arnonymous
Goto Top

Lancom PPTP Passthrough

Hallo,

ein Kunde hat einen neuen Anschluß bekommen.
Dazu einen LANCOM 1783VA. Dahinter steht eine TMG2010, die als RAS-Server dient.
Feste IP-Adresse wurde vom alten Anschluß übernommen.

Den LANCOM habe ich nun entsprechend konfiguriert. Alles funktioniert soweit: OWA, ActiveSync, ect pp.
Nur das PPTP bekomme ich nicht durchgereicht. Ich habe den Port 1723 im Port-Forwarding eingetragen, aber das scheint nicht zu reichen.
Ich sehe auf der TMG in Log auch, dass der Client eine PPTP-Verbindung aufbaut, die daraufhin aber sofort wieder unterbrochen wird (0x80074e24 fwx_e_connection_killed).
Im EventLog des Clients finden sich folgende Einträge:

RAS Client ID 20227

Der Benutzer "domain\user" hat eine Verbindung mit dem Namen "VPN" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 720.


Ich weiß nicht weiter. Vor der Umstellung ging es, daher gehe ich nicht davon aus, dass es ein Fehler auf der TMG ist.
Hat jemand einen Tipp?


Viele Grüße

Content-Key: 289899

Url: https://administrator.de/contentid/289899

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: 114757
Lösung 114757 02.12.2015, aktualisiert am 10.12.2015 um 09:18:48 Uhr
Goto Top
Moin,
hast du denn auch das GRE Protokoll weitergeleitet ? Protokollnummer 47 (nicht Port)

Das PPTP ja nicht mehr sicher ist braucht man ja eigentlich nicht mehr zu erwähnen ...

Gruß jodel32
Mitglied: Pjordorf
Lösung Pjordorf 02.12.2015, aktualisiert am 10.12.2015 um 09:18:55 Uhr
Goto Top
Hallo,

Zitat von @ArnoNymous:
Ich habe den Port 1723 im Port-Forwarding eingetragen, aber das scheint nicht zu reichen.
Richtig. PPTP VPN besteht aus TCP Port 1723 sowie IP Protokoll 47 (nicht Port) hier auch GRE (Protokoll) genannt. Da muss beides weitergeleitet werden. Sollte dir das Protokoll vom LANCOM aber schon verraten haben.

https://de.wikipedia.org/wiki/Protokoll_(IP)

Gruß,
Peter
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 18:37:01 Uhr
Goto Top
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
Mitglied: 114757
Lösung 114757 02.12.2015, aktualisiert am 10.12.2015 um 09:18:59 Uhr
Goto Top
Zitat von @ArnoNymous:
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
In der Firewall-Section > Regeln

0c5da6d01b4de781bf1f5dde97cb6f48

3027f464418827eb39d9c11d55b6ab72
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 18:47:02 Uhr
Goto Top
Danke für die Hilfe.

Leider hat es nichts geholfen. Identischer Fehler.
Mitglied: 114757
114757 02.12.2015 aktualisiert um 18:50:49 Uhr
Goto Top
Zitat von @ArnoNymous:
Leider hat es nichts geholfen. Identischer Fehler.
Hat der Client zusätzliche aktive Netzwerkadapter (egal ob Bluetooth, virtuelle Interfaces etc. das alles zählt)?

Siehe auch
https://support.microsoft.com/en-us/kb/810979

https://www.google.de/search?q=PPTP+Error+720
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 18:51:39 Uhr
Goto Top
Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Mitglied: 114757
114757 02.12.2015 aktualisiert um 18:53:45 Uhr
Goto Top
Zitat von @ArnoNymous:

Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Von wo aus testest du die Verbindung ?

Schalte mal Wireshark mit in die Kommunikation mit rein ...

OS der Clients ?
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 18:56:21 Uhr
Goto Top
Zitat von @114757:

Zitat von @ArnoNymous:

Nein. Habe zum Testen auch einen zweiten Client genommen. Identischer Fehler.
Von wo aus testest du die Verbindung ?


UMTS sowie DSL von außerhalb.

Schalte mal Wireshark mit in die Kommunikation mit rein ...


Habe ich keine Erfahrungen mit, aber ich werde es mir mal anschauen.

OS der Clients ?

Win7 /Win10
Mitglied: tikayevent
tikayevent 02.12.2015 um 19:11:07 Uhr
Goto Top
Eine Weiterleitung von GRE ist bei LANCOM nicht möglich. Jodel32 hat nur beschrieben, wie man die Firewall einstellt, um es durchzulassen, aber durch die fehlende Weiterleitung geht es nicht durch. GRE lässt sich aber schon aufgrund der Protokollbeschaffenheit nur sehr schwer händeln.
Mitglied: Pjordorf
Pjordorf 02.12.2015 um 19:12:07 Uhr
Goto Top
Hallo,

Zitat von @ArnoNymous:
Und wo leitet man beim Lancom Protokolle weiter? Weiß das zufällig jemand?
Lancom selbst weiß es face-smile
https://www2.lancom.de/kb.nsf/0/bb071f37529fedebc1256ed100461ac9?OpenDoc ...

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 02.12.2015 um 19:15:08 Uhr
Goto Top
Hallo,

Zitat von @tikayevent:
Eine Weiterleitung von GRE ist bei LANCOM nicht möglich.
Lancom sagt aber anderes. "PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
". Hier zu finden https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ...

Gruß,
Peter
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 19:20:58 Uhr
Goto Top
Da gehts ja um Portweiterleitung, nicht um Protokolle :P
Hatte es aber dennoch darüber versucht.
Mitglied: Pjordorf
Pjordorf 02.12.2015 um 19:38:07 Uhr
Goto Top
Hallo,

Zitat von @ArnoNymous:
Da gehts ja um Portweiterleitung
Genau das willst du doch, oder?
Und diesen Hinweis von Lancom hast du schon gesehen? "PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
". Hier zu finden https://www2.lancom.de/kb.nsf/1275/13C3AB1302C4DA61C1257D0A0038F847?Open ...

Sonst bleibt dir nur übrig Lancom selbst zu bemühen.

Deine Fehlermeldung lautet am Client immer noch 720? Da können sich Client und Server nicht über ein gemeinsames Protokoll unterhalten weil eben kein gemeinsames eingestellt ist. Wie sind die Einstellung am Client sowie am Server, passen die?

Was sagt ein Log deines Lancom aus welche Ports/Protokolle ankommen bzw. weitergeleitet werden? Was sagt dein VPN Server aus über die ankommenden Ports / Protokolle? Was sagt dein TMG2010 aus zu den nötigen Ports / Protokollen. Wenn dort überall alles OK dann bleiben nur noch Fehlerhafte Einstellungen am Client / Server übrig...

Gruß,
Peter
Mitglied: ArnoNymous
ArnoNymous 02.12.2015 um 19:43:10 Uhr
Goto Top
Der Lancom und die TMG-extern befinden sich im 192.168.50.0 /24
Die TMG-intern sowie das Netz dahinter hat die 192.168.100.0 /24

Könnte hier das Problem liegen?
Der alte Router hatte jedoch die gleiche IP wie der neue Lancom. Daran wurde nichts geändert.
Mitglied: Pjordorf
Pjordorf 02.12.2015 um 20:12:37 Uhr
Goto Top
Hallo,

Zitat von @ArnoNymous:
Könnte hier das Problem liegen?
Nein.

Der alte Router hatte jedoch die gleiche IP wie der neue Lancom. Daran wurde nichts geändert.
Du hast sicherlich schon mal ein Gateway an den neueren MS OSen getauscht und gemerkt das dann sich die Firewall Profile ändern aufgrund der andren (neuen) MAC, oder?

Was also sagen deine Logs wo was noch ankommt bzw. abgeht.
Kommt am Lancom überhaupt alles an (TCP 1723 und GRE)?
Leitet der Lancom beides weiter? dazu siehe:
Kommt am TMG 2010 alles an (TCP 1723 und GRE)?
Leitet der beides weiter? Siehe dazu:
Kommt am VPN Server 192.168.100.x alles an (TCP 1723 und GRE)?
Wenn also am VPN Server 192.168.100.x alles ankommt (TCP 1723 und GRE) dann bleiben nur noch Fehlerhafte Einstellungen am VPN Client und / oder VPN Server übrig. Reden diese die gleiche Sprache bzw. Protokolle? Du bekommst doch einen 720*er Fehler, oder?

Gruß,
Peter
Mitglied: ArnoNymous
ArnoNymous 03.12.2015 um 11:20:52 Uhr
Goto Top
Moin,

eine Nacht drüber geschlafen und nun funktioniert es.
Ich bedanke mich für eure Hilfe.
Mitglied: 114757
114757 03.12.2015 aktualisiert um 12:10:44 Uhr
Goto Top
Zitat von @ArnoNymous:
eine Nacht drüber geschlafen und nun funktioniert es.
Aha, sehr informativ face-sad und was war's jetzt ?? Für die Nachwelt eventuell interessant, Danke.
Mitglied: ArnoNymous
ArnoNymous 03.12.2015 um 12:18:50 Uhr
Goto Top
Du, ich weiß es nicht.
Wie gesagt, heute Morgen lief es dann einfach, als ich mich weiter damit beschäftigen wollte.