L2TP Authentifizierungsprobleme

[NasQ]

Hallo,

ich habe gestern meine alte DS214se gegen eine DS216+II getauscht.
Die neue DS habe ich komplett neu eingerichtet. Also DSM neu installiert, nix migriert, Volumes neu gemacht.
Dann habe ich den VPN-Server mit den selben Einstellungen wie auf der alten DS konfiguriert.
Selber PSK, selbe Benutzer, selbe Passwörter.
Ich bekomme jedoch von Windows als auch von iOS immer die Meldung, dass die Authentifizierung fehlgeschlagen sei.
Ich habe alles doppelt und dreifach geprüft. Alle Passwörter und auch der Pre-Shared Key sind in Ordnung.
Ich weiß nicht mal, wie ich das ordentlich debuggen kann.

 

[heavy]

Das es bei Windows nicht mehr geht ist bekannt (geht bei mir auch nicht mehr und das sogar ohne Änderungen) warum genau ist nicht bekannt. iOS ist neu.

 

[mrsandman]

Seit wann sollte L2TP unter Windows nicht mehr gehen? Bei mir funktioniert alles ohne Probleme...

Die Beschreibung klingt für mich nach einem Konfigurationsproblem. Die Meldung bzgl. der fehlenden Authentifizierung lässt darauf schliessen, dass der VPN-Server läuft und antwortet.

Folgende Punkte kommen mir in den Sinn:
1. Hat der Benutzer das L2TP Privileg erhalten (einzustellen unter VPN Server -> Privileg)?
2. Wurde der VPN-Server schon einmal neugestartet?
3. Wurde DSM schon einmal neugestartet?
4. Funktioniert die Verbindung auch mit einem ganz einfachen Pre-Shared Key nicht (bspw. nur ein Buchstabe)? Evtl. auch ein ganz neuer Benutzer einrichten mit einem ganz einfachen Passwort.

Wenn das alles nichts hilft, kann man auch noch den Debug-Log für den L2TP-Server aktivieren auf der DS. Dazu mittels SSH in der Datei /var/packages/VPNCenter/etc/l2tp/ipsec.conf die Zeilen für plutodebug und plutostderrlog aktivieren und danach den VPN-Server neustarten. Nun sollte unter /var/log/pluto.log eine (sehr!) ausführliche Logdatei angelegt werden. Diese kann nach einem erfolglosen Verbindungsversuch konsultiert werden um evtl. daraus Hinweise zu kriegen, warum die Authentifizierung fehlschlägt.

 

[stulpinger]

Hi

bei mir funktioniert es wie folgt:

iPad mit iOS 10.3.1:

L2TP mit preshared key - Verbindung im internen Netz bzw. Verbindung von extern ohne Probleme

Windows 10 Pro (mit Creators Update) + Windows Mobile 10 (letztes Insider-Build)

Keine Verbindung L2TP mit preshared key !

Erst nach Änderung des VPN-Typs (am PC bzw. Handy) auf "L2TP/IPsec mit Zertifikat" funktionierte es !

VPN-Konfiguration am NAS



LG aus Kärnten

 

[NasQ]

Die Beschreibung klingt für mich nach einem Konfigurationsproblem.

Irgendwo vielleicht schon, Problem ist nur, dass ich alle Werte 1:1 übernommen habe.

Die Meldung bzgl. der fehlenden Authentifizierung lässt darauf schliessen, dass der VPN-Server läuft und antwortet.

Korrekt.

1. Hat der Benutzer das L2TP Privileg erhalten (einzustellen unter VPN Server -> Privileg)?

Ja, testweise haben alle Benutzer Privilegien für alle VPN Dienste bekommen

2. Wurde der VPN-Server schon einmal neugestartet?
3. Wurde DSM schon einmal neugestartet?

Mehrfach. Inklusive Deinstallation des VPN Pakets, Neustart, Installation des VPN Pakets, Neustart, Konfiguration des VPN Pakets, Neustart.

4. Funktioniert die Verbindung auch mit einem ganz einfachen Pre-Shared Key nicht (bspw. nur ein Buchstabe)? Evtl. auch ein ganz neuer Benutzer einrichten mit einem ganz einfachen Passwort.

Ohne übereinstimmende PSK bekomme ich noch vor der Authentisierung einen Abbruch der Verbindung. Stimmen die PSK überein bekomme ich folgende Fehlermeldung:

Die Remoteverbindung wurde verweigert, weil die angegebene Kombination aus Benutzername und Kennwort nicht erkannt wird oder das ausgewählte Authentifizierungsprotokoll nicht für den RAS-Server zulässig ist.

Wenn das alles nichts hilft, kann man auch noch den Debug-Log für den L2TP-Server aktivieren auf der DS. Dazu mittels SSH in der Datei /var/packages/VPNCenter/etc/l2tp/ipsec.conf die Zeilen für plutodebug und plutostderrlog aktivieren und danach den VPN-Server neustarten. Nun sollte unter /var/log/pluto.log eine (sehr!) ausführliche Logdatei angelegt werden. Diese kann nach einem erfolglosen Verbindungsversuch konsultiert werden um evtl. daraus Hinweise zu kriegen, warum die Authentifizierung fehlschlägt.

Das werde ich mal versuchen. Wobei soweit ich weiß für L2TP xl2tpd verwendet wird und Pluto nur für IPSec verwendet wird. Dieses scheint jedoch zu funktionieren.
Aber trotzdem werde ich es versuchen.

 

[NasQ]

Also, das Pluto Log ist zwar riesig, aber da scheint es keine Probleme zu geben.

Dann habe ich mir den Ordner /var/packages/VPNCenter/etc/l2tp/ mal angesehen.
Darin befinden sich auch die xl2tpd Konfigurationen.

In /var/packages/VPNCenter/etc/l2tp/options.xl2tpd habe ich folgendes hinzugefügt:

logfd 3
logfile /var/log/xl2tpd.log

Jetzt wird auch für den L2TP Service eine Logdatei angelegt, die bei mir folgenden Inhalt hat:

Plugin pppol2tp.so loaded.
using channel 1
Using interface ppp301
Connect: ppp301 <-->
Overriding mtu 1500 to 1400
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
Overriding mru 1500 to mtu value 1400
sent [LCP ConfReq id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x94d09c65>]
rcvd [LCP ConfAck id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x94d09c65>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x49db0833> <pcomp> <accomp> <callback CBCP>]
sent [LCP ConfRej id=0x1 <callback CBCP>]
rcvd [LCP ConfReq id=0x2 <mru 1400> <magic 0x49db0833> <pcomp> <accomp>]
sent [LCP ConfAck id=0x2 <mru 1400> <magic 0x49db0833> <pcomp> <accomp>]
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
sent [CHAP Challenge id=0xd5 <365f3ac42f19a1e251d78863d89bd356>, name = "l2tpd"]
rcvd [LCP Ident id=0x3 magic=0x49db0833 "MSRASV5.20"]
rcvd [LCP Ident id=0x4 magic=0x49db0833 "MSRAS-0-PLT-NB-010"]
rcvd [LCP Ident id=0x5 magic=0x49db0833 "5\37777777676T^\37777777635W\006K\377777776114\37777777667\37777777721cc\37777777644\37777777603"]
rcvd [CHAP Response id=0xd5 <74a6fc8484b548500c7016a0e3e8a0a70000000000000000373bbe496fe6ee24c98c0c905a2437ecee84fbf5ccc3f14000>, name = "MeinUsername"]
rc_own_ipaddress: couldn't get own IP address
Peer MeinUsername failed CHAP authentication
sent [CHAP Failure id=0xd5 ""]
Overriding mtu 1500 to 1400
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
Overriding mru 1500 to mtu value 1400
sent [LCP TermReq id=0x2 "Authentication failed"]
rcvd [LCP TermAck id=0x2 "Authentication failed"]
Connection terminated.
RADATTR plugin removed file /var/run/radattr.ppp301.

Außer, dass es einen Authentifizierungsfehler gab kann man dem Log leider nichts entnehmen. Der DS User existiert jedoch und hat auch das korrekte Passwort.

 

[NasQ]

Ooooookay! Es funktioniert wieder.

Folgende Zeile im xl2tp.log hat mich stutzig gemacht:

rc_own_ipaddress: couldn't get own IP address

Nach einer Google Suche kam ich dann auf einen alten Thread in diesem Forum:
http://www.synology-forum.de/showthread.html?28918-DSM-4-0-2219-freigegeben/page5&p=237798&viewfull=1#post237798

Auch bei mir war es der Fall, dass der HostName der DiskStation hinter der IP 0.0.0.0 stand. Warum weiß ich nicht. Vielleicht ein alter Bug. Ich habe bei meiner neuen DiskStation alles neu eingerichtet und der Hostname wurde von mir nur im DSM Installer gesetzt. Eventuell liegt da die Ursache des Problems. Aber genau kann ich es jetzt nicht rückverfolgen.

Ein Fix kann auf 2 Arten geschehen.

1. Konsole:
Die Datei /etc/hosts bearbeiten, sodass der Hostname des Systems hinter der Loopback IP 127.0.0.1 steht. Die IP 0.0.0.0 dann entfernen

2. Über die GUI (mMn. die bessere Lösung, da die Hosts-Datei dadurch von DSM bearbeitet wird);

Systemsteuerung->Netzwerk:
Servername einfach in den gewünschten Wert umbenennen. Ist schon der gewünschte Servername gesetzt muss man ihn temporär umbenennen und dann noch mal speichern.

Jetzt stimmt die Hosts-Datei wieder und die CHAP Authentifizierung funktioniert.

 

[danio]

Hi
Erst nach Änderung des VPN-Typs (am PC bzw. Handy) auf "L2TP/IPsec mit Zertifikat" funktionierte es !

Da der VPN Server immer noch auf den PSK wartet, frag ich ich, wie das funktioniert haben kann.

 

[sdiii]

2. Über die GUI (mMn. die bessere Lösung, da die Hosts-Datei dadurch von DSM bearbeitet wird);

Systemsteuerung->Netzwerk:
Servername einfach in den gewünschten Wert umbenennen. Ist schon der gewünschte Servername gesetzt muss man ihn temporär umbenennen und dann noch mal speichern.

Jetzt stimmt die Hosts-Datei wieder und die CHAP Authentifizierung funktioniert.

Ich habe mich hier nur registriert um mich bei dir zu bedanken....
Ich hatte genau das gleiche Problem und durch die Umbennenung des Servernamens funktioniert nun die VPN Verbindung.
Man man man, bin fast wahnsinnig geworden...

 

[Behem0th]

Ich möchte mich auch sehr herzlich bei NasQ bedanken! Ich habe jetzt im August 2018 eine DS218 (DSM 6.2-23739 Update 2) gekauft und hatte bei der VPN-Einrichtung ständig die Fehlermeldung "Authentifizierung ist fehlgeschlagen" wie hier bereits Anfang 2017 beschrieben. Tatsächlich war in der /etc/hosts die 0.0.0.0 vor dem Servernamen gesetzt. Ich habe unter Systemsteuerung / Netzwerk den Servernamen geändert, übernommen, zurückgeändert, übernommen und schon steht in der /etc/hosts die 127.0.0.1 - damit ist das L2TP Authentifizierungsproblem bei mir gelöst. Vielen Dank!

 

[IngoF]

Da der VPN Server immer noch auf den PSK wartet, frag ich ich, wie das funktioniert haben kann.

Ich versuche auch schon seit einem Jahr eine VPN-Verbindung L2TP PSK aufzubauen. Windows 7 und Windows 10 wollen sich einfach nicht verbinden.
Sobald ich jedoch auf L2TP mit Zertifikat einstelle funktioniert es jedoch nur ohne Verschlüsselung. Sobald ich bei Verschlüsselung von "Optional" auf "Erforderlich" umstelle Klappt es auch nicht mehr.

Mit Android Handys keine Probleme. OpenVPN geht auch. Aber L2TP PSK bekomme ich mit Windows nicht mit Verschlüsselung zum laufen.

 

[NSFH]

Das wirst du nicht mit Bordmitteln schaffen sondern nur über einen VPN Client.
Teste mal die Freeware Version des Shrewsoft.

 

[ikorbln]

Hallo,

Warum soll das nicht gehen. Ich hab hier auf der Syn den L2TP/IPSec Server laufen und mit Win10 verbinde ich mich auch mit dem integrierten Client ohne Probleme.
Bei Windows 7 kann ich dazu nicht´s sagen da ich das nicht mehr habe.

 

[NSFH]

L2TP PSK ist gefragt.

 

[ikorbln]

Ja, das mache ich ja. (Unter Win10 "L2TP/IPsec mit vorinstalliertem Schlüssel")

 

[NSFH]

IPSEC ist etwas anderes als XAUTH

 

[IngoF]

Keine Ahnung wie sich dass jetzt genau nennt.
Ich möchte mit Windows10 Boarmitteln eine L2TP Verbindung aufbauen die verschlüsselt ist.

Hatte alles gesucht was ich finden konnte. Auch der Registry Eintrag für NAT bringen nichts.
Ich bekomme nur eine Verbindung wenn ich Verschlüsselung ausschalte und Statt "PSK" auf "Zertifikat" umstelle.

Allerdings macht das dann nicht wirklich Sinn ohne Verschlüsselung.

 

[NSFH]

Dann probiere es mal mit dem kostenfreien Shrewsoft VPN Client (nicht die Pro Version).
Dort verwendest du L2TP mit XAUTH passphrase.
Für die Fritzboxen gibt es dafür zB eine detaillierte Anleitung von AVM.

 

[blinky911]

Zwar ein altes Thema, aber ich bekomme auch keine Verbindung hin. Server kann ich nicht umbenennen wegen dem Domaincontroller.

Berechtigungen sind richtig und die UDC Ports sind in der Fritzbox und Firewall freigegeben.,

in der Hosts Datei steht:

# Any manual change will be lost if the host name is changed or system upgrades.
127.0.0.1    localhost
::1        localhost
127.0.0.1    meinedsm
::1        meinedsm