---

Jeg skal have lavet Microsoft vpn til en W2K server der nu kører som vpn
server. Dette skal gøres gennem en fast opkobling der kører NAT. Port 1701
bliver videresendt til serverens ip. Dette skulle iflg.
http://support.microsoft.com/support/kb/articles/Q255/7/84.ASP?LN=EN-US&SD=g
n&FR=0&qry=vpn%20+%20port&rnk=20&src=DHCS_MSPSS_gn_SRCH&SPR=MSALL

være den port jeg skal benytte.

Spørgsmålet er så om der er flere der skal benyttes, jeg får følgende fejl
når jeg prøver at connecte via vpn klient fra en w2k pro.

Disconnected

Error 789: The L2TP connection attempt failed because the security layer
encountered a processing error during initial negotiations with the remote
computer.

Den bruger jeg logger på med har fået tildelt dial-in rettighed i AD.

Er der andre porte der skal være åbne eller hvad kan der være galt ??

Desuden har jeg et lille problem med at nogle danske outlook klienter der
bliver tilsluttet en exchange 2000 server skriver indbakke m.m. på engelsk.
Dette er kun nogle af klienterne der gør ?

På forhånd tak for hjælpen !

Mvh

Jack

XFUT: dk.edb.sysadmin

---

On Thu, 1 Mar 2001 13:43:04 +0100, "Jack"
<jack.nielsen@get2net.dk> wrote:

> Jeg skal have lavet Microsoft vpn til en W2K server der nu kører som vpn
> server. Dette skal gøres gennem en fast opkobling der kører NAT. Port 1701
> bliver videresendt til serverens ip.

Hvis det er PPTP, er det forkert. For det første skal du også
have IP-protokol 47 (GRE) igennem, og for det andet skal din
NAT-implementation specifikt understøtte PPTP. Og så er det altså
port 1723, ikke 1701.

Hvis det er L2TP er 1701 korrekt, men så skal du også lukke op
for IPSec.

PPTP er af de to nemmest at sætte op, og er understøttat af al
Windows 9x og nyere. Men man kan argumentere for, at IPSec er
mere sikkert end MPPE.

-A
PS: FUT dk.edb.netvaerk

---

> Hvis det er PPTP, er det forkert. For det første skal du også
> have IP-protokol 47 (GRE) igennem, og for det andet skal din
> NAT-implementation specifikt understøtte PPTP. Og så er det altså
> port 1723, ikke 1701.
>
> Hvis det er L2TP er 1701 korrekt, men så skal du også lukke op
> for IPSec.
>

PPTP understøttes ilfg. euroconnect som er udbyder ikke af routeren.

L2TP ville være en mulighed, men hvordan skal man "lukke" op for IPSec ?

Mvh

Jack

---

On Thu, 1 Mar 2001 16:38:25 +0100, "Jack"
<jack.nielsen@get2net.dk> wrote:

> PPTP understøttes ilfg. euroconnect som er udbyder ikke af routeren.

Hva' er det for en router? Og i hvilken retning ønsker du at
sætte forbindelsen op?

> L2TP ville være en mulighed, men hvordan skal man "lukke" op for IPSec ?

For det første skal du køre IPSec uden authentication header. For
det andet skal du øbne for ISAKMP (500/udp, IIRC). For det tredje
skal du åbne for ESP (IP-protokol 50, IIRC).

Det burde kunne gøre det.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

> Hvis det er PPTP, er det forkert. For det første skal du også
> have IP-protokol 47 (GRE) igennem, og for det andet skal din
> NAT-implementation specifikt understøtte PPTP. Og så er det altså
> port 1723, ikke 1701.
>
> Hvis det er L2TP er 1701 korrekt, men så skal du også lukke op
> for IPSec.
>
> PPTP er af de to nemmest at sætte op, og er understøttat af al
> Windows 9x og nyere. Men man kan argumentere for, at IPSec er
> mere sikkert end MPPE.

lt2p kører da ikke med NAT i en win2k implemenatation?

Morgan

---

> lt2p kører da ikke med NAT i en win2k implemenatation?

Det håber jeg den gør, idet routeren kører NAT, ellers er det nok offentlige
ip adresser på netværket eller godNAT !

Mvh

Jack

---

On Thu, 1 Mar 2001 21:42:05 +0100, "Morgan Jones"
<morgan@jones.dk> wrote:

> lt2p kører da ikke med NAT i en win2k implemenatation?

Huh?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

Ved l2tp skal man have protocol 50 (ESP) igennem, skulle de fleste routere
ikke gøre det af sig selv ?

Med hensyn til NAT så har jeg fundet følgende:

Q259335:
If the Virtual Private Netvork client is behind any network device
performing NAT, the L2TP session fails because encrypted IPSec Encapsulating
Security Protocol packets become corrupted !

Hmm !

Skal man have certifikat til l2tp for at kommunikation virker ? I givet fald
hvordan oprettet man disse og installere på computeren ?

Er der ikke nogle her der har lavet L2TP VPN ?

Mvh

Jack

---

On Fri, 2 Mar 2001 08:43:51 +0100, "Jack"
<jack.nielsen@get2net.dk> wrote:

> Ved l2tp skal man have protocol 50 (ESP) igennem, skulle de fleste routere
> ikke gøre det af sig selv ?

Næ, ikke hvis man kører NAT. Det er ligesom de ikke 'gør det af
sig selv' med TCP og UDP.

> Q259335:
> If the Virtual Private Netvork client is behind any network device
> performing NAT, the L2TP session fails because encrypted IPSec Encapsulating
> Security Protocol packets become corrupted !

Det er ikke første gang, Microsoft ikke ved, hvad de snakker om,
når det drejer sig om netværk. Selvfølgelig kan man køre ESP over
NAT. Man kan bare ikke køre med authentication header.

> Skal man have certifikat til l2tp for at kommunikation virker ?

Nej, man kan lave IPSec-forbindelsen med pre-shared keys.

> I givet fald hvordan oprettet man disse og installere på computeren ?

Man kan fx. bruge Mickeysosfts egen certificat-server.

> Er der ikke nogle her der har lavet L2TP VPN ?

Jo. For at få det til at vide, kræver det at man ved noget om
IPSec. For at få det til at virke over NAT, kræver det, at man
også ved noget om NAT. Det er altså ikke en ting, der nemt for-
klares på et 30-liniers news-indlæg.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/