Lion Server VPN über TC: Clients wollen sich nicht verbinden?

Encounter

Encounter

Aktives Mitglied
Thread Starter
Dabei seit
24.02.2005
Beiträge
517
Reaktionspunkte
31
Guten Morgen,

ich möchte über das Internet via VPN von meinem Snow Leopard Arbeitsrechner (192.168.1.201) auf meinen privaten Lion Server zugreifen.
Dazu habe ich den VPN-Dienst unter Lion Server aktiviert, den Shared Secret Key notiert und die IP-Range auf 192.168.0.50 - 192.168.0.100 geändert.
In meinen Time Capsule (192.168.0.1) habe ich die Ports (UDP) 500,1701,1723,4500 auf die Serveradresse: 192.168.0.11 weitergeleitet.
Auf dem Lion Server OS läuft mein Dyndns-App. Das funktioniert auch weil ich einfandfrei über die Dyndns-Adresse auf die Webseite/Wiki vom Server komme.
Unter Snow Leopard Server konnte man eine schöne Konfigurationsdatei exportieren und an den Clients importieren. Das geht zwar unter Lion Server auch ist aber nur für Mobile Clients (warum auch immer) und lässt sich von Snow Leopard nicht lesen. Nun gut... ich habe alles manuelle eingestellt.

L2TP über IPSec
Serveradresse: Dyndns-Name
Benutzername: Benutzername von einem Lion Server User (Administrator)
Kennwort: Benutzerkennwort von einem Lion Server User (Administrator)
Shared Secret Schlüssel: übernommen aus dem Lion-VPN-Dienst

Leider funktioniert VPN nicht. Es kommt immer die Meldung der Server ist nicht erreichbar.
Im übrigen bekomme ich auch diese Fehlermeldung wenn ich vom iPhone 4 (iOS5) über die Konfigurationsdatei auf den Lion-Server via VPN zugreifen möchte.
Was mache ich falsch? Was muss ich einstellen bzw. umstellen?

Viele Grüße und Danke!

Markus
 
Hi Markus,

was steht denn im system.log Deines VPN-Clients? Wenn ich von meinem Lion Client eine Verbindung zum Lion Server aufbaue, finde ich folgende Einträge im system.log:


Oct 20 11:53:55 kvasir configd[16]: SCNC: start, triggered by SystemUIServer, type L2TP, status 0
Oct 20 11:53:56 kvasir pppd[81039]: pppd 2.4.2 (Apple version 560.13) started by xxxx, uid 501
Oct 20 11:54:01 kvasir pppd[81039]: L2TP connecting to server 'servername' (IP VPN-Server)...
Oct 20 11:54:01 kvasir pppd[81039]: IPSec connection started
Oct 20 11:54:01 kvasir racoon[81044]: Connecting.
Oct 20 11:54:01 kvasir racoon[81044]: IPSec Phase1 started (Initiated by me).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: transmit success. (Initiator, Main-Mode message 1).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: receive success. (Initiator, Main-Mode message 2).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: transmit success. (Initiator, Main-Mode message 3).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: receive success. (Initiator, Main-Mode message 4).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: transmit success. (Initiator, Main-Mode message 5).
Oct 20 11:54:01 kvasir racoon[81044]: IKEv1 Phase1 AUTH: success. (Initiator, Main-Mode Message 6).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: receive success. (Initiator, Main-Mode message 6).
Oct 20 11:54:01 kvasir racoon[81044]: IKEv1 Phase1 Initiator: success. (Initiator, Main-Mode).
Oct 20 11:54:01 kvasir racoon[81044]: IPSec Phase1 established (Initiated by me).
Oct 20 11:54:01 kvasir racoon[81044]: IKE Packet: receive success. (Information message).
Oct 20 11:54:02 kvasir racoon[81044]: IPSec Phase2 started (Initiated by me).
Oct 20 11:54:02 kvasir racoon[81044]: IKE Packet: transmit success. (Initiator, Quick-Mode message 1).
Oct 20 11:54:02 kvasir racoon[81044]: IKE Packet: receive success. (Initiator, Quick-Mode message 2).
Oct 20 11:54:02 kvasir racoon[81044]: IKE Packet: transmit success. (Initiator, Quick-Mode message 3).
Oct 20 11:54:02 kvasir racoon[81044]: IKEv1 Phase2 Initiator: success. (Initiator, Quick-Mode).
Oct 20 11:54:02 kvasir racoon[81044]: IPSec Phase2 established (Initiated by me).
Oct 20 11:54:02 kvasir pppd[81039]: IPSec connection established
Oct 20 11:54:02 kvasir pppd[81039]: L2TP connection established.
Oct 20 11:54:02 kvasir pppd[81039]: Connect: ppp0 <--> socket[34:18]
….
 
Hi,

meine Log vom SL-Client 10.6.8 schaut wie folgt aus...

Oct 20 15:40:05 mustermann awacsd[1729]: [UUID:07AE13D4-9DC0-4EF7-A05B-EC046425A2B0, AwacsdID:awacsd connectivity-35.3 (May 26 2011 14:39:20)] VCChannel_Close done! ( 00000000 )
Oct 20 15:40:08 mustermann racoon[174]: IKE Packet: transmit success. (Phase1 Retransmit).
Oct 20 15:40:17: --- last message repeated 3 times ---
Oct 20 15:40:17 mustermann awacsd[1729]: [UUID:E2A8D0A1-FE6A-41EE-A543-9237D95204B5, AwacsdID:awacsd connectivity-35.3 (May 26 2011 14:39:20)] VCChannelStartConnectionCheck for channel failed! ( 80150001 )
Oct 20 15:40:17 mustermann awacsd[1729]: [UUID:E2A8D0A1-FE6A-41EE-A543-9237D95204B5, AwacsdID:awacsd connectivity-35.3 (May 26 2011 14:39:20)] VCChannel_Close done! ( 00000000 )
Oct 20 15:40:20 mustermann racoon[174]: IKE Packet: transmit success. (Phase1 Retransmit).
Oct 20 15:40:23 mustermann racoon[174]: IKEv1 Phase1: maximum retransmits. (Phase1 Maximum Retransmits).
Oct 20 15:40:23 mustermann racoon[174]: Disconnecting. (Connection tried to negotiate for, 30.007751 seconds).
Oct 20 15:40:23 mustermann racoon[174]: IKE Phase1 Failure-Rate Statistic. (Failure-Rate = 100.000).
Oct 20 15:45:37 mustermann pppd[3629]: pppd 2.4.2 (Apple version 412.5) started by Markus, uid 502
Oct 20 15:45:37 mustermann pppd[3629]: L2TP connecting to server 'mustermann.dyndns.org' (178.203.131.203)...
Oct 20 15:45:37 mustermann pppd[3629]: IPSec connection started
Oct 20 15:45:37 mustermann racoon[174]: Connecting.
Oct 20 15:45:37 mustermann racoon[174]: IKE Packet: transmit success. (Initiator, Main-Mode message 1).
Oct 20 15:45:40 mustermann racoon[174]: IKE Packet: transmit success. (Phase1 Retransmit).
Oct 20 15:45:47: --- last message repeated 2 times ---
Oct 20 15:45:47 markuslischka pppd[3629]: IPSec connection failed
Oct 20 15:45:47 mustermann racoon[174]: Disconnecting. (Connection tried to negotiate for, 10.005423 seconds).
Oct 20 15:45:47 mustermann configd[13]: SCNCController: Disconnecting. (Connection tried to negotiate for, 10 seconds)

Ich werde daraus leider nicht schlau... :(
 
ich schlage mich mit VPN schon gut 1 jahr rum. mein persönliches fazit es will einfach nicht stabiel laufen. wenn es mal läuft dann kann es sein das es am nächsten tag nicht will. L2TP über IPSec hatte ich nur stress, habe dann mal mit dem PPTP gearbeitet, das lief besser aber immer noch nicht so wie ich es wollte ... greetings
 
Hm... ich bin immer noch nicht weiter :(
Kann man unter Lion Server den Shared Secret Key irgendwie ändern. Ich kann den nur anzeigen lassen - mehr nicht!
Grüße
 
Ich kann ihn überschreiben, nachdem ich ihn mir anzeigen lasse...
 
also ich mach das hier über snow server .... aber ich hatte auch mal kurz das problem das ich nicht verbinden konnte obwohl alle einstellungen gepasst haben...

nur dann hab ich entdeckt das unter zugriff bei den servereinstellungen beim VPN der user nicht eingetragen war... schon mal nachgeschaut?
 
Hi,
jetzt kann ich den Shared-Key auch ändern. Dennoch... VPN klappt immer noch nicht. Unter VPN bei Lion kann ich nicht explizit nur einem Benutzer VPN-Verbindungen erlauben. Ich verstehe das nicht.
Alles ist korrekt eingestellt. :(
Könnte jemand bitte genau kurz alle relevanten Schritte für VPN über eine TC mit Lion Server auflisten? Das wäre klasse!

Bisher habe ich folgendes gemacht:
TC: Portumleitung (UDP/TCP) 500,1701,4500 auf die feste IP 192.168.11 des Mac Mini Server Lion (10.7.2)
Mini: VPN gestartet, Range 192.168.50-100, eigener Shared Key sowie Dyndns-App gestartet mit Dyndns Login
MP (10.6.8): VPN L2TP mit Dyndns Servername, Benutzer-Name, Benutzer-Kennwort und Shared-Key

Vielen Dank.
Grüße.
Markus
 
Hi Markus,

Unter VPN bei Lion kann ich nicht explizit nur einem Benutzer VPN-Verbindungen erlauben. Ich verstehe das nicht.

Du musst dem User die Rechte auf VPN geben.

Ich mache das mit der Server-Admin App:

Wenn Du dort (unterhalb von verfügbaren Server) auf den Servernamen oder wahlweise dessen IP-Adresse klickst, erscheint im rechten Teil des Fenstern in der Symbolleiste ein Eintrag "Zugriff". Unterhalb der Symbolleiste im linken Teil klickst Du auf den VPN Service. Nun kannst Du im rechten Teil sehen, welche Gruppen, bzw. Benutzer VPN benutzen dürfen. Steht dort nichts drin, muss Du einer Gruppe oder Benutzer den Zugriff erlauben. Dafür klickst Du auf das + -Symbol….

Good Luck

Thomas
 
Encounter schrieb:
Hi,
Bisher habe ich folgendes gemacht:
TC: Portumleitung (UDP/TCP) 500,1701,4500 auf die feste IP 192.168.11 des Mac Mini Server Lion (10.7.2)
Zum Vergrößern anklicken....

Die Portweiterleitungen sind korrekt. Das Protokoll muss jeweils UDP sein. Bei der TC sollte das aber automatisch von der Server App konfiguriert werden.
 
Hallo alle zusammen,
leider klappt es immer noch nicht. Das Lion-Server-App ist ein wenig anders..
Anbei zwei Screens...
Es scheint alles korrekt zu sein. Auch habe ich die Ports nur auf UDP gestellt.
Auf den Clients ist die Dyndns-Adresse unter "Server" hinterlegt.
Ich bekomme immer die Meldung der VNP-Server antwortet nicht. :(
Ich danke euch für Eure Hilfe.
Grüße.
Markus
 

Anhänge

  • Bildschirmfoto 2011-11-08 um 09.16.23.jpg
    Bildschirmfoto 2011-11-08 um 09.16.23.jpg
    52,1 KB · Aufrufe: 114
  • Bildschirmfoto 2011-11-08 um 09.16.51.jpg
    Bildschirmfoto 2011-11-08 um 09.16.51.jpg
    56 KB · Aufrufe: 96
Hi,
habe es nun hinbekommen. Es lag an der Mobile Me Einstellung "Zugang zu meinem Mac". Steht man den Dienst aus funktioniert VPN.
Grüße.
Markus
 
Hi,
zu früh gefreut :( Im lokalem Netz funktioniert mit dem iPhone VPN. Ansonsten geht es nicht. Weder über das Internet noch über das iPhone und den MacPro (SL).
Ich kapiere das nicht. Alles ist korrekt eingestellt, 1000x überprüft und neue eingerichtet. Es ist genau wie der Webdav-Server. Ein absolute Katastrophe... ich komme
auf den Server habe aber als Admin keine Schreibrechte! Was soll das? Ist Lion und die miese Programmierung das Problem. Anderes kann ich mir das nicht erklären?! :(
Grüße.
Markus
 
Ich kenne das Problem von sl ... Bei mir liegt es in der airport extreme ... Habe den Fehler mit der NAT Funktion behoben, einfach im NAT sagen ein portmapping auf die Server lokale ip und den Kasten darunter anklicken.
Im Server jetzt die firewal an weil alles jetzt auf dem Server geleitet wird! Wenn die an hast noch schnell der firewall die ports verklickern und dann sollte es laufen, aber am besten noch mal mit einem externen Port Scanner testen ob der Server safe ist.

So sollte es gehen. Mehr schaffe ich gerade nicht aus dem kopf so mal eben zu schreiben, da ich gerade im Zug sitze :)
Da fällt mir ein, in der firewall einstellen das die externen Sachen geblockt werden sollen nicht die internen sonst hast spass mit dem LAN
 
  • Gefällt mir
Reaktionen: Encounter
so noch mal jetzt bin ich am Rechner ^^

Die lösung ist bestimmt nicht die beste, aber die läuft bei mit mit SL ^^

erster Schritt in das
Airport - Dienstprogramm
Standard-Host unter: Hier die Lokale SERVER IP
Nat Port Mapping Protocol aktiv (Ja)
attachment.php


Dann geht es in das Programm Server-Admin
Ich meine es ist beim LION Server nicht dabei, das kann man kosten los bei Apple runterladen...

Dort den Lokalen Server wählen. Wenn in der linken liste die Firewall nicht drin ist kannst du dir die so anzeigen lassen:
attachment.php


jetzt auf die Firewall gehen und dann solltest das so einstellen:

Erster Schritt das Lokale Netzwerk eingrenzen, solltest du ein standart Netzwerk haben sollte es schon eingestellt sein:
Wenn du aber ein oder mehrere Netzwerke hast dann musst du die evtl noch eintragen...
attachment.php



Jetzt musst du natürlich die regeln für dein LAN einstellen:
Hier ist jetzt wichtig zu wissen was in deinem LAN so alles passiert. hier kannst du natürlich auch wieder eingrenzen. Heißt also jeder Adressgruppe kannst du eigene Port filter zuweisen!
Ich habe z.b. meinem ArbeitsLAN (192.168.*) keine einschrenkungen gemacht
attachment.php



Jetzt muss man nur noch dem Server nur noch verklickern das die anfragen aus dem Internet gespert werden sollen und nur die VPN Dienste offen sein sollen:
attachment.php



soo jetzt sollte es klappen, so klappt es bei mir ;)

wenn fragen noch hast leg los ;)
 

Anhänge

  • 221.jpg
    221.jpg
    36 KB · Aufrufe: 191
  • 411.jpg
    411.jpg
    30,3 KB · Aufrufe: 187
  • 317.jpg
    317.jpg
    21,6 KB · Aufrufe: 185
  • 1130.jpg
    1130.jpg
    51,2 KB · Aufrufe: 186
  • 511.jpg
    511.jpg
    20,6 KB · Aufrufe: 189
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Encounter
Hi Andy,
Wow, vielen Dank! Bei Lion Server sieht das alles ein wenig anderes aus. Besonderes die Firewall-Settings.
Was sehr komisch ist. Meine Wiki-Server läuft ohne Probleme. Webdav und VPN garnicht. Es muss an der TC liegen.
Dort wird noch nicht einmal unter den Logs ein VPN-Zugriff von außen angezeigt. Alles ob alles ins Leere geht?!
Ich versuche mal NAT auf einen Standard-Host. Dann muss ich nur alles mit der Firewall blocken. Mache ich ehrlich
sehr ungerne. Es kann doch nicht sein, dass es mit Lion nicht anders geht?!.
Grüße.
Markus
 
Hi, auch leider Pustekuchen. :(
Wenn ich über das Internet meine Dyndns-Adresse pinge ist alles fein.

„Ping“ wurde gestartet …

PING meinname.dyndns.org (123.45.67.89): 56 data bytes
64 bytes from 123.45.67.89: icmp_seq=3 ttl=247 time=26.424 ms
64 bytes from 123.45.67.89: icmp_seq=4 ttl=247 time=25.847 ms
64 bytes from 123.45.67.89: icmp_seq=4 ttl=247 time=25.847 ms
--- fourtriplesix.dyndns.org ping statistics ---
10 packets transmitted, 10 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 25.213/25.672/26.512/0.440 ms

Wenn ich NAT auf einen feste IP (Server) lege passiert auch nichts.
Selbst wenn die Firewall aus ist. Es muss die Time Capsule sein.
Gibt es noch ein paar Tips bei der Konfig Lion Server, TC und VPN?
Ich danke euch!
Grüße
Markus
 
Encounter schrieb:
Bei Lion Server sieht das alles ein wenig anderes aus.
Zum Vergrößern anklicken....

Wo den ? habe gerade mich mal auf einen LION Server eingelogt
und da sieht das bei mit im Programm "Server-Admin" gleich aus.

hier kannst es dir runterladen :
http://support.apple.com/kb/DL1419

Encounter schrieb:
Wenn ich NAT auf einen feste IP (Server) lege passiert auch nichts.
Selbst wenn die Firewall aus ist. Es muss die Time Capsule sein.
Gibt es noch ein paar Tips bei der Konfig Lion Server, TC und VPN?
Zum Vergrößern anklicken....


Hast du den in der Airport auch dem Server die IP zugeteilt ?
attachment.php


Weil du musst ja dem Server eine feste IP geben die DHCP vom Airport aus geht. Diese IP sollte dann auch hier eingetragen sein:

102720d1321475958-lion-server-vpn-511.jpg


also ich habe das gerade hier zum spass noch mal schnell mit einem Test server gemacht und hier läuft das dann gleich ohne probleme.
 

Anhänge

  • 6.jpg
    6.jpg
    47,2 KB · Aufrufe: 161
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Encounter
Hallo,
aha... es gibt auch das alte Server-App für Lion? Ich habe immer das benutzt was mit geliefert wird. Das Abgespeckte.
Ich werde es heute Abend laden und deiner Anleitung folgen. Viele Dank für deine Mühen. Super!
Grüße und ein schönes Wochenende.
Markus
 
Bin mal wieder mit dem Handy drin,

Die Server app so wie du Sie nennst, ist der Server. Heißt also das was früher im System drin war haben die jetzt in ein Programm gepackt. Dies recht einfach gemacht das ein Anfänger auch nichts falsch machen kann. Wenn du mehr einstellen willst oder musst, dann musst du mit dem Programm Server admin arbeiten. Das ist bei Lion nicht dabei.
Aber pass für auf da du da viel auch falsch machen kannst

Greetings
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten