ttati
06-07-2005, 08:35
Salve a tutti,
sto facendo una VPN tra una macchina Windows Server 2003 (VPN Server) e un Client Windows 200 professional (VPN Client).
Ho utilizzato il protocollo L2TP/IPsec, ho configurato un server RAS sul VPN Server, e ho utilizzato i certificati per l'autenticazione.
La VPN lavora in tunnel mode.
Nella mia LAN tutto funzionava bene. Ho utilizzato un analizzatore di pacchetti che mi confermava ciò.
Ora sto cercando di far funzionare la VPN attraverso la internet.
La configurazione della mia rete è la seguente:
VPNServer---->NAT(RouterLinux)---> Internet <--NAT(RouterCisco)<--VPNClient
Server e Client sono nattati, hanno entrambi un IP pubblico e uno privato: PUBSERVER PRIVSERVER, PUBCLIENT PRIVCLIENT..
Il server è collegato a internet tramite un Router Linux, il Client tramite un Router cisco attraverso linea ADSL.
Con tale config. occorre utilizzare il NAT-T.
Sul Client ho installato l'update 818043 per il NAT-T.
La configurazione del Router Linux è la seguente:IPTABLES:
PREROUTING
>iptables -t nat -A PREROUTING -p udp -i ethEXT -d $PUBSERVER --dport 500 -j DNAT --to-destination $PRIVSERVER:500
>idem with port 4500
>iptables -t nat -A PREROUTING -p 50 -i ethEXT -d $PUBSERVER -j DNAT --to-destination $PRIVSERVER
>idem with protocol 51
POSTROUTING
>iptables -t nat -A POSTROUTING -p udp -o ethEXT -s $PRIVSERVER --dport 500 -j SNAT --to-source $PUBSERVER:500
>idem with port 4500
FORWARD
>iptables -A FORWARD -i ethINT -o ethEXT -j ACCEPT
>iptables -A FORWARD -i ethEXT -o ethINT -j ACCEPT
Credo che esso sia configurato bene.
Policy IPSec
Credo che il problema derivi da qualche impostazione nelle policy IPsec, perchè la VPN non funziona!!
Sul Server ho due regole solamente:
1)ServerToClient
2)ClientToServer.
1)ServerToClient:
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVCLIENT
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "StoC" è selezinato-->Source Address: MYAddress, Destination Address: PUBCLIENT, no mirrored
2)ClientToServer
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVSERVER
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "CtoS" is selected-->Source Address: PRIVCLIENT, Destination Address: MyAddress, no mirrored
Sul Client ho due regole solamente:
1)ServerToClient
2)ClientToServer.
1)ServerToClient:
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVCLIENT
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "StoC" is selected-->Source Address: PRIVSERVER, Destination Address: Ip Address, no mirrored
2)ClientToServer
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVSERVER
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "CtoS" is selected-->Source Address: PRIVCLIENT, Destination Address: Ip Address, no mirrored
Nota: Sia in "tunnel endpoint" che in Source Address e Destination Address non so cosa mettere!!
Quando effettuo la connessione l'errore che mi da è:
Error 792 The L2TP Connection Attempt Failed Because Security Negotiation Timed Out
Sul sito
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q299307#kb2
c'è scritto:
"This behavior can occur because you have a preshared key that is configured on the client, but the key is not configured on the Routing and Remote Access Service server. If you set up this type of configuration, you can receive the error message even if valid certificates are configured on both the client and the server. "
ma i certificati sono installati correttamente, nella LAN la vpn funzionava con quei certificati!!!
Qualcuno mi può aiutare?
:muro: :confused:
sto facendo una VPN tra una macchina Windows Server 2003 (VPN Server) e un Client Windows 200 professional (VPN Client).
Ho utilizzato il protocollo L2TP/IPsec, ho configurato un server RAS sul VPN Server, e ho utilizzato i certificati per l'autenticazione.
La VPN lavora in tunnel mode.
Nella mia LAN tutto funzionava bene. Ho utilizzato un analizzatore di pacchetti che mi confermava ciò.
Ora sto cercando di far funzionare la VPN attraverso la internet.
La configurazione della mia rete è la seguente:
VPNServer---->NAT(RouterLinux)---> Internet <--NAT(RouterCisco)<--VPNClient
Server e Client sono nattati, hanno entrambi un IP pubblico e uno privato: PUBSERVER PRIVSERVER, PUBCLIENT PRIVCLIENT..
Il server è collegato a internet tramite un Router Linux, il Client tramite un Router cisco attraverso linea ADSL.
Con tale config. occorre utilizzare il NAT-T.
Sul Client ho installato l'update 818043 per il NAT-T.
La configurazione del Router Linux è la seguente:IPTABLES:
PREROUTING
>iptables -t nat -A PREROUTING -p udp -i ethEXT -d $PUBSERVER --dport 500 -j DNAT --to-destination $PRIVSERVER:500
>idem with port 4500
>iptables -t nat -A PREROUTING -p 50 -i ethEXT -d $PUBSERVER -j DNAT --to-destination $PRIVSERVER
>idem with protocol 51
POSTROUTING
>iptables -t nat -A POSTROUTING -p udp -o ethEXT -s $PRIVSERVER --dport 500 -j SNAT --to-source $PUBSERVER:500
>idem with port 4500
FORWARD
>iptables -A FORWARD -i ethINT -o ethEXT -j ACCEPT
>iptables -A FORWARD -i ethEXT -o ethINT -j ACCEPT
Credo che esso sia configurato bene.
Policy IPSec
Credo che il problema derivi da qualche impostazione nelle policy IPsec, perchè la VPN non funziona!!
Sul Server ho due regole solamente:
1)ServerToClient
2)ClientToServer.
1)ServerToClient:
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVCLIENT
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "StoC" è selezinato-->Source Address: MYAddress, Destination Address: PUBCLIENT, no mirrored
2)ClientToServer
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVSERVER
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "CtoS" is selected-->Source Address: PRIVCLIENT, Destination Address: MyAddress, no mirrored
Sul Client ho due regole solamente:
1)ServerToClient
2)ClientToServer.
1)ServerToClient:
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVCLIENT
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "StoC" is selected-->Source Address: PRIVSERVER, Destination Address: Ip Address, no mirrored
2)ClientToServer
"Tunnel Setting"--> "The tunnel endpoint..." è selezinato e l'ind riportato è: PRIVSERVER
"Filter Action" --> "Require Security" --> "Negotiate Security" only selected, Security Method--->Custom--> ESP only
"IP Filter List"--> "CtoS" is selected-->Source Address: PRIVCLIENT, Destination Address: Ip Address, no mirrored
Nota: Sia in "tunnel endpoint" che in Source Address e Destination Address non so cosa mettere!!
Quando effettuo la connessione l'errore che mi da è:
Error 792 The L2TP Connection Attempt Failed Because Security Negotiation Timed Out
Sul sito
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q299307#kb2
c'è scritto:
"This behavior can occur because you have a preshared key that is configured on the client, but the key is not configured on the Routing and Remote Access Service server. If you set up this type of configuration, you can receive the error message even if valid certificates are configured on both the client and the server. "
ma i certificati sono installati correttamente, nella LAN la vpn funzionava con quei certificati!!!
Qualcuno mi può aiutare?
:muro: :confused: