VPN mit OS 10.5 Server

[stk]

Moin,

Wenn Du es mir nicht glaubst, Stefan bitte reposte das.

ich hab nur ein einziges Mal versucht einen WinXP-Client mit seinen Bordmitteln an ein L2TP/IPSec- VPN eines OS X Servers zu hängen. Den Versuch hab ich nach zwei Stunden abgebrochen weils einfach nicht ging obwohl ich mir todessicher war, alles korrekt eingetragen zu haben.

Gruß Stefan

 

[pepi]

Nein, der Cisco Client funktioniert nicht, das wurde auch schon erklärt.

Wenn Du mit Windows XP da dran mußt und NAT verwendest bleibt Dir nur PPTP oder OpenVPN.
Gruß Pepi

 

[Atelis]

und NAT verwendest

Und NAT kann ich nur verhindern, wenn der Server selbst der DHCP-Server ist und nicht im Unternetzwerk hängt?

 

[pepi]

NAT hat mit dem DHCP Server nichts zu tun sondern mit dem Routing. Der Server muß eine public IP haben.
Gruß Pepi

 

[Atelis]

... Server - der Client kriegt's ja dann beim Einbuchen per DHCP in die Finger gedrückt.

Habe beim Server als DNS-Server die Adresse des Routers eingetragen - reicht aber irgendwie nicht. Safari sagt zwar jetzt nicht mehr sofort, dass es keine Internetverbindung hat, aber bricht den Seitenaufruf irgendwann ab, "weil der Server nicht antwortet". Muss ich noch irgendwas eingeben (siehe Anhang)?

NAT hat mit dem DHCP Server nichts zu tun sondern mit dem Routing. Der Server muß eine public IP haben.

Ok, kann ich also vergessen. Nur mal eine reine Interessenfrage: Wie gehe ich vor, wenn ich einem Rechner eine öffentliche IP-Adresse geben will? Muss ich das irgendwo anmelden/registrieren?


PS: Übrigens, danke für eure Geduld mit mir...

 

[stk]

Moin,

Habe beim Server als DNS-Server die Adresse des Routers eingetragen - reicht aber irgendwie nicht.

kann ja nicht - der Router ist kein DNS-Server, der gibt empfangene DNS-Einträge des Providers nur weiter. Du brauchst einen internen DNS, der idealerweise wieder auf dem DHCP des Servers aufsetzt.

<edit>Screenshot in denen Du die wirklich spannenden Infos, wie z.B. IP-Adressen komplett rausretuschierst, kannst Dir ebenso gut sparen.</edit>

Gruß Stefan

 

[Atelis]

der Router ist kein DNS-Server, der gibt empfangene DNS-Einträge des Providers nur weiter. Du brauchst einen internen DNS, der idealerweise wieder auf dem DHCP des Servers aufsetzt.

Dass er kein DNS-Server ist, weiß ich, aber ich dachte er gibt die Anfrage weiter.
Ich starte auf dem Server DNS und dann? Wie und wohin gebe ich die DNS-Anfragen? Habe ein bisschen im Internet gesucht und gelesen, aber werde daraus nicht schlau.

<edit>Screenshot in denen Du die wirklich spannenden Infos, wie z.B. IP-Adressen komplett rausretuschierst, kannst Dir ebenso gut sparen.</edit>

Es ging mir nur darum, dass ihr wisst, an welcher Stelle ich hänge bzw. was ich genau meine...

 

[stk]

Moin,

Ich starte auf dem Server DNS und dann? Wie und wohin gebe ich die DNS-Anfragen? Habe ein bisschen im Internet gesucht und gelesen, aber werde daraus nicht schlau.

Na an den OS X Server latürnich. Nur starten alleine hilft natürlich nicht, Du mußt auch dafür sorgen, das er richtig konfiguriert ist .

Der interne DNS-Server kann dann für alle deine Geräte im internen Netz die Namen verwalten. Die kennt er umso zuverlässiger, je zuverlässiger der DHCP funktioniert. Daher auch meine Idee das der Server - und nicht der Router - auch diese Rolle bekommt. Externe Adressen, die er nicht kennt gibt er automatisch nach draussen (an den DNS-Server des Providers) weiter und läßt sie sich von dort vorsagen.

Ich fürchte ein bisschen tiefer wirst Du dich in die Materie einlesen müssen. Oder Geld ausgeben, für einen, der's nicht nur gelesen, sondern auch schon verstanden hat .

Gruß Stefan

 

[Atelis]

So, habe nun wieder ein bisschen Zeit gefunden mich mit dem Thema VPN zu beschäftigen. Das Problem bis jetzt war so simpel, sodass ich es garnicht gesehen hab: meine lokalen IP-Adressen fangen mit 10.0.0.x an - was ich später sah: die lokalen Adressen von wo aus ich den Clienten arbeiten lassen wollte, leider auch. Deshalb konnte er sich immer nur mit meinem VPN-Server verbinden, aber keine Adresse im VPN-Netz erreichen - logisch...

Nun steht eine Verbindung und ich kann (fast) alle Dienste nutzen.

2 Probleme:

1. Das Verwalten meiner DNS-Namen wie z. B. "MeinMac.local" macht doch der Router, oder nicht? Warum kann ich Rechner nur über die IP-Adressen, aber nicht über die DNS-Namen erreichen? Der Router ist übrigens das einzige Gerät, dass unter "fritz.box" erreichbar ist... warum?? Wo fehlt welche Information?
2. Es heißt immer, dass sich alles so verhält, als sei der Rechner physisch im lokalen Netzwerk vorhanden. Warum erscheinen die freigegebenen Ordner nicht im Finder in der Seitenleiste und warum zeigt iTunes keine freigegebene Musik an? Hat das mit Bonjour zu tun?

Vielen Dank nochmal an alle, die mir bis jetzt geholfen haben!

 

[pepi]

.local Namen werden nicht vom DNS sondern vom mDNS (Multicast DNS) verwaltet. Die werden also von jedem Rechner selbst annonciert. Dies geschieht über Multicast, bzw. Broadcast. Diese Packete sind nicht Routingfähig und können daher auch nicht durch das VPN durchwandern. VPN Interfaces haben keine Boradcast Adressen. Wenn Du echte Namensauflösung haben möchtest, mußt Du auch einen echten DNS Server einsetzen und dort eine eigene zB. .lan Domain verwalten. Die kann dann auch entsprechend aufgelöst werden wenn Dein VPN Server dem Client entsprechende Routing und DNS Informationen mitteilt.

Ad 2. Siehe 1. Bonjour läuft über Broadcast… dieses Interface gibts bei VPN nicht, ergo kann nicht gehen.
Aliase im Dock oder ein Stapel Bookmarks im Gehe zu > Mit Server verbinden… Menü helfen.
iTunes Music Sharing kann nicht funktionieren, da die IP Packets eine TTL haben die kein Routing übersteht. (Das ist von der Musikindustrie so durchgeboxt worden, sonst hätte Apple das beliebte Feature komplett entfernen müssen.)
Gruß Pepi

 

[Atelis]

Vielen Dank für die Erklärung - das habe sogar ich verstanden... :-D

.local Namen werden nicht vom DNS sondern vom mDNS (Multicast DNS) verwaltet.

Ich glaube, dass in der neuen Fritzbox-Firmware ein DNS-Server verwendet werden kann. Kann zumindest über einen Namen, den ich in der Fritzbox eingebe (ohne ".local") meinen Rechner erreichen.
Wie kann ich testen, ob ein Name, den ich habe, wirklich DNS ist und routingfähig ist? Habe jetzt im Moment keinen Zugriff auf einen externen Rechner, um die VPN-Verbindung nutzen zu können.

 

[pepi]

Ich nehme mal an, daß die Fritz! Box auch einen mDNS Server verwendet. Wenn Du einen echten DNS Server (bind) selbst bereibst, wenn auch nur fürs LAN, dann weist Du das bestimmt. Wenn Du die Namen über die VPN Verbindung auflösen kannst, dann ist es wohl normales DNS. Wenns nicht geht, muß es nicht zwangsläufig mDNS sein, kann auch an mangelnder Info bei der VPN konfig liegen, sprich kein DNS Server der den Clients mitgeteilt wird.
Gruß Pepi

 

[Pyth0n]

Verbindungsaufbau endet mit Timeout

Guten Tag liebe Apfeltalker,

ein Kumpel von mir versucht seinen VPN Server zu konfigurieren, aber leider scheitert es beim Aufbau der Verbindung, laut Protokoll und Client. Es wurde versucht per PPTP, wo wenigstens eine Meldung kommt, als auch bei L2TP wo sich nicht mehr regt.

Es zu einem Timeout. Konfiguriert wurde der DNS und VPN Dienst. Die Firewall wurde mal konfiguriert, aber wieder abgeschaltet, da es erstmal so funktionieren sollte bevor man große Sicherheitsmaßnahmen hochzieht. Am Router kann es auch nicht liegen, da er es erst im internen Netz versuchen wollte, bevor er sein Scheunentor zur Außenwelt unnötig öffnet.

Hier ist der Verbindungsaufbau mal aus dem Logfile:

2009-02-13 21:41:56 CET Incoming call... Address given to client = 10.211.55.226
Mon Feb 13 21:41:57 2009 : Directory Services Authentication plugin initialized
Mon Feb 13 21:41:57 2009 : Directory Services Authorization plugin initialized
Mon Feb 13 21:41:57 2009 : PPTP incoming call in progress from '10.211.55.2'...
Mon Feb 13 21:41:57 2009 : PPTP connection established.
Mon Feb 13 21:41:57 2009 : using link 0
Mon Feb 13 21:41:57 2009 : Using interface ppp0
Mon Feb 13 21:41:57 2009 : Connect: ppp0 <--> socket[34:17]
Mon Feb 13 21:41:58 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:01 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:04 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:07 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:10 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:13 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:16 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:19 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:22 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:25 2009 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xaa63f589> <pcomp> <accomp>]
Mon Feb 13 21:42:28 2009 : PPTP hangup
Mon Feb 13 21:42:28 2009 : Connection terminated.
Mon Feb 13 21:42:29 2009 : PPTP disconnecting...
Mon Feb 13 21:42:29 2009 : PPTP disconnected
2009-02-13 21:42:29 CET --> Client with address = 10.211.55.226 has hungup

Ich hoffe Ihr könnt meinem Kollegen helfen, damit sein gejammer mal ein Ende hat.

Gruß, Pyth0n

 

[pepi]

Was für Clients, was für ein Server, wie ist das alles konfiguriert?
Gruß Pepi

 

[Pyth0n]

Screenshots der Konfiguration

Was für Clients, was für ein Server, wie ist das alles konfiguriert?
Gruß Pepi

Danke Pepi für die Antwort. Server als auch Clients sind bis jetzt Leoparden, später vielleicht ein XP Client, aber das wird sich später zeigen. Ich denke bevor wir hier groß reden zeigen wir euch mal Screenshots von dem was da ist.

Die Serverip ist logischerweise 10.211.55.100 und sein FQDN ist server.lan. Die Forward Zone ist gesetzt auf ein DNS des Providers und die namensauflösung funktioniert auch.

Zu der VPN Einstellung kannn ich wenig sagen, da ich hoffe, dass es aus den Screenshots deutlich wird.

Falls ihr etwas spezifisches bzw. genauer wollte müsst ihr uns sagen wo wir das einsehen können. Danke sehr!

Gruß, Pyth0n

 

[pepi]

FQDN ist für PPTP egal, für alles andere kannst ich mit dem FQDN brausen gehen. Speziell iCal Server und ein paar andere Sachen.

Hast Du GRE am Router/Firewall auf den Server weitergeleitet und auch am Server Firewall offen? Du solltest übrigens nach Möglichkeit L2TP verwenden. Wenns nur Macs sind, isses kein Problem, die Windose wird Troubles machen (wie üblich halt).
Gruß Pepi

 

[Pyth0n]

[...]
Hast Du GRE am Router/Firewall auf den Server weitergeleitet und auch am Server Firewall offen? Du solltest übrigens nach Möglichkeit L2TP verwenden. Wenns nur Macs sind, isses kein Problem, die Windose wird Troubles machen (wie üblich halt).
Gruß Pepi

GRE war an sich weitergeleitet, aber irgendwie war der Router etwas fehlinformiert und tat nicht das was er sollte. Wir haben ihn mal neukonfiguriert von Grund auf und nu läuft zumindestens PPTP.

Wenn wir L2TP nehmen, was sollten wir da beachten bzw. müssen wir andere Ports noch freigeben außer die für ESP und IKE?

Gruß, Pyth0n

 

[stk]

UDP 500, 1701 und 4500

 

[pepi]

GRE war an sich weitergeleitet, aber irgendwie war der Router etwas fehlinformiert und tat nicht das was er sollte. Wir haben ihn mal neukonfiguriert von Grund auf und nu läuft zumindestens PPTP.

Wenn wir L2TP nehmen, was sollten wir da beachten bzw. müssen wir andere Ports noch freigeben außer die für ESP und IKE?

Gruß, Pyth0n

GRE und ESP sind übrigens keine Ports (bzw. Port Bezeichnungen) sondern Protokolle wie TCP, UDP, ICMP oder auch IGMP.
Gruß Pepi

 

[LongDongLude]

hab auch Probleme mit der Einrichtung von VPN.
Hab einen Mac OSX Server und nur OSX Clients. VPN ist auf dem Server activiert

Bekomme folgende Fehlermeldung:

Dec 21 20:00:21: --- last message repeated 1 time ---
Dec 21 20:00:21 server racoon[145]: IKE Packet: transmit success. (Phase1 Retransmit).
Dec 21 20:00:21 server racoon[145]: IKE Packet: receive failed. (Responder, Main-Mode Message 3).
Dec 21 20:00:23: --- last message repeated 1 time ---
Dec 21 20:00:23 server racoon[145]: Connecting.
Dec 21 20:00:23 server racoon[145]: IKE Packet: receive success. (Responder, Main-Mode message 1).
Dec 21 20:00:23 server racoon[145]: IKE Packet: transmit success. (Responder, Main-Mode message 2).
Dec 21 20:00:23 server racoon[145]: IKE Packet: receive success. (Responder, Main-Mode message 3).
Dec 21 20:00:23 server racoon[145]: IKE Packet: transmit success. (Responder, Main-Mode message 4).
Dec 21 20:00:23 server racoon[145]: IKEv1 Phase1 AUTH: success. (Responder, Main-Mode Message 5).
Dec 21 20:00:23 server racoon[145]: IKE Packet: receive success. (Responder, Main-Mode message 5).
Dec 21 20:00:23 server racoon[145]: IKEv1 Phase1 Responder: success. (Responder, Main-Mode).
Dec 21 20:00:23 server racoon[145]: IKE Packet: transmit success. (Responder, Main-Mode message 6).
Dec 21 20:00:23 server racoon[145]: IKE Packet: transmit success. (Information message).
Dec 21 20:00:23 server racoon[145]: IKEv1 Information-Notice: transmit success. (ISAKMP-SA).
Dec 21 20:00:23 server racoon[145]: IKE Packet: receive success. (Information message).
Dec 21 20:00:24 server racoon[145]: IKEv1 Phase1: maximum retransmits. (Phase1 Maximum Retransmits).
Dec 21 20:00:24 server racoon[145]: Disconnecting. (Connection tried to negotiate for, 30.137634 seconds).
Dec 21 20:00:24 server racoon[145]: IKE Packets Receive Failure-Rate Statistic. (Failure-Rate = 100.000).
Dec 21 20:00:24 server racoon[145]: IKE Phase1 Failure-Rate Statistic. (Failure-Rate = 100.000).

Server hängt hinter einem Router. Ports sind offen und weiterleitung ist aktiviert.


Für Hilfe wäre ich echt Dankbar.