none
Forefront TMG L2TP Preshared Key does not work RRS feed

  • Frage

  • Hello,

    i am trying to establish a client IPSEC/L2TP Conncetion with preshared key to Forefront TMG.

    It always fails from a windows 7 client with error 789. I did a trace with the forefront tmg data packager and looked at one .etl file it creates. There i found the following error:

     

    Failure error code : 0x00003601 no policy configured.

    PPTP works fine. Any ideas?

     

     


    Freitag, 1. April 2011 13:49

Antworten

  • moin utto,

    yo punkt 2 meinte ich.

    dein dsl-router - unterstützt der nat-t? falls nein schreddert er dir den ipsec-traffic. das würde auch erklären warum pptp geht. welche ports hast du denn für l2tp freigeschaltet? hast du an protokoll 50 für esp gedacht (achtung - nicht portnummer 50!)?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 1. April 2011 18:56

Alle Antworten

  • moin utto,

    hast du l2tp/ipsec als tunnelprotokoll auf tmg eingeschaltet? der psk ist auf beiden seiten (tmg + client) eingegeben?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 1. April 2011 14:11
  • Du meinst Punkt 2 dieses Artikels?

    http://technet.microsoft.com/en-us/library/ee658151.aspx

    Den Haken habe ich gesetzt.

     

    PSK ist auf beiden Seiten angegeben. Vor dem TMG steht noch ein DSL-Router der Telekom. An diesem habe ich die notwendigen Ports an den Forefront TMG weitergeleitet.

    Ich habe den PSK im Moment nur zum Testen eingetragen, möchte eigentlich Zertifikate nutzen. Da dies aber nicht funktionierte dachte ich ich schließe erst einmal ein Problem mit Zertifikaten aus und nutze PSK.

     

    Das externe Interface des Forefront TMG hat keine öffentliche IP zugewiesen. Das müsste doch aber trotzdem funktionieren. Ich habe dasselbe Scenario vor kurzem bei einem anderen Kunden (wohl mit RSA SecurID und anderem DSL-Router) auch ohne Probleme realisieren können. 

    Freitag, 1. April 2011 14:28
  • moin utto,

    yo punkt 2 meinte ich.

    dein dsl-router - unterstützt der nat-t? falls nein schreddert er dir den ipsec-traffic. das würde auch erklären warum pptp geht. welche ports hast du denn für l2tp freigeschaltet? hast du an protokoll 50 für esp gedacht (achtung - nicht portnummer 50!)?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 1. April 2011 18:56
  • Lesson Learned. Nach langer Suche habe ich herausgefunden das der Router kein NAT-T unterstützt. 

    Ich werde den Router gegen den aus dem Vorgänger-Projekt (Netgear FVS318) tauschen, da funktioniert das jedenfalls einwandfrei wie bei den 

    meisten Netgear-Produkten (http://kb.netgear.com/app/answers/detail/a_id/1088).

     

    Nunja, schönen Gruß von Düren nach Aachen. :-)

     

    Freitag, 1. April 2011 19:28
  • hey utto,

    problem erkannt - gefahr gebannt - freut mich zu lesen!

    ;-)

    gruß zurück nach dn.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 1. April 2011 19:43