Šta je novo?

IPsec NAT-T client/SBS

bubikaj

Čuven
Učlanjen(a)
07.10.2002
Poruke
41
Poena
604
Imam jedan mali problem a uz to i pitanja... U firmi se nalazi SBS 2003 koji je iza NAT-a i PPTP i L2TP/IPsec konekcija u lokalnoj mrezi bez problema moze da se uspostavi sa podesenom IPsec Filter List-om i Polisama... medjutim, kada pokusam da uspostavim L2TP/IPSec konekciju sa remote racunara koji je takodje iza NAT-a (a cak i oni koji su direktno vezani na NET) dobijam gresku Error 741 ili 742 (u zavisnosti od Data Encryption - Require ili Maximum)... Forwardovani/otvoreni su portovi (i od strane ISP-a) na ruterskoj strani 500,1701,4500 da idu ka serveru ... Pitanja:

1. Sa serverske strane je ruter koji ima L2TP/IPSec passtrough, da li treba da i ruter sa klijentske strane ima passtrough i da li kablovski modemi imaju tu mogucnost?
2. Da li je moguce uopste da i client i server budu iza NAT-a i da se uspostavi IPSec konekcija?
3. Da li u IP Filter listi (snap in od IP Security Policies on Local Computer) treba da se definisu za WAN konekciju filteri za 1701, 4500? (za 500 ne dozvoljava triggering)
4. Da li u IP Filter listi (snap in od IP Security Policies on Active Directory) treba da se definise isto?

Ovo je slika iz LAN-a sa po jednom konekcijom PPTP i L2TP/IPSec kao i Properties LAN konekcije L2TP/IPSec gde se vidi IPSec enkripcija
 

Prilozi

  • PPTP-i-L2TP.jpg
    PPTP-i-L2TP.jpg
    205.2 KB · Pregleda: 99
Imam jedan mali problem a uz to i pitanja... U firmi se nalazi SBS 2003 koji je iza NAT-a i PPTP i L2TP/IPsec konekcija u lokalnoj mrezi bez problema moze da se uspostavi sa podesenom IPsec Filter List-om i Polisama... medjutim, kada pokusam da uspostavim L2TP/IPSec konekciju sa remote racunara koji je takodje iza NAT-a (a cak i oni koji su direktno vezani na NET) dobijam gresku Error 741 ili 742 (u zavisnosti od Data Encryption - Require ili Maximum)... Forwardovani/otvoreni su portovi (i od strane ISP-a) na ruterskoj strani 500,1701,4500 da idu ka serveru ... Pitanja:

1. Sa serverske strane je ruter koji ima L2TP/IPSec passtrough, da li treba da i ruter sa klijentske strane ima passtrough i da li kablovski modemi imaju tu mogucnost?
2. Da li je moguce uopste da i client i server budu iza NAT-a i da se uspostavi IPSec konekcija?
3. Da li u IP Filter listi (snap in od IP Security Policies on Local Computer) treba da se definisu za WAN konekciju filteri za 1701, 4500? (za 500 ne dozvoljava triggering)
4. Da li u IP Filter listi (snap in od IP Security Policies on Active Directory) treba da se definise isto?

Ovo je slika iz LAN-a sa po jednom konekcijom PPTP i L2TP/IPSec kao i Properties LAN konekcije L2TP/IPSec gde se vidi IPSec enkripcija

Rado bih ti odgovorio i pomogao ali malo sam se izgubio sa onim serverska strana druga strana, ruter strana, VPN, IPSec ... bla bla truc truc... A veruj mi pokusao sam 3x da procitam i shvatim. Nego blago meni sedi i u visiu samo grubo skiciraj mrezu, ako numesh u viziu moze i notepad ili na papiru pa skenirano kako god. Serveri, ruteri, provajderi tacnije dali je ADSL, SBB Cable, ili neshto ozbiljnije.... pa ce da pricamo dalje.

s' postovanjem JA:smoke:
 
Nesto ne kapiram, tebi ne rade i L2TP/IPSEC i PPTP iza NAT-a ?
PPTP nije tako osetljiv na NAT, tako da sa tim ne bi trebalo da bude problema, samo treba preslikati port 1723 napolje i staviti userima Dial In -> Allow.

Sto se tice L2TP/IPSEC, to zaista zna da bude problematicno....ja bih za pocetak pogledao logove i na ruteru i na tom windows serveru.
 
Poslednja izmena:
Iza NAT-a kao Remote racunar (ili kao Remote racunar koji je direktno vezan na NET - ima javnu IP) od kuce mogu bez problema da uspostavim PPTP konekicju dok L2TP/IPsec konekciju ne mogu (daje mi error, kao sto napisah u prvom postu)... u lokalnoj mrezi mogu bez problem da uspostavim i PPTP i L2TP/IPsec konekciju...

Iza NAT-a kao Remote racunar je u pitanju ADSL konekcija dok je u slucaju kablovske mreze preko modema nakacen kom na NET i dobija javnu IP iz opsega ISP-a...

useri su Dial in -> kroz grupnu polisu
grupna polisa je postavljena da moze samo domenski useri
autentifikacija je Kerberos
 
Poslednja izmena:
Dobro, sta je na kraju bilo? Jesi li nesto nasao u log fajlovima, da ne lupetamo do sutra :) Na windows serveru security log, na tvom ruteru takodje pogledaj logove, ako mozes za probu potpuno razlabavi firewall pravila.

Pogledaj i na netu, mislim da XP SP2 ima probleme za IPSEC-om, treba modifikovati registry da bi radio iza nata (po defaultu XP SP2 ne podrzava nat traversal).
 
Evo slike... a sutra stavljam i detaljno logove... a kao sto rekoh (Error 741 ili 742 (u zavisnosti od Data Encryption - Require ili Maximum)) ... prondajoh par solucija ali onda gubim IPSec...

I received error 741/742, which says there is an encryption mismatch error.

* Cause: These errors occur if the VPN client requests an encryption level that is not valid or if the VPN server does not support an encryption type requested by the client.
* Solution:
o Check the properties (Security tab) of the VPN connection on the VPN client. If Require data encryption (disconnect if none) is selected, clear the selection and retry the connection.

Error 741 - The local computer does not support the required encryption type

1. Make sure you enter correct password.

2. Switch from L2TP to PPTP.

3. Enabling 128-bit Encryption for Routing and Remote Access

enable-ovane su sva tri nivo enkripcije osim No Encryption...

inace su XPSP3 klijenti i win2003 ... elem znam za tu foru u registriju u Parametars stringu... value 1 za ProhibitIpSec u HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters ... nije do toga :(

 
Poslednja izmena:
Sad mi je jasno shta te muci. A veruj mi totalno drugacije sam kontao stvari.

E sad, pitanje je koji ADSL modemi su u pitanju. Dobar deo njih podrzava PPTP (VPN) pass trough ali L2TP nisam bash siguran. Pogledaj da ti to ne zadaje problem. Prvenstveno kada je u pitanju lokacija gde je server.

Mozes da uradish prost test. Stavi ADSL modem (na lokaciji gde je server) u bridge mode. Podigni na serveru PPPoE konekciju tako ce server direktno dobiti javni IP i sav saobracaj ce stici do server-a. Pa onda probaj sa remote lokacija da se povezes. Ako ti to podje za rukom onda taj ADSL ruter definitivno ne odradjuje posao. Ja recimo imam kuci AlliedTlesyn WA-1044g WiFi ruter koji propusta VPN (pptp) a IpSec nece, ali kad je u AP modu onda ni VPN nece da propusti...

Mada ako iz lokalne mreze sve radi kako treba onda ne vidim zasto nebi radilo spolja sem ako ruter ne propusta saobracaj kako treba.

Ne znam da li je u pitanju firma ili shta.. ali eventualno kupovina nekog ozbiljnijeg rutera, ili neki mikrotik mogu definitivno da razrese stvar.

Vidi ovo prvo pa ako to ne uspe pricacemo dalje.

s' postovanjem JA:smoke:
 
ZYXEL P-660R-T1 ADSL koji je dobijen od strane EUnet-a ... elem... zaboravih da napomenem i da stavim na crtez.. taj ZYXEL P-660R-T1 ADSL je nakacen na switch gde je "uboden" i server... znaci server ima lokalnu IP adresu tipa 192.168.x.x

sa klijentske strane gde je kablovska mreza (SBB) nalazi se Scientific Atlanta modem 2100

za Zyxel po specifikaciji vidim da ima passtroguh svega sto mi je potrebno... medjutim ne znam da li ima ovaj cisco-ov modem tu "moc"...
 
Svakako probaj sa direktnim izbacivanjem klijenata na javnu ip adresu, odnosno prebacivanjem modema kod klijentskih compova u bridge mod.

Elem, tako to ide sa ipsec-om - sa nekih lokacija radi, sa nekih ne, nikada ne mozes da budes siguran dok ne probas.
 
Svakako probaj sa direktnim izbacivanjem klijenata na javnu ip adresu, odnosno prebacivanjem modema kod klijentskih compova u bridge mod.

Elem, tako to ide sa ipsec-om - sa nekih lokacija radi, sa nekih ne, nikada ne mozes da budes siguran dok ne probas.

Ovaj ciscov modem i ima javnu IP... znaci taj klijent i ima javnu IP adresu koju mu dodeljuje SBB 89.x.x.x ... a na serverskoj strani su forwardovani portovi sa Zyxel-a na serversku IP adresu (1701,1723,4500,500)
 
hmmm.... vidim da inbound i outbound filters nisam podesio na RRASu za interface... medjutim imam jedno pitanje u vezi toga... posto je jedna kartica na tom serveru koji je ujedno i aplikativni server kom pristupaju i drugi korisnici LANa... da li je pametnije da stavim jos jednu karticu u njega pa da on ima dve lokalne IP adrese pa na jednoj su mapirani svi LAN korisnici sa svojom klijentskom aplikacijom koja gadja server a na drugu da podesim L2TP/IPsec inbound/outbound filtere ili sve to može sa jednom karticom?
 
Ovaj ciscov modem i ima javnu IP... znaci taj klijent i ima javnu IP adresu koju mu dodeljuje SBB 89.x.x.x ... a na serverskoj strani su forwardovani portovi sa Zyxel-a na serversku IP adresu (1701,1723,4500,500)

Stavi taj modem u bridge mod tako da PC dobija javnu adresu umesto modema pa probaj da li radi konekcija.

hmmm.... vidim da inbound i outbound filters nisam podesio na RRASu za interface... medjutim imam jedno pitanje u vezi toga... posto je jedna kartica na tom serveru koji je ujedno i aplikativni server kom pristupaju i drugi korisnici LANa... da li je pametnije da stavim jos jednu karticu u njega pa da on ima dve lokalne IP adrese pa na jednoj su mapirani svi LAN korisnici sa svojom klijentskom aplikacijom koja gadja server a na drugu da podesim L2TP/IPsec inbound/outbound filtere ili sve to može sa jednom karticom?

Meni je prirodnije da filtriranje radis na ruteru, mada je ideja VPN-a u suprotnosti sa ogranicenjima te vrste - VPN jeste zamisljen da korisnici mogu da se nakace u LAN sa bilo kog mesta (ip adrese). Izuzetak su jedino site-to-site VPN-ovi gde se povezuju dva udaljena LAN-a.
 
Hm, niste ni prvi problem resili a idete vec dalje. Aj redom.

Da se vratimo na problem.

Prva stvar koja mi nije jasna je
za Zyxel po specifikaciji vidim da ima passtroguh svega sto mi je potrebno... medjutim ne znam da li ima ovaj cisco-ov modem tu "moc"...
kakav sad cisco:trust: mislis verovatno na kablovski modem atlantis? opet sam zbunjen:S:

Druga stvar.
Svakako probaj sa direktnim izbacivanjem klijenata na javnu ip adresu, odnosno prebacivanjem modema kod klijentskih compova u bridge mod.
nije problem klijent nego server. Klijent ruter ce odraditi natovanje bez problema.

E sad. To shto si recimo forwardovao port 1723 za pptp ne mora da zanaci da ce da radi jer pored porta 1723 mora da prodje i "protokol 47" koji je zaduzen a autentifikaciju korisnika. U ovom slucaju to kod tebe radi tj VPN pass troug radi kako treba. Isto vazi i za IPsec. Dalje. Rekoh ti da probash sledece.

ADSL modem na lokaciji gde je server stavish u bridge mod. I direktno ubodesh u lan karticu servera. Kada to uradish na serveru kreirash novu ppoe konekciju za povezivanje na internet preko ADSL-a. Na ovaj nacin javna adresa i sav saobracaj ce biti direktno "isporucen" serveru. Tada pokusaj sa tih udaljenih lokacija da ostvarish L2TP konekciju. Ako prodje super, znash u cemu je problem tj u ADSL modemu. Ako ne prodje. Problem je u podesavanju servera. Da nisi mozda stavio da IPSec moze da se ostvari samo sa odredjenih IP adresa, ili samo iz odredjenog opsega .... Ali na ovaj nacin ces definitivno znati dali je su u pitanju podesavanja server-a ili rutera. U suprotonom tumarash u mraku.

Aj sad za crtacu tablu :)

s' postovanjem JA:smoke:
 
nije problem klijent nego server. Klijent ruter ce odraditi natovanje bez problema.

Ne mora da znaci, ako taj ruter ispred klijenta nema nat-t ne vredi nista sto onaj ispred servera radi ko zmaj. K'o sto rekoh, nikada nisi siguran da li ce recimo neki baja koji se seta po hotelima (random i nekontrolisano okruzenje) uspeti da se nakaci na ipsec vpn - uglavnom hoce, ali desava se i da nece. Problem je sto ama bas svaki ruter u lancu mora da ima eksplicitno ukljucen nat-t (tj famozni vpn passthrough). Upravo ova cinjenica je najveci 'drawback' za koriscenje ipsec-a odvajkada (i razlog zbog kog sam ja batalio ipsec i presao na ssl vpn-ove).

Sad, da li ce bridge mod da pomogne (u slucaju da ne postoji nat-t) ne znam, ali ja bih svakako probao.

edit: prosiren deo koji malo bolje objasnjava izvor potencijalnih problema :)
 
Poslednja izmena:
Scientific Atlanta modem 2100 je CISCO-ov uredjaj... modem koji isporucuju u kablovskoj SBB

sto se tice "drawback-a" rutera i IPSec-a, u danasnje vreme skoro imaju svi tu "moc" (99%) :) medjutim ne znam za modem-e jer oni samo vrse modulaciju/demodulaciju i ne znam da li propustaju sve protokole i portove jer je to kontrolisano od strane ISP-a...

GRE protokol je protokol a ne port te njegovo propustanje se definise u Firewall-u rutera ili posebnog softwera/hardwera (a ne na samom forwarding-u rutera) - bar tako ja znam, ali ako gresim ispravite me :)

Postavljene su polise za IPsec kroz MMC konzolu i snap-in (na lokalnim racunarima i na AD).... takodje se tu moraju definisati pravila za IP filter list gde se definisu za koje portove i sa kojih na koje adrese ce se primenjivati ova pravila...

Ne postoji zabrane ni od strane firewall-a niti od strane bilo cega drugog ni po IP adresama ni po MAC adresi

SSL VPN...? softwerski, mislis na OpenVPN ili na neko drugo resenje (softwersko/hardwersko)?

malo mi je problem da resavam na taj nacin ovaj zadatak za "for good" (ali testa radi DA) jer je to domenski kontroler (jedan jedini) i na njemu se nalazi jos SQL baza i jos jedna poslovna aplikacija... elem, ljudi koji odrzavaju ove dve baze se sada kace putem podesene PPTP konekcije i RRAS-a koju sam napravio i kroz nju rade RDP sa udaljenih lokacija... medjutim, moja je ideja da se to uoblici u L2TP/IPsec...
 
Poslednja izmena:
Scientific Atlanta modem 2100 je CISCO-ov uredjaj... modem koji isporucuju u kablovskoj SBB

Nisam znao da ovo cudo radi cisco. Doduse nikad ga nisam ni zagledao ali mi SBB nije delovao kao neko ko end userima daje cisco opremu tako da ne zameri. :p

sto se tice "drawback-a" rutera i IPSec-a, u danasnje vreme skoro imaju svi tu "moc" (99%) :) medjutim ne znam za modem-e jer oni samo vrse modulaciju/demodulaciju i ne znam da li propustaju sve protokole i portove jer je to kontrolisano od strane ISP-a...

Hm propustaju oni ali kada je u pitanju varijanta u kojoj ti kako koristnik iza nata pokusas da pristupish nekom serveru spolja. U suprotnom ne tj ne uvek. E sad da se ogradim od jedne stvari. Ja samo dajem predlog i netvrdim nishta. Eto ogresio sam se o SBB oni eto koriste ciscov modem. Ali sto se tice ADSL-a tu se koristi hauwei, tompson, zyzel.... i to oni najjeftiniji modeli u 90% slucajeva. Pa sam samo sugerisao da obratish paznju i na taj momenat.

GRE protokol je protokol a ne port te njegovo propustanje se definise u Firewall-u rutera ili posebnog softwera/hardwera (a ne na samom forwarding-u rutera) - bar tako ja znam, ali ako gresim ispravite me :)

Ako se ne varam ja sam i napisao "protokol 47" nisam detaljisao jer. da me ne shvatish pogresno. ne znam koliko je tvoje znanje. Mi eto razmenjujemo postove prvi put pa nisam hteo da ubacujem josh detalja koji mogu da zbunjuju ali koliko vidim znash shta radish :)


Postavljene su polise za IPsec kroz MMC konzolu i snap-in (na lokalnim racunarima i na AD).... takodje se tu moraju definisati pravila za IP filter list gde se definisu za koje portove i sa kojih na koje adrese ce se primenjivati ova pravila...

Ne postoji zabrane ni od strane firewall-a niti od strane bilo cega drugog ni po IP adresama ni po MAC adresi

OK

SSL VPN...? softwerski, mislis na OpenVPN ili na neko drugo resenje (softwersko/hardwersko)?

malo mi je problem da resavam na taj nacin ovaj zadatak za "for good" (ali testa radi DA) jer je to domenski kontroler (jedan jedini) i na njemu se nalazi jos SQL baza i jos jedna poslovna aplikacija... elem, ljudi koji odrzavaju ove dve baze se sada kace putem podesene PPTP konekcije i RRAS-a koju sam napravio i kroz nju rade RDP sa udaljenih lokacija... medjutim, moja je ideja da se to uoblici u L2TP/IPsec...

Ne ne, daleko bilo. nishta u vidu OpenVPN-a ili third party resenja mi ne pada napamet. Nego u tvom slucaju. Sve radi iz unutrasnje mreze, ali od spolja pravi problem. Polazim od neke logike da ruter (na lokaciji gde je server) pravi problem. I to je ono sto predlazem. DA njega izbacish iz kombinacije kako bi server ma LAN interfejsu dobio javni IP i tako proverish da li sve radi. Ako tako radi ona Ruter zeza ako ne radi onda se pozabavish serverom.

Sto se tice klijenata. Ako sam dobro razumeo jedan je ADSL (user je natovan predpostavljam) a drugi je SBB i user dobija javni IP direktno na Lan interfejsu. Pa kad uzmesh i probash sa obe lokacije ako SBB radi a ADSL user ne onda i na end user lokaciji imash problem sa ADSL modemom. SBB ne moze da zeza jer on jednostavno samo radi modulaciju. S druge strane ne secam se da je SBB ikad zatvarao portove i protokole. Mada mozda i gresim.

Eto toliko od mene nadam se da se sad bar malo bolje razumemo.


s' postovanjem JA
 
sto se tice "drawback-a" rutera i IPSec-a, u danasnje vreme skoro imaju svi tu "moc" (99%) :) medjutim ne znam za modem-e jer oni samo vrse modulaciju/demodulaciju i ne znam da li propustaju sve protokole i portove jer je to kontrolisano od strane ISP-a...

Nesporno je da svi uredjaji podrzavaju nat-t, ali gotovo uvek ova mogucnost mora eksplicitno da se ukljuci.
Inace, ako taj modem radi NAT, znaci da je i ruter.

GRE protokol je protokol a ne port te njegovo propustanje se definise u Firewall-u rutera ili posebnog softwera/hardwera (a ne na samom forwarding-u rutera) - bar tako ja znam, ali ako gresim ispravite me :)

Zaista ne znam kako se na tom zyxel-u pustaju GRE i ESP (iliti protokoli 47 i 50) koji su respektivno neophodni za rad PPTP-a i IPSEC-a. Koliko ja znam gomila 'jednostavnih' modema/rutera imaju komandu u stilu 'enable vpn passthrough' koja automatski uradi sve ono sto treba - pusti GRE, pusti ESP, otvori tcp po portu 1723 i udp po 500 i 4500.

Zato i nisam ubedjen da je ruter ispred servera lose setovan; meni su sumnjiviji uredjaji na strani klijenata, jer PPTP ne zahteva intervencije na klijentskoj strani, a IPSEC da.

SSL VPN...? softwerski, mislis na OpenVPN ili na neko drugo resenje (softwersko/hardwersko)?

Postoje softverska resenja (recimo openvpn) sto je analogno ipsec implementaciji na windows serveru a postoje i firewallovi koji nativno podrzavaju SSL vpn. Prednost ssl vpna i jeste u tome sto sve ide preko porta 22, a uz to preko ssl biblioteka po volji mozes da menjas stepene enkripcije pa cak i dodajes nove koji u pocetku nisi postojali; moze da bude interesantno ako iz postojeceg hardvera zelis da iscedis jos izvestan broj vpn tunela - oboris enkripciju i rasteretis hardver.

Naravno ovde na scenu stupa 'smaranje' sa klijentskim softverom koji mora da se instalira za ssl vpn-ove (opet slicno kao za ipsec vpn koncentratore koje prave cisco,juniper,hp whatever). Ako se koristi windows ipsec, nemas brige - klijent je vec uzidan u windows xp.

No da zaboravimo ovo, ja sam to uzgred pomenuo, daleko od toga da te nagovaram da prelazis na nesto drugo.

malo mi je problem da resavam na taj nacin ovaj zadatak za "for good" (ali testa radi DA) jer je to domenski kontroler (jedan jedini) i na njemu se nalazi jos SQL baza i jos jedna poslovna aplikacija... elem, ljudi koji odrzavaju ove dve baze se sada kace putem podesene PPTP konekcije i RRAS-a koju sam napravio i kroz nju rade RDP sa udaljenih lokacija... medjutim, moja je ideja da se to uoblici u L2TP/IPsec...

Razmisljas u pravom smeru, bolje je imati max enkripciju pogotovu zato sto doticni DC sadrzi vazne poslovne podatke.

edit: evo sad sam bas proguglao i procitao sta preporucuje MS; oni kazu da RRAS server treba da se nabaci na javnu ip adresu i da klijentski XP-ovi takodje trebaju da budu na javnim IP adresama, pa ti sada vidi sta ti je ciniti :D

K'o sto vidis Sarah Cardigan i ja imamo drugacija gledista - on bi izbacio server na javnu ip adresu, ja bi klijenta. Kad to spojimo na liniji smo Microsoft preporuke :)
 
Poslednja izmena:
K'o sto vidis Sarah Cardigan i ja imamo drugacija gledista - on bi izbacio server na javnu ip adresu, ja bi klijenta. Kad to spojimo na liniji smo Microsoft preporuke

Aaaa ne ne ne decko, tako se ne prve avijoni :D tj ne bih se slozio sa tobom. Zasto imam utisak da me ne razumete. Moja prica ide u pravcu razresavanja problema sistemom eliminacije. tj stavi sve bez zastite sa direktnim pristupima, nema rutera nema fw i vidi jel radi. Pa vrati ruter na serveru pa vidi jel radi. AKo neradi znash shta ti je ciniti. Pa kad to proradi vrati ruter na klijenta pa onda opet. Jer u suprotnom postoji isuvishe tacaka koje mogu da prave problem pa ces se vrteti u krug. Ja samo to pokusavam da objasnim.

Ja licno idem na hardwersko resenje (u glavnom cisco/allied telesyn - u zavisnosti od finansijskih sredstava) remote pristupa kad god je to moguce. Onda l2tp i naravno pptp. I definitivno nikad nebi direktno stavio server izlozen netu.

I za kraj. Salac nemoj da licimo na MS odma menjam profesiju :p

s' postovanjem JA:smoke:
 
Ovde je specifikacija njihovog modema... no problemo, nisam ni ja znao dok nisam okrenuo/obrnuo modem... i naravno ne zameram, sto bih :)

Cisco 2100 modem

Tu je i specifikacija Zyxel rutera

Zyxel P660R-T1


Na IP Filter listi za snap-in lokalnog naloga i AD naloga na serveru, postavljeno je forwardovanje portova 1701 i 4500; any source; IP_adresa_servera destianiton i u slucaju mog kucnog racunara (SBB) nisam bas sassvim siguran kako treba da podesim polise jer nije natovan :)) - ovo je modem a ne router u bridge modu :)

Sarah Carigan je napisao(la):
Pa kad uzmesh i probash sa obe lokacije ako SBB radi a ADSL user ne onda i na end user lokaciji imash problem sa ADSL modemom.

Ne radi ni sa lokacije gde je SBB modem (moj kucni komp) a ni sa ADSL lokacije (neki tamo komp u Nishu :))

salac je napisao(la):
Zaista ne znam kako se na tom zyxel-u pustaju GRE i ESP (iliti protokoli 47 i 50) koji su respektivno neophodni za rad PPTP-a i IPSEC-a. Koliko ja znam gomila 'jednostavnih' modema/rutera imaju komandu u stilu 'enable vpn passthrough' koja automatski uradi sve ono sto treba - pusti GRE, pusti ESP, otvori tcp po portu 1723 i udp po 500 i 4500.

ovde ne serverskoj strani gde je ZYXEL P-660R-T1 ADSL ruter nema opcija enable/disable za vpn passtrough vec sam forvardovao ta tri porta na lokalnu adresu servera

salac je napisao(la):
Zato i nisam ubedjen da je ruter ispred servera lose setovan; meni su sumnjiviji uredjaji na strani klijenata, jer PPTP ne zahteva intervencije na klijentskoj strani, a IPSEC da.

ovde se vracamo na prvobitni moj problem prilikom pokusaja konekcije sa SBB racunara (moj komp) na server (komp u firmi) i greske koje prijavljuje moj racunar prilikom tog pokusaja konekcije...znaci, dobijam gresku Error 741 ili 742 (u zavisnosti od Data Encryption - Require ili Maximum na properties/security/advanced same L2TP konekcije) ... meni ovo ukazuje na gresku neku u setovanju samih enkripcija ili propustanja protokola ili portova ... ovo su moja nagadjanja posto pokusaj uspesne konekcije postoji ali dolazi do "refuse"-a (zavisno od setovanja, 1 od strane klijenta drugi put od strane servera), pa stoga i mislim da treba ovde da se zadrzimo... :)

elem,

Error 741 - The local computer does not support the required encryption type

Error 742 - remote computer does not support the required data encryption type
 
Poslednja izmena:
ovde ne serverskoj strani gde je ZYXEL P-660R-T1 ADSL ruter nema opcija enable/disable za vpn passtrough vec sam forvardovao ta tri porta na lokalnu adresu servera

Po meni ovde i lezi tvoj problem. Ti si forwardowao portove ali protokoli ne prolaze :(. Uzmi i stavi tog zyxel-a adsl rutera u bridge mod i kablom direktno u server. Na serveru digni pppoe konekciju i konektuj se na net tako da ti mrezna karta servera dobije javni IP. I onda probaj od kuce i iz Nis-a da se konektujesh.
1. Ako to proradi - problem ti je u ruteru.
2. Ako to ne proradi problem je u serveru.

Ako je server problem prvo to resi pa se vrati problemu 1. tj ruteru.

s' postovanjem JA:smoke:
 
Po meni ovde i lezi tvoj problem. Ti si forwardowao portove ali protokoli ne prolaze :(. Uzmi i stavi tog zyxel-a adsl rutera u bridge mod i kablom direktno u server. Na serveru digni pppoe konekciju i konektuj se na net tako da ti mrezna karta servera dobije javni IP. I onda probaj od kuce i iz Nis-a da se konektujesh.
1. Ako to proradi - problem ti je u ruteru.
2. Ako to ne proradi problem je u serveru.

Ako je server problem prvo to resi pa se vrati problemu 1. tj ruteru.

s' postovanjem JA:smoke:

Sto je najgore, i MS poceo da preporucuje SSL vpn-ove (na win 2008 i visti), slicno kao ja par postova iznad...ja sam gotov, za tebe jos ima nade :)

Elem evo sta kazu za zyxel ruter:

UPnP Support - The P-660R Series supports UPnP discovery and UPnP NAT traversal.

Sad nisam bas neki expert za upnp, valjda bi to trebalo da znaci da ruter automatski ukljucuje protokole ako primeti da 'nesto' pokusava komunikaciju preko njih.

Evo zasto mislim da nije problem u zyxel-u - zato sto PPTP radi. I PPTP je slican IPSEC-u samo sto koristi TCP a ne UDP i GRE a ne ESP.
 
Sto se tice PPTP & L2TP/IPsec-a, ono sto je barem meni poznato a ispravite me ako gresim je sledece:

- PPTP zahteva TCP port 1723 i protokol 47 (PPTP passthrough)
- IPSec zahteva UDP port 500 i protokole 50 & 51 (IPSec passthrough)
- L2TP zahteva UDP 1701, UDP 500 ukoliko koristi IPSec, UDP 4500 ukoliko koristi NAT-T i L2TP pass through.

Sarah Carigan je napisao(la):
Po meni ovde i lezi tvoj problem. Ti si forwardowao portove ali protokoli ne prolaze . Uzmi i stavi tog zyxel-a adsl rutera u bridge mod i kablom direktno u server. Na serveru digni pppoe konekciju i konektuj se na net tako da ti mrezna karta servera dobije javni IP. I onda probaj od kuce i iz Nis-a da se konektujesh.
1. Ako to proradi - problem ti je u ruteru.
2. Ako to ne proradi problem je u serveru.

Ako je server problem prvo to resi pa se vrati problemu 1. tj ruteru.

Probacu i ovo jer ima logike definitivno ali mi nije bilo na umu kako da istestiram moguca resenja... :)
 
salac je napisao(la):
Evo zasto mislim da nije problem u zyxel-u - zato sto PPTP radi. I PPTP je slican IPSEC-u samo sto koristi TCP a ne UDP i GRE a ne ESP.

mada i ovo je tacno :) testiranje.. nema drugo...

no, ako krenemo redom i to analiticno... i uzmemo u obzir da su u LANu i PPTP i L2TP/IPsec podeseni kako treba i sve radi kako valja a kod kuce moj racunar (SBB) koji je u ovom slucaju u WANu a na njemu konekcija istovetno podesana (i polise) kao na klijentu u LANu... (za razliku sto od kuce ne radi L2TP/IPsec a PPTP radi) dolazim do zakljucka da ruter na serverskoj strani ili modem na mojoj strani nesto ne ferceraju kako treba... zar ne?
 
mada i ovo je tacno :) testiranje.. nema drugo...

no, ako krenemo redom i to analiticno... i uzmemo u obzir da su u LANu i PPTP i L2TP/IPsec podeseni kako treba i sve radi kako valja a kod kuce moj racunar (SBB) koji je u ovom slucaju u WANu a na njemu konekcija istovetno podesana (i polise) kao na klijentu u LANu... (za razliku sto od kuce ne radi L2TP/IPsec a PPTP radi) dolazim do zakljucka da ruter na serverskoj strani ili modem na mojoj strani nesto ne ferceraju kako treba... zar ne?


OOOO falim te boze da me neko razume. May the force be with you, my youg padawan. A sad vishe predjite na to testiranje. trebalo nam je 20+ postova da predjemo na stvar. A i mene zivo zanima gde zakucava.

s' postovanjem JA:smoke:
 
Poslednja izmena:
sad me je stid :) sramota.... :):):) pod uPnP, na Zyxel-u ruteru, nisam cekirao "Enable..." mislim, jesam ali nije zapamtio.... :)))) no... problem nije resen i dalje... nisam odradio kacenje direktno na server jer mi je to malo komplikovano jer je radno vreme kod nas od 08-20h ... kako god, sada kada pokusam da uspostavim konekciju desava se nesto novo :))))

Error 768 - the connection attempt fails because of failure to encrypt data

ovo sam nasao ali nije do toga...

Error 768 – XP or Vista:
This error is caused by a problem with the IPSec service within Windows. To fix this problem, have the
customer do the following.
1.) Click on Start ‐‐‐> Control Panel
2.) Be sure they are in classic view, then double‐click “Administrative Tools”
3.) Double‐Click on Services
Here, it changes a little between XP and Vista. In Windows XP, scroll down until you can see “IPSec
Service”. This should be started (if it’s not, ask the customer to click on it and click start). If it wasn’t
started to begin with, double‐click on it, and change startup type to “Automatic”. If it was already
started, try having them restart the service.
In Vista, follow the same steps with the service named IKE and AuthIPsec Keying Modules.


takodje,

If encryption is not necessary, disable encryption and try again. See To configure identity authentication and data encryption settings for a dial-up connection and To configure identity authentication and data encryption settings for a VPN connection.

Uradio sam i dodavanje ProhibitIpSec vrednosti (1) u registry, uradio restartovanje IPsec servisa i winsocks-a... jos nista...

elem, ovo je dogadjaj koji se pojavljuje na XP radnoj stanici (klijent) na kojoj je instaliran SP3, i koristi PPPoE konekciju... kad dodjem kuci probacu (SBB) pa da vidim da li od mene sve fercera ili ne, pa se opet javljam...
 
Poslednja izmena:
JEEEE !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! :banana:

USPEOOOOOOO !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! :banana:

znaci nece te verovati... google ruleZ ... :type::type::type::type: evo sta je bilo u pitanju....

znaci, prvo onaj uPnP .... greska error 741 i error 742....
drugo, upisem u registry DWORD value ProhibitIpSec - hexadecimal 1 i dobijem error 678 - There was not answer
trece, upisem u registry DWORD value AssumeUDPEncapsulationContextOnSendRule - hexadecimal 2 i uspem !!!!!!

elem, pomogao mi je članak: podešavanje L2TP/IPsec kod XPa sa SP>1

sada imam VPN L2TP/IPsec (veza Server 2003 RRAS i XP SP3)....

Momci, hvala Vam mnogo na trudu i pomoci... ako nekom iz svih ovih pitanja/odgovora nije jasno kako sam dosao do konekcije, rado cu objasiti.... :banana::wave::banana::wave:
 
Poslednja izmena:
elem, moram da dopunim i da kažem da setovanje za Vistu ide po drugom principu jer snap-in za IPsec Policy Managment koji je integrisan u OS nije presudan već je to sada deo Windows Firewall With Advanced Security...
 
Tc tc tc mog'o si i ranije da cekiras ruter :D

poz. i neka je sa srecom! :)
 
da... ali nije samo ruter bio problem :) .... i kad sam cekirao nije fercerao dok nisam upisao u registry parametre koje sam gore napisao... :)
 
elem, izbacujem ovog Zyxel-a i postavljam LINKSYS WAG54G2-EE-G ADSL2+ (annex A) koji je ima podosta mogućnosti što se tiče samog filtriranja MAC adresa i svašta nešto što je vezano za Security

Specifikacija modema/rutera
 
Vrh Dno