Probleme connexion VPN L2TP entre ISA 2004 et Windows XP

Probleme connexion VPN L2TP entre ISA 2004 et Windows XP - Sécurité - Windows & Software

Marsh Posté le 21-02-2005 à 14:10:20    

Soit d'un côté un serveur ISA 2004 sur un Windows 2003 en direct sur le net (connexion PPPOE), configuré entre autres pour accepter les connexion VPN clients en L2TP, avec une clé partagé (pour le moment pas possible de monter un CA) et l'option "permettre les statégies IPSec personalisées" d'activée.
De l'autre côté des nomades en XP Pro (SP1 et SP2) qui essaient de se connecter en VPN sur mon serveur apres s'etre connecté au net via une connexion 56k toute bete. Les clients sont bien configurés pour n'utilser que le meme protocole d'authentification que le serveur (MS-CHAP v2), la clé prépartagée y est également bien rentrée et a été vérifiée plusieurs fois, et c'est bien le L2TP qui est choisi pour etablir la connexion.
Au niveau des clients rien d'autre n'a été configuré.
 
Et la quand je me connecte rien ne se passe du tout, j'ai pendant 1 minutes la fenetre "connexion a monserveur en cours" puis une erreur qui peut varier, le plus souvent 678 (pas de réponse), bcp plus rarement 792 (time-out de la negociation de sécurité).
 
Si au niveau de l'ISA j'autorise les connexion en PPTP, et que je configure les clients pour utiliser le PPTP, la y'a plus aucun soucis la connexion VPN se montent bien, je récupère bien un IP de mon DHCP et mes differentes regles d'acces pare-feu pour les clients VPN fonctionnent bien egalement.
 
Y'a aucun firewall sur les clients, y'a rien dans les observateurs d'evenement des 2 côtés en rapport avec ca, et au niveau du journal de pare-feu de l'ISA je ne trouve meme aucune trace nulle part des IP publiques des clients essayant de se connecter en L2TP  :heink:  
 
Si vous aviez une idée, la je seche et je trouve aucune info pertinente nulle part :/

Reply

Marsh Posté le 21-02-2005 à 14:10:20   

Reply

Marsh Posté le 21-02-2005 à 14:51:03    

hou, le topic a succes !
 
Précisions : en fait j'ai bien des trucs dans les journaux du parefeu ISA :
 
J'ai d'abord l'IP de mon client qui attaque sur le port 500 UDP l'IP externe de l'ISA, et c'est bien accepté par la règle "Autoriser le trafic du client VPN vers ISA Server" et detecté comme "Client IKE".
Puis j'ai l'IP de mon client qui attaque l'ISA sur le port 1701 UDP, la aussi c'est accepté par "Autoriser le trafic du client VPN vers ISA Server", et c'est detecté comme "Client L2TP".
 
Ensuite j'ai plusieurs tentatives depuis l'IP externe de l'ISA sur le port 1701 qui tente de se connecter a l'ip de mon client sur different port >2048, et la par contre la connexion est systematiquement bloqué par le pare-feu par la règle par defaut, et j'ai des tentatives jusqu'a ce que le client se mette en time-out :/
 
J'ai essaye de faire une regle de pare-feu autorisant le traffic sur le port 1701 UDP dans tous les sens, mais ce ne change rien :/

Reply

Marsh Posté le 21-02-2005 à 17:12:18    

:(

Reply

Marsh Posté le 21-02-2005 à 17:26:28    

T1 j'y capte rien, je comprend pas pourquoi les requetes qui partent du serveur vers les clients sont par reconnues comme du VPN, dans les logs c'est du "Trafic IP non identifié" :/
Je sais meme pas si c'est normal que ca se passe comme ca au niveau du mecanisme de connexion :(


Message édité par El Pollo Diablo le 21-02-2005 à 17:26:40
Reply

Marsh Posté le 23-02-2005 à 09:08:15    

up du desespoir...

Reply

Marsh Posté le 24-02-2005 à 17:14:23    

euhh je suis pas un expert mais la connexion VPN c'est pas sur le port 1723 ??
sinon ton post a pas de succès car ISA 2004 c'est la galère ! et windows 2003 il bloque tout au départ !
 
Resume en gros ce qui marche et qui marche pas car je suis perdu dans ton post là
LOL

Reply

Marsh Posté le 24-02-2005 à 17:27:13    

le port 1723 est utilisé pour les connexions PPTP, qui dans mon cas marchent parfaitement bien, mais moi je veux me connecter en L2TP, et bien sur c'est ca qui ne marche pas.

Reply

Marsh Posté le 24-02-2005 à 17:45:17    

ouah  c bizarre que le pptp marche et pas le l2tp
 
tu as bien la même config que le pptp (vu qu'il marche)?
 
vérifier encore et encore on ne sais jamais
- Regles ISA
- et parefeu de windows 2003 (si il en a un a part isa)
 
désolé je réfléchis mais je suis pas un expert en la matière. j'ai meme pas encore windows2003 (je l'aurais que en mars LOL la GALère je le sents !! )
 
en passant, tu es administrateur réseau ?
 
Merci

Reply

Marsh Posté le 24-02-2005 à 18:08:57    

500 > UDP > L2TP ( http://www.autourdupc.com/index.ph [...] /Ports.htm )


Il semblerait qu'il utilise le 1701 (TCP et UDP)et le 500 en UDP...
@+


Message édité par cvb le 24-02-2005 à 18:09:20
Reply

Marsh Posté le 24-02-2005 à 18:47:04    

Oui oui, je suis bien d'accord, et c'est ce qui apparait dans les logs, mais ce couillon d'ISA semble se bloquer lui-même en court d'etablissement de la connexion.
 
J'ai d'ailleurs essayé plein de regles autorisant explicitement le port 1701 en sorti depuis l'ISA, ou meme autorisant absolument tout le traffic possible dans tous les sens, ca change rien, l'ISA continue de se bloquer lui même :/

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed