ipsec wie?

ottosykora · 30. Aug 2013

Ja, nun ist die ipsec VPN auch da.

Nur wie verwendet man es unter w7 zum Bsp?

Gibt es dazu irgednwi eine Anleitung oder so was?

Anzeige · 30. Aug 2013

Hallo ottosykora,

Bücher und Hardware zum Thema gibt es bei Amazon: ipsec wie?

ottosykora · 05. Sep 2013

was braucht auf der Seite von w7?
Braucht es auch ein Clinet Software wie bei openVPN? Wenn ja welches?

fpo4711 · 05. Sep 2013

Windows7 bringt alles bereits mit. Ein Stolperstein ist hier beschrieben.

Gruß Frank

ottosykora · 06. Sep 2013

AHA!
danke für Info.
Werde mich nächste Woche dahinter klemmen, mal sehen ob es schneller geht als mit meiner OVPN ;-)

ottosykora · 10. Sep 2013

also habe bis jetzt folgendes erledigt:

Die Ports 1701, 4500, 500 UDP durchgeschaltet

Am remote Rechner (w7) den Schlüssel in Registry erstellt und auf 2 gestellt.
(rebooted)

In DS ist die Ipsec eingeschaltet und ein secret, also Passphrase erstellt.

In w7 nun in einem Admin Account angefangen die Ipsec zu konfigurieren.

Neue VPN angelegt, also etwa so wie PPTP, dann auf Eigenschaften und als VPN Typ die L2TP/IPsec und in den erweiterten Einstellungen den Schlüssel (Passphrase) eingegeben.

Verbindung klappt nicht.

Also was muss ich noch genau einstellen, also da gibt es noch Authetitifizierung mit diverser Auswahl und Protokolen. Was nimmt man da?

ottosykora · 11. Sep 2013

Habe nun die diversen Versionen, aber eben vor allem den MS-Chap v2 alleine oder mit andrem Protokol eingeschaltet, in Firewall alles auch durchgelassen etc. Immer noch der gleiche Fehler, keine Verbindung.

Was habe ich noch vergessen?

fpo4711 · 11. Sep 2013

Hier mal ein Screenshot

und unter Erweiterte Einstellungen den Schlüssel nicht vergessen.

Gruß Frank

Edit: Gerade noch gesehen, Unverschlüsselt und Chap kannst Du abhaken und 1701 als Portweiterleitung ist auch nicht nötig.

ottosykora · 11. Sep 2013

hmm, geht immer noch nicht, Error 789, Password ist in DS und in dem IPsec drin.

In der Fritz ist kein VPN angelegt, also sollte das ja nicht stören denken ich?

Bin gerade auf der Suche wie ich zu irgendeinem Log komme. Also bei der Fehlermeldung kann man auch einen Log machen lassen, nur ist es wohl ein Log des ganzen Windows oder so was, ein html File.

Was davon ist relevant?

süno42 · 11. Sep 2013

ottosykora schrieb:
In der Fritz ist kein VPN angelegt, also sollte das ja nicht stören denken ich?

Ich verstehe nicht, warum Du nicht das VPN in der Fritzbox nimmst, dies hat auf Neudeutsch weniger Overhead.

fpo4711 · 11. Sep 2013

Wenn der W7-Rechner ein Laptop o.ä. ist könntest Du den Verbindungsaufbau einmal im lokalen Netz versuchen. Also als Ziel dann nicht deine DDNS angeben sondern die lokale IP deiner DS. Sollte das klappen kannst Du schon mal Client und Server ausschliessen und müßtest beim Router suchen.

Gruß Frank

ottosykora · 12. Sep 2013

süno42 schrieb:
Ich verstehe nicht, warum Du nicht das VPN in der Fritzbox nimmst, dies hat auf Neudeutsch weniger Overhead.

das ist nicht sinnvoll, mache alles als eine Art Ausbildung und nicht als was produktives. Die meisten Installationen die ich antreffe und auch die bei mir zu hause erlaubt es nicht da Fritz als Router verwendet wird aber erst hinter dem Modem des Providers und damit geht ein Fritzbox VPN ohnehin kaum.

ottosykora · 12. Sep 2013

fpo4711 schrieb:
Wenn der W7-Rechner ein Laptop o.ä. ist könntest Du den Verbindungsaufbau einmal im lokalen Netz versuchen.

Gruß Frank

na ja habe mir wohl die Regeln vom OVPN sehr stark eingeprägt und wollte es eben aus dem remote Netz machen. (Subnetz ungleich)

Werde es in den nächsten Tagen lokal versuchen.

Irgendwie komme ich bei dem w7 auch mit den Logs nicht zurecht. w7 macht zwar einen riesen File (html) aber das ist so gross und beinhaltet wohl das ganze Windows. Ich bin mirda nicht sehr sicher nach was ich suchen soll.

fpo4711 · 12. Sep 2013

ottosykora schrieb:
na ja habe mir wohl die Regeln vom OVPN sehr stark eingeprägt und wollte es eben aus dem remote Netz machen. (Subnetz ungleich)

Das ist auch nicht für den Betrieb gedacht, sondern nur als Test für den Verbindungsaufbau.

Gruß Frank

süno42 · 12. Sep 2013

ottosykora schrieb:
das ist nicht sinnvoll, mache alles als eine Art Ausbildung und nicht als was produktives. Die meisten Installationen die ich antreffe und auch die bei mir zu hause erlaubt es nicht da Fritz als Router verwendet wird aber erst hinter dem Modem des Providers und damit geht ein Fritzbox VPN ohnehin kaum.

Oh, damit habe ich nicht im entferntesten gerechnet, daß es für Dich eine Lernpraxis darstellt. Kleiner Tip: Nimm zur Analyse zusätzlich Wireshark, das hilft zum einen bei der Fehlersuche und unterstützt Dich eventuell beim Lernen.

Nebenbei: Ein Fritz-VPN funktioniert auch hinter einem NAT-Router sehr gut. Du mußt nur darauf achten, daß NAT für Ipsec aktiviert ist und Du AH deaktivierst.

Viele Grüße
Süno42

ottosykora · 13. Sep 2013

also liegt wohl irgendwie am Server. Lokal kann ich es auch nicht verbinden.
Die Firewall in DS habe ich vorläufig abgestellt, keine Besserung.
Habe also direkt die lokale IP der DS als Ziel eingegeben. Bin also im gleichen Netz, also ohne NAT dazwischen.
Diesmal bekomme ich einen anderen Fehler:

mit PPTP unter gleichen Bedinungen und Einstellungen geht alles prima.

fpo4711 · 13. Sep 2013

Und Du hast auch wirklich den Eintrag in der Registry korrekt umgesetzt? (siehe #3) Denn das wäre genau das Fehlerbild wenn nicht.

Gruß Frank

ottosykora · 13. Sep 2013

na ja was ist schon korrekt?
Ich habe mich zumindest bemüht und es auf dem Pc in der Arbeit und dem zu hause gleiche gemacht. Nochmals die Anleitung bei MS durchgelesen, dann nochmals in english und dann dachte ich alles klar.

Für mich scheint es als ob sich da gar nichts meldet wenn der Miniport versucht was zu rufen.
Aber es geht auch nicht wenn die beiden im gleichen Subnetz sind und nur über einen Kabel und einen einfachen Switch verbunden sind.
In diesem Fall müsste es meiner Logik nach sogar ohne den Registry Eintrag halbwegs gehen.

Wenn ich von remote versuche, ist die Fehlermeldung anders, Nr 789.

Habe versucht diesen Log aus windows zu lesen, das ist so was von kompliziert...ein html File der wohl alle Vorgänge von Windows notiert.

ottosykora · 13. Sep 2013

die Fehlermeldung von Remote, also von der Arbeit via all die Router etc sagt was anderes, obwohl es genau so aussieht. Der Miniport versucht sich zu verbinden, nach ca 30s gibt er auf mit dieser Meldung:

ottosykora · 15. Sep 2013

habe es nun von einer anderen Location probiert, also nicht aus der Arbeit. Geht genau so wenig. Auch Fehler 789.

In der Registry habe ich es denke ich richtig gemacht, ist nicht der erste Registry Hack den ich mache. Trotzdem bitte kann es jemad kurz anschauen ob es so sein soll?
Bekomme offensichtlich gar keine Verbindung. Ports sind in UDP offen und auch in der DS Firewall . Habe es auch ohne die FW versuch, geht nicht. Auch lokal nicht. Gibt es da in der DS ein log nach dem ich suchen kann?

Rich (BBCode):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
"DisplayName"="@%SystemRoot%\\System32\\polstore.dll,-5010"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,53,00,65,00,72,00,76,\
  00,69,00,63,00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,\
  73,00,74,00,72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Description"="@%SystemRoot%\\system32\\polstore.dll,-5011"
"ObjectName"="NT Authority\\NetworkService"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000020
"DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,62,00,66,00,65,00,\
  00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,\
  61,00,6e,00,67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,\
  72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,\
  00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,73,00,65,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
  00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="SpdServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent\TriggerInfo\0]
"Type"=dword:00000004
"Action"=dword:00000001
"GUID"=hex:07,9e,56,b7,21,84,e0,4e,ad,10,86,91,5a,fd,ad,09
"Data0"=hex:52,00,50,00,43,00,00,00,54,00,43,00,50,00,00,00,25,00,77,00,69,00,\
  6e,00,64,00,69,00,72,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,\
  00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,\
  65,00,00,00,70,00,6f,00,6c,00,69,00,63,00,79,00,61,00,67,00,65,00,6e,00,74,\
  00,00,00,00,00
"DataType0"=dword:00000002

fpo4711 · 15. Sep 2013

Hallo,

den Registry-Eintrag hast Du jedenfalls richtig eingetragen. Ich würde das aber erstmal nur von intern testen damit Du alle anderen Sachen ausschliesen kannst. Manchmal fängt man sich ja auch zwei Probleme gleichzeitig ein. Hast Du vieleicht Norton auf deinem Clienten zu laufen? Hier hat es beispielsweise einmal nicht gereicht die Firewall zu deaktivieren sondern Norton mußte komplett deinstalliert werden. Ansonsten hier mal eine Checkliste (ungefiltert)

# Service Startype automatic
IKE- und AuthIP IPsec-Schlüsselerstellungsmodule

# Bei 1 wird versucht mittels Zertifikat zu authentifizieren
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec = 0

# Norton o.ä. deinstallieren
# Firewall deaktivieren reicht nicht - jedenfalls bei Norton

# Modify registry to allow NAT-Traversal with
HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgentAssumeUDPEncapsulationContextOnSendRule = 2

# Port 500/4500 UDP

# Check Firewall

# Check preshared key or certificate

Gruß Frank