Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox Premium L2TP IPSEC Passthrough auf SBS 2008

Hallo zusammen,

 

ich habe hier einen SBS 2008 hinter einer Digitalisierungsbox hängen und bisher von außen via PPTP-VPN darauf zugegriffen, was soweit auch wunderbar funktioniert. Aus unterschiedlichsten Gründen möchte ich nun auch via L2TP IPSEC VPN darauf zugreifen können, bekomme das aber nicht zum laufen. Ich verwende dazu nicht die integrierte Lösung der Digitalisierungsbox sondern die Mittel des SBS 2008.

 

Der Server ist soweit eingerichtet (UDP 500 & 4500, ESP, L2TP 1701) und der VPN-Tunnel lässt sich intern auch aufbauen, womit ich davon ausgehe, dass Server und Client richtig konfiguriert sind.

 

In der Digitalisierungsbox sind die NAT eingehend (ip-sec UDP 500, ipsec-natt UDP 4500, ESP, GRE, L2TP UDP 1701) alle konfiguriert und auch in der Firewall freigegeben (außer GRE, da es dafür keine Vorlage gibt).

 

Leider ist eine Anmeldung nicht möglich. Je nach Client-Device lauten die Fehlermeldungen unterschiedlich, aber im Prinzip immer "der Server antwortet nicht". Solangsam sehe ich den Wald vor lauter Bäumen nicht mehr, woran kann es noch liegen?

 

Wäre über jeden Tipp dankbar! - Vielen Dank und viele Grüße

 

EDIT: Zwei Screenshots von NAT und Firewall Config angehängt.

Guten Tag @Tekkleberry

 

ist der VPN Port des SBS 2008 freigegeben (TCP 1723)?

Evtl. werden auch TCP 443 und TCP 987 benötigt.

 

Edit: Mal mit einem Wireshark hineinschauen, dann sehen Sie was gefragt ist.

Die Nat und Firewall Einträge sehen okay aus. 

 

Wenn es aus dem internen Netz funktioniert kann es sein das der SBS 2008 den Zugriff aus fremden Subnetze nicht zulässt.  Schalte mal zum testen die Firewall des SBS ab. 

@E.B.E.Richter: Die TCP Ports 1723, 443 und 987 sind in der Firewall des SBS eingehend freigegeben. Allerdings nicht ausgehend, das sollte aber nicht das Problem sein, oder? In der Digitalisierungsbox habe ich die NAT um TCP 443 & 987 erweitert (1723 ist eh schon drin), leider ohne Änderung.

 

Vielen Dank für den Tipp mit dem Wireshark! Den kannte ich noch nicht, werd' ich mir aber sofort mal zu Gemüte führen. Mal gucken was ich dort evtl. noch auslesen kann.

 

@KarlNapp2016: Mercy vielmals für den Tipp! Ich habe den Firewallstatus mal für "Privates Profil" und "Öffentliches Profil" temporär deaktiviert. Da das "Domänenprofil" sowieso deaktiviert ist, sollte die Firewall dann keine Einschränkung mehr gewesen sein. Aber auch damit keine Änderung.

 

 

So auf die Schnelle erhärtet sich für mich die Vermutung, dass die Digitalisierungsbox Premium der Knackpunkt ist. Keine Probleme im Intranet und von außen keine Besserung durch abgeschaltete SBS-Firewall lassen doch irgendwie darauf schließen, oder?

 

Was mich total verrückt macht ist die Tatsache, dass ich die ganze Zeit extern via PPTP-VPN am SBS und der Box arbeite, was ja viele Probleme grundsätzlich ausschließt. Und trotzdem finde ich den vermeintlich "kleinen Haken" nicht, der mir den IPSEC L2TP Tunnel aufmacht.

Schon mal einen Portscan gemacht?

 

hatte letzstens auch das Problem, dass nach einem Firmware Update der digibox keine neuen Portweiterleitungen funktionierten. Ein Firewall Reset hatte  nichts gebracht. Erst nach einem Werkreset funktionierte es wieder.

 

nicht das es bei dir auch so ist.

@KarlNapp2016: Wie kann ich denn am einfachsten einen Portscan durchführen? Beschäftige mich in seit längerem mal wieder mit sowas und bin leider etwas eingerostet. - Time flies Zwinkernd

@KarlNapp2016: Die TCP Ports 1723, 443 und 987 werden unter Deinem Link als "offen" ausgegeben. Die UDP Ports 500, 4500 und 1701 kann ich damit wohl nicht prüfen, oder übersehe ich da was?

 

 

Scheint dann über den Link nur TCP zu funktionieren Zwinkernd

 

schau mal hier:

 

https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap

 

oder hier da musste aber was installieren:

 

https://www.heise.de/download/products/sicherheit/ueberwachung/portscanner#?cat=sicherheit%2Fueberwa...

 

Ergänzung:der andere Link ist auch Mist, am beste ein Tool laden 

@Tekkleberry

@KarlNapp2016, zunächst mal danke für die hilfreichen Tipps.

 

Ich habe jetzt mit den "LaMa-Creation Portscanner" installiert und mit aufgebauter VPN-Verbindung (PPTP) durchlaufen lassen.

 

Anbei das Ergebnis:

Port 25 IP xxx.xxx.xxx.xxx Port offen SMTP
Port 53 IP xxx.xxx.xxx.xxx Port offen DNS
Port 80 IP xxx.xxx.xxx.xxx Port offen HTTP;Webserver
Port 88 IP xxx.xxx.xxx.xxx Port offen Kerberos
Port 110 IP xxx.xxx.xxx.xxx Port offen POP3;E-Mail-Abholung
Port 119 IP xxx.xxx.xxx.xxx Port offen NNTP;Usenet
Port 143 IP xxx.xxx.xxx.xxx Port offen IMAP
Port 443 IP xxx.xxx.xxx.xxx Port offen HTTPS;Webserver with SSL
Port 465 IP xxx.xxx.xxx.xxx Port offen SSMTP;Cisco URL Rendezvous Directory for SSM; Simple Mail Transfer Protocol with SSL
Port 563 IP xxx.xxx.xxx.xxx Port offen
Port 587 IP xxx.xxx.xxx.xxx Port offen TLS;E-Mail message submission nach RFC 2476
Port 987 IP xxx.xxx.xxx.xxx Port offen
Port 993 IP xxx.xxx.xxx.xxx Port offen IMAPS;IMAP over TLS/SSL
Port 995 IP xxx.xxx.xxx.xxx Port offen POP3S;POP3 over TLS/SSL
Port 1723 IP xxx.xxx.xxx.xxx Port offen PPTP;Point-to-Point Tunneling Protocol
Port 3389 IP xxx.xxx.xxx.xxx Port offen RDP;Remote Desktop Protocol

 

Dabei fällt sofort auf, dass auch hier die Ports 500, 4500 und 1701 als nicht offen getestet wurden. SIe müssten doch aber eigentlich, oder?

 

Werde jetzt nochmal explizit nach UDP-Portscannern suchen, auch wenn mich das irgendwie wundert. Hoffe, dass ich nicht tatsächlich ein Problem mit der Digibox habe, also neue NAT Regeln nicht umgesetzt werden.

Ja die sollten offen sein. Der Scanner den du nutzt scannt auch udp Ports, so steht es zumindest in der Beschreibung. 

 

Mach doch mal eine einfache Weiterleitung auf Port 21. und schau ob der danach offen ist.  

 

Ansonten sicherung machen Digibox auf Werkseinstellung.

 

 Und dann testen. Wenn es dann geht war es der gleiche Fehler wie bei mir und die Sicherung kannst du nicht mehr nehmen. Dann hilft nur neu konfigurieren. 

Hallo @Tekkleberry

schön, Sie bei uns zuhaben.

Erst einmal Danke an @KarlNapp2016 für die Unterstützung.

Haben Ihnen die Tipps weitergeholfen?
Benötigen Sie noch weitere Unterstützung?

Ich bin auf Ihre Rückmeldung gespannt!

Liebe Grüße
Irina K.

KarlNapp2016 schrieb: ... Wenn es dann geht war es der gleiche Fehler wie bei mir und die Sicherung kannst du nicht mehr nehmen. Dann hilft nur neu konfigurieren.

@KarlNapp2016: Vielen Dank für den Hinweis. Es scheint tatsächlich daran zu liegen, dass die Digitalisierungsbox Premium keine neuen Ports mehr freigibt. Eine Neukonfiguration steht nicht zur Debatte, da Ausfallzeiten Kosten erzeugen und der Fehler nicht von uns erzeugt wurde.

 

@Irina K.: Vielen Dank für Ihre Nachfrage, aber leider ist das Problem nach wie vor nicht behoben. Wie Sie dem Topic-Verlauf entnehmen können, verdichtet sich die Vermutung, dass die Digitalisierungsbox Premium einen Fehler erzeugt, der nur durch eine Neukunfiguration zu beheben ist. Sollte sich dies bestätigen, wäre das für meinen Kunden und mich aus vielen Gründen inakzeptabel.

 

Daher stellen sich für mich folgende Fragen:

 

- Wer kennt dieses Problem und kann (idealerweise hier) bestätigen, dass die Digitalisierungsbox Premium diesbezüglich offenbar nicht ordnungsgemäß funktioniert?

 

- Ist das Problem bei der Telekom bekannt und wenn ja, welche Bug-Fixes sind dazu geplant?

 

- Übersehe ich eventuell noch etwas?

 

Ein weiterer Support zur Problemlösung wäre wirklich sehr hilfreich. Über User-Hilfe freue ich mich natürlich sehr, von Seiten der Telekom erwarte ich endlich professionelle B2B-Hilfestellung.

 

Vielen Dank und viele Grüße


Guten Morgen @Tekkleberry,

nein, dieses Problem ist nicht bei uns bekannt.
Ich stelle Ihnen gerne den Kontakt zu unseren Kollegen vom Technischen Service her, die auf die Digibox Premium spezialisiert sind. Bitte tragen Sie dafür die Kundennummer und Ihre Rückrufnummer in Ihr Profil ein.

Alternativ kann ich Ihnen noch unsere Computerhilfe Business anbieten. Die Kollegen dort können auch bei Telekom-unabhängigen Themen, z.B. rund um Windows weiterhelfen. https://geschaeftskunden.telekom.de/298006

Viele Grüße
Svenja B.

@Svenja B.: Vielen Dank für Ihre Nachricht.

 

Ich habe meine Rückruf- und Kundennummer eingetragen. Bitte beachten Sie, dass es sich bei dem hier beschriebenen Problem nicht um meinen Anschluss bzw. meine Kundennummer handelt.

 

Selbstverständlich bin ich unter der angegebenen Rückrufnummer erreichbar und kann Ihnen dann die GK-Kundennummer nennen um die es sich dreht.

 

Ich freue mich auf den Anruf Ihrer Spezialisten. Vielen Dank für Ihre Untersützung.

Guten Tag @Tekkleberry,

ich übernehme für meine Kollegin Svenja.

Ich konnte Sie leider mit der eingetragenen Rufnummer im Profil nicht erreichen. Die Rufnummer sei nicht bekannt. Ist die Mobilfunknummer richtig hinterlegt?

Ich freue mich auf Ihre Nachricht.

Liebe Grüße
Adriana P.

@Adriana P., sie haben vollkommen recht, ich hatte einen Zahlendreher in der Rückrufnummer. Vielen Dank für den Hinweis, ich habe den Fehler korrigiert.

Guten Morgen @Tekkleberry,

vielen Dank für Ihre Antwort.
Ich habe Sie leider telefonisch nicht erreicht. Wann sind Sie am besten erreichbar?

Liebe Grüße
Adriana P.

Vielen Dank @Adriana P., ich war die letzten Tage auch schwer erreichbar.

 

Ich kläre gerade noch ein anderes Problem mit der Digibox und melde mich dann hier nochmal wieder. Vielleicht kann ich dann auch etwas neues dazu berichten.

Guten Morgen @Tekkleberry,

🆗 dann warte ich auf Ihre Nachricht, sobald Ihr anderes Anliegen mit der Digitalisierungsbox erledigt ist.
Ich bin gerne jederzeit für Sie da. 😊

Liebe Grüße
Adriana P.

So, nachdem ich mein anderes Problem in den Griff bekommen habe, anbei aktualisierte Screenshots der NAT-Schnittstellen und der NAT-Konfiguartion.

 

Leider komme ich nach wie vor nicht via L2TP IPSEC auf den Server. Zur Erinnerung: von innen funktioniert der VPN via L2TP IPSEC problemlos, womit der SBS 2008 wohl richtig konfiguriert zu sein scheint. Nur komme ich von außen irgendwie nicht durch die Digibox durch.

 

Anbei Screenshots der Firewall, vielleicht liegt der Hund ja da noch irgendwie begraben:

Hi @Tekkleberry,

mir ist aufgefallen, dass in der Adressliste nur einen Eintrag für "any" vorhanden ist. Dort müsste ein Eintrag für den Server angelegt werden. Bei der Filterregel ist dann das Ziel die angelegte Adresse. Sie haben dort als Ziel die Schnittestelle "br0" angeben. Das kann so nicht funktionieren.

Bitte prüfen Sie diese Einträge.

Liebe Grüße
Adriana P.

@Adriana P., vielen Dank für den Hinweis. Ich habe die Einträge entsprechend angepasst. Leider ohne Veränderung, ich kann nach wie vor keinen L2TP-VPN aufbauen, PPTP funktioniert problemlos.

 

Jetzt sieht's so aus:

Hallo @Tekkleberry,

ich übernehme für meine Kollegin @Adriana P.

In Ihrer Konfiguration ist das IP Präfix nicht mit /32 angegeben. Bitte prüfen Sie, ob bei der IP Adresse die Subnetzmaske 255.255.255.255 eingetragen ist.

Wenn es dann immer noch nicht geht, sollten wir wie @Adriana P. schon angeboten hat, ein Ticket bei der Technik einstellen.

Gruß Jörg D.

Vielen Dank für den Hinweis, @Jörg D.!

 

Leider hat die Änderung auf 255.255.255.255 nichts gebracht. Das Problem bleibt bestehen.

 

Dann sollten wir doch ein Support-Ticket aufmachen. Ich bin allerdings erst ab Donnerstag 09.03. wieder im Büro erreichbar.

 

Vielen Dank und viele Grüße