none
MS TMG Windows 2008 R2 SP1 и L2TP ошибка 809 RRS feed

  • Вопрос

  • Доброе время суток  коллеги.Запланировали миграцию с PPTP на L2TP с pre-shared key для удаленных пользователей,наблюдаю проблему в подключении к VPN серверу,а именно ошибку 809.Мои действия ранее разрешил L2TP в настройках RRAS,открыл порты,задал pre-shared key.Клиенты Windows 7.

    Что интересно,даже при наличии правила открытых портов 1701 4500 500 ,порт 1701 все равно закрыт,проверял через networkcenter.info ,при запуске логгирования соединений на TMG ,сервер не показывает поступающие пакеты на порт 1701,остальные показывает.

    Из HotFix применялось следующее:

    http://support.microsoft.com/kb/2028625

    http://support.microsoft.com/kb/2722729

    http://support.microsoft.com/kb/2523881

    Ничего не помогло.Надеюсь на вашу помощь.

    Спасибо за внимание.

    С уважением.

    13 марта 2013 г. 10:49

Все ответы

  • а зачем вы в rras полезли? надо было все делать через консоль tmg. никаких правил для отктытия портов создавать не нужно
    13 марта 2013 г. 12:40
    Отвечающий
  • Извинюсь. Под RRAS имел ввиду настройки VPN в оснастке TMG. Попробовал грохнуть правила,результата не заметил. Проблема так же актуальна. Спасибо за внимание.
    13 марта 2013 г. 14:21
  • а откуда проверялось vpn соединение? быть может по пути какой то из провайдеров не пропускает ipsec?
    13 марта 2013 г. 14:50
    Отвечающий
  • Такая мысль тоже была,вот только пробовал подключатся из внутренней сети на внешний интерфейс,так же давал проверочному VPN клиенту белый IP с тем же внешним VLANом ,безрезультатно. Мне интересно,почему все таки при проверке L2TP порта, пишет что порт закрыт и в логах трафика по фильтру destination port 1701 он ничего не показывает ни deny ни success,а при проверке других портов,скажем 1723 в логах сразу отражен пришедший пакет проведенное с ним действие.
    13 марта 2013 г. 16:10
  • системное правило 13 включено? что в настройках vpn указано?

    13 марта 2013 г. 16:52
    Отвечающий
  • Да,системное правило 13 включено.В настройках vpn только адрес сервера,тип туннеля и pre-shared key на клиенте,на сервере все стандартно,разрешил нужные мне протоколы, pre-shared key и какие сети слушать для подключения.

    Интересно,у него какая то выборка что ли,вчера вечером из дома L2TP работал,показывал приходящий трафик в логах,сейчас же пробую из своей локальной сети подключится по  L2TP на внешний интерфейс сервера ну никак,причем при попытке подключения логи опять чистые.

    Спасибо.

    14 марта 2013 г. 3:24
  • а фильтр на логировании какой стоит? тестировать из локальной на внешний адрес вообще нет смысла - такое замыкание чаще всего затруднено, а некоторыми файрволами вообще запрещено (cisco asa например)
    14 марта 2013 г. 8:54
    Отвечающий
  • Фильтр по DISTINATION PORT 1701 ,насчет затруднения подключения на external интерфейс не уверен,PPTP в этом случаи рубится как миленький,причем ранее "когда все работало" L2TP тоже работал при таком же способе.Что интересно,попросил знакомого подрубится из-вне,все работает,а как я вставляю себе на комп 3G/GPRS модем,результата никакого,ошибка такая же 809 (Известно что этот оператор блокирует PPTP).Думаю пускай даже проблема только на этом отдельном клиенте,ведь если миграция всех ремут-клиентов пройдет на L2TP,они ж съедят отдел поддержки.

    После раздумья,сложилось несколько вариантов: 

    1)Где то что то зацепил на своем проверяемом клиенте,хотя конфиги всего причастного к подключению на клиенте перепроверил.Не исключено конечно что, что то забыл

    2)Глюки на сервере TMG

    3)Оператор вместе с PPTP так же запретил L2TP.

    Спасибо за внимание.


    14 марта 2013 г. 9:17
  • оператор вполне мог, чаще всего запрещают даже не pptp и l2tp, а просто банально  не умеют работать с gre/ipsec

    14 марта 2013 г. 9:33
    Отвечающий
  • Такая мысль тоже была,вот только пробовал подключатся из внутренней сети на внешний интерфейс,так же давал проверочному VPN клиенту белый IP с тем же внешним VLANом ,безрезультатно. Мне интересно,почему все таки при проверке L2TP порта, пишет что порт закрыт и в логах трафика по фильтру destination port 1701 он ничего не показывает ни deny ни success,

    И не увидите. Трафик L2TP по порту 1701 UDP зашифрован с помощью IPSec и скрыт в пакете с другим заголовком IP (каким - зависит от того, пришлось ли использовать NAT Traversal: либо протокола с номером 50 (ESP), либо пакета NAT Traversal  - протокол UDP порт 4500).

    Соответственно, Вам нужно проверять прохождение пакетов сначала для протокола UDP входящий порт 500 (IKE), затем - для  протокола номер 50 (ESP), либо протокола UDP, входящий порт 4500 (NAT Traversal).

    По самому вопросу: все нужные правила создаются TMG автоматически и помещаются в число системных правил (включите их показ, чтобы их увидеть). Проблемы могут возникнуть, если TMG не имеет "белого" (зарегистрированного в IANA) адреса IP и поключен через NAT ("проброс портов" или "DMZ" во многих аппаратных шлюзах) - многие клиенты это не любят и работать с таким сервером отказываются (впрочем, код ошибки там, кажется, другой). 

    Либо что-то по дороге блокирует IPSec.


    Слава России!

    14 марта 2013 г. 15:31
  • неправда, 1701 udp обязательно засветится, потому как он никуда не шифруется и с него начинается l2tp коннект, а ipsec согласовывается уже позже.
    при спрятанном за натом vpn сервере все клиенты на windows работать не будут без настройки реестра http://support.microsoft.com/kb/926179/en-us
    но это кажется не тот случай - кто же снаружи смог подключиться

    15 марта 2013 г. 7:45
    Отвечающий
  • Правда. IPSec - это не протокол прикладого уровня типа SSL/TLS (где действительно, происходит сначала подключение, а потом согласование). Это - протокол сетевого уровня. В нем сначала идет согласование на сетевом уровне (по IKE, с использованием транспортного протокола udp порт 500), а потом уже происходит общение на транспортном уровне (с использованием UDP, порт 1701) - но оно уже инкапсулированно в пакеты протокола IPSec (в данном случае - ESP плюс, возможно, NAT-T).


    Слава России!


    • Изменено M.V.V. _ 15 марта 2013 г. 9:27
    15 марта 2013 г. 9:26