiben. Kannst natürlich auch einfach statt pptp ein anderes VPN Protokoll
    benutzen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Dienstag, 10. August 2010 08:13
  • Das mit dem Protokoll wird ja vom Kunden vorgegeben, da kann ich wohl nichts ändern...
    Dienstag, 10. August 2010 08:14
  • Am 10.08.2010 schrieb Anastasia Wickels:

    Das mit dem Protokoll wird ja vom Kunden vorgegeben, da kann ich wohl nichts ändern...

    Na dann bleibt dir nur noch eine Option, oder? ;)

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Dienstag, 10. August 2010 08:38
  • Blöd, den Router haben wir gerade erst neu gekauft...
    Dienstag, 10. August 2010 09:31
  • Hi,

    zum testen kannst Du ja einen VPN Client / Server mal direkt hinter den TMG packen. Wenn es am Router liegt, sollte die Verbindung aus dem LAN ueber den TMG funzen, wovon ich fast ausgehe.

    Meines Wissens nach kann ein Lancom 1721 aber auch ausgehende Verbindungen mit PPTP. Ist ein sehr gut zu konfigurierendes Geraet. Check mal auf dem LANCOM die VPN Einstellungen. Evtl. laeuft der schon als VPN Router und kommt dann mit den GRE Verbindungen durcheinander. Am besten dann die VPN-Einstellungen am Router deaktivieren, danach ist die Wahrscheinlichkeit recht hoch, dass es funzt


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 10. August 2010 09:32
  • Am 10.08.2010 schrieb Anastasia Wickels:

    Blöd, den Router haben wir gerade erst neu gekauft...

    Wie Marc schon schrub, ist bei aktuellen Geräten die Wahrscheinlichkeit,
    dass pptp passthrough nicht funktioniert relativ gering. Also mal testen.
    Stell doch mal einen PC vor das TMG direkt an den Router. Wenns dann immer
    noch nicht geht... Weißt du, dass du am Router suchen mußt.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Dienstag, 10. August 2010 10:21
  • Wenn ich einen Client direkt an den Router anbinde und dann die PPTP Verbindung aufbaue, dann klappt es.

    Am Router selbst ist VPN deaktiviert.

    Dann liegt es wohl doch am TMG oder wie?

    Dienstag, 10. August 2010 10:35
  • Hi,

    und der Weg wie ich vorgeschlagen habe, VPN Server direkt hinter TMG. Geht das?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 10. August 2010 11:27
  • Hi,

    wie meinst Du das, den VPN Server direkt hinter TMG? Es geht ja um einen VPN Client bei uns im LAN, der sich zu einem Kunden VPN Server verbinden soll?

    Viele Grüße, Anastasia

    Dienstag, 10. August 2010 12:30
  • Hi,

    jau, setz hinter den TMG mal einen Test VPN Server auf (also - VPN Client - TMG - VPN-Server - Router), dann weisst Du, ob es am TMG liegt oder an der Kombi TMG und Router


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 10. August 2010 13:16
  • Hi,

    ich habe mal einen VPN Server, der PPTP Verbindungen zulässt, in unserem LAN aufgesetzt. Die VPN Verbindung funktioniert auch, wenn ich mich direkt via PPTP Client verbinde. Wenn ich den TMG ins Spiel bringe und den traffic über ihn laufen lasse, dann funktioniert es nicht: Error 678: The remote computer sid not respond.

    Am TMG und am VPN Server sehe ich die Verbindunganfrage ankommen, doch am TMG wird diese TCP1723 Anfrage geblockt?!

    Da läuft doch noch was an der Konfiguration schief oder?

    Ich lasse am TMG sogar testweise jedes Protokoll (also outbound traffic) aus allen Netzwerken zu allen Netzwerken zu. Im Log erscheint dazu: A connection attempt failed because the connected party did not respond after a period of time, or established connection failed because connected host has failed to respond.

    Habt Ihr noch eine Idee?

    Viele Grüße, Anastasia

    Mittwoch, 11. August 2010 10:28
  • Hi,

    hoert sich echt so an, als lausche der TMG nicht mehr auf VPN Verbindungen. checkst Du mal, ob im Routing und RAS SNapi In unter den Ports auch PPTP Ports gelistet werden.
    Meldungen in der Ereignisanzeige?
    Deaktiviere mal auf dem TMG den VPN Access und aktiviere ihn erneut:
    Wenn Du ein NETSTAT -AN |more machts, taucht dann TCP Port 1723 auf?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 11. August 2010 11:07
  • Hi,

    wenn ich das Snapin RRAS starte, dann muss ich es erst konfigurieren, es ist zur Zeit gar nicht aktiv.

    Aber das verstehe ich dann nicht: Der TMG soll doch nur den PPTP traffic durchlassen zum eigentlichen VPN Server (ISA06). Er selbst ist ja gar nicht der Ziel Server. Der steht ja hinter dem TMG, oder verstehe ich da was falsch?

    In der Ereignisanzeige auf dem TMG sind keine Fehler zu sehen.

    Viele Grüße, Anastasia

    Mittwoch, 11. August 2010 11:56
  • Hi,

    alles klar. hatte es so verstanden, dass Du jetzt VPN am TMG aktiv hast. Dann kannst Du die Aussage vergessen. Die Anfrage wird ja nur durchgereicht. Dann bin ich aus der Ferne erstmal ratlos. Wenn der PPTP Filter gebunden ist und Du PPTP outbound erlaubst, sollte das problemlos funzen.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Mittwoch, 11. August 2010 12:39
  • Ich weiss nicht, ob das was hilft, aber: Eine VPN Einwahl zum ISA06, direkt vom TMG aus, geht.
    Mittwoch, 11. August 2010 13:19
  • Hi,

    der Vollständigkeithalber und vielleicht als Hilfe für andere, die das gleiche Problem haben, hier die Lösung:

    1. Im PPTP Protokoll das filtering ausschalten

    2. VPN Client access aktivieren auf dem internen Netzwerk

    Jetzt funzt eine PPTP Verbindung von einem Client im LAN zu einem externen Server durch den TMG (2010 SP2).

    Viele Grüße, Anastasia

    Dienstag, 25. Oktober 2011 08:32