L2TP/PPTP tunnel vanaf router/modem naar server?

[ASDTEK]

Ik vroeg mij af wat de mogelijkheden zijn om vanaf een routertje met L2TP/PPTP een tunnel te leggen naar een server.
Hoe het uiteindelijk moet gaan werken...

Server 2003
/\
Modem/NAT/Firewall
/\
WAN
/\
Modem/NAT/Firewall
/\
Router+PPTP/L2TP

Heb een VPN server op de 2003 machine geconfigureerd (werkend getest met Vista).
Router in laten loggen lukt niet (WAN side 2003 aan WAN side router).
Geen log te vinden op router of server. Zowel PPTP als L2TP geprobeerd.

Iemand ideeen/advies?

Bvd,J

 

[dnties]

Kijk even hier

Meer tips heb ik zo snel niet.

Tijs.

 

[ASDTEK]

Bedankt voor je reactie!

Het artiket omvat hoofdzakelijk Windows L2TP client achter NAT.
Nu ik mijn vraag nalees zou je misschien ook denken dat ik een windows client bedoel die over routers en internet naar de server moet, maar ik bedoel echt de modem/router zelf als client.

Ik heb de router dus geconfigureerd (PPTP of L2TP) en direct aan de server gehangen...zonder succes. NAT komt later wel.
Via gewone windows machines in het LAN werkt VPN wel
VPN heeft als basis L2TP dus wat is het verschil tussen een windows L2TP client en een router client?

 

[dnties]

Ik heb wel Vista/XP clients ingericht die over een NAT-router een VPN verbinding opzetten met PPTP/L2TP op een W2003 VPN-server achter een NAT router.

Ik heb zelf nooit setups gedaan heb waarbij routers 'inbellen' met PPTP/L2TP, dus ik kan je daar niet mee helpen.
Omdat ik Routing and Remote Access Server bepaald geen 'fijn' onderdeel vind van W2003 kan ik je daar ook niet mee helpen: Alleen als er professioneel naar gevraagd wordt stop ik daar tijd in, niet privé/vrijwilligerswerk. En dan zou ik professioneel altijd eerst geprobeerd hebben de klant over te halen om een Site-to-site VPN te bouwen met routermodems die hardware VPN ondersteunen, dus RRAS niet te gebruiken.

Tijs.

 

[ASDTEK]

Het is inderdaad "waarom makkelijk doen als het moeilijk kan".
Het is een budget projectje. VPN apparatuur gaat hem niet worden.

Iemand anders ideeen?

 

[dnties]

Toch alvast (in afwachting van anderen die nog wat directe tips hebben) een paar valkuilen noemen die je mogelijk verder helpen:
1. De (interne) ip-adressen van Site1 en Site2 mogen niet met elkaar overeenkomen. Dus als ik bijv. 'inbel' met intern ip-adres 192.168.0.x naar een netwerk met óók 192.168.0.x dan gaat het niet werken.
2. Gebruik je IPSec, dan zul je op de 'ontvangende' router de volgende poorten en protcollen in de firewall moeten toestaan Wan-to-Lan en moeten forwarden naar het ip-adres van de W2003 server (zie eerdere link + deze link):
Internet Key Exchange (IKE): User Datagram Protocol poort 500 (UDP)
IPsec NAT-T - poort 4500 (UDP)
3. Wellicht kun je hier nog wat informatie halen die je nodig hebt voor je (firewall/NAT)-setup.

Succes, en hopelijk komen anderen nog met tips.

Tijs.

 

[ASDTEK]

Om de veel voorkomende problemen zoals NAT en firewalls te voorkomen heb ik inderdaad eerst alles in een LAN opgezet.

Na een uurtje of 10(!) kwam de wanhoop aardig in de buurt.
Na het wijzigingen verificatiemethodes naar MS-CHAPv2 in de eigenschappen van de RAS server zelf zag ik in een log dat de connection
established zou zijn...maar helaas ook weer verbroken door de LCP. Hier met iets frissere moed ook maar weer een paar uurtjes ingestoken.
Uiteindelijk kwam ik uit bij verificatiemethodes in het aangemaakte RAS beleid ("even" vergeten) en na deze ook op MS-CHAPv2 te zetten is het gelukt!!!

Ik ga nog even nagenieten door 10 x mijn routertje aan en uit zetten en kijken hoe mijn heerlijke tunneltje gelegd word

Thx voor het meedenken!!! :thumb::thumb:


Gr.J