L2TP Authentifizierungsprobleme

NasQ

Benutzer
Mitglied seit
08. Dez 2014
Beiträge
27
Punkte für Reaktionen
1
Punkte
0
Hallo,

ich habe gestern meine alte DS214se gegen eine DS216+II getauscht.
Die neue DS habe ich komplett neu eingerichtet. Also DSM neu installiert, nix migriert, Volumes neu gemacht.
Dann habe ich den VPN-Server mit den selben Einstellungen wie auf der alten DS konfiguriert.
Selber PSK, selbe Benutzer, selbe Passwörter.
Ich bekomme jedoch von Windows als auch von iOS immer die Meldung, dass die Authentifizierung fehlgeschlagen sei.
Ich habe alles doppelt und dreifach geprüft. Alle Passwörter und auch der Pre-Shared Key sind in Ordnung.
Ich weiß nicht mal, wie ich das ordentlich debuggen kann.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Das es bei Windows nicht mehr geht ist bekannt (geht bei mir auch nicht mehr und das sogar ohne Änderungen) warum genau ist nicht bekannt. iOS ist neu.
 

mrsandman

Benutzer
Mitglied seit
08. Sep 2013
Beiträge
85
Punkte für Reaktionen
2
Punkte
8
Seit wann sollte L2TP unter Windows nicht mehr gehen? Bei mir funktioniert alles ohne Probleme...

Die Beschreibung klingt für mich nach einem Konfigurationsproblem. Die Meldung bzgl. der fehlenden Authentifizierung lässt darauf schliessen, dass der VPN-Server läuft und antwortet.

Folgende Punkte kommen mir in den Sinn:
1. Hat der Benutzer das L2TP Privileg erhalten (einzustellen unter VPN Server -> Privileg)?
2. Wurde der VPN-Server schon einmal neugestartet?
3. Wurde DSM schon einmal neugestartet?
4. Funktioniert die Verbindung auch mit einem ganz einfachen Pre-Shared Key nicht (bspw. nur ein Buchstabe)? Evtl. auch ein ganz neuer Benutzer einrichten mit einem ganz einfachen Passwort.

Wenn das alles nichts hilft, kann man auch noch den Debug-Log für den L2TP-Server aktivieren auf der DS. Dazu mittels SSH in der Datei /var/packages/VPNCenter/etc/l2tp/ipsec.conf die Zeilen für plutodebug und plutostderrlog aktivieren und danach den VPN-Server neustarten. Nun sollte unter /var/log/pluto.log eine (sehr!) ausführliche Logdatei angelegt werden. Diese kann nach einem erfolglosen Verbindungsversuch konsultiert werden um evtl. daraus Hinweise zu kriegen, warum die Authentifizierung fehlschlägt.
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Hi

bei mir funktioniert es wie folgt:

iPad mit iOS 10.3.1:

L2TP mit preshared key - Verbindung im internen Netz bzw. Verbindung von extern ohne Probleme

Windows 10 Pro (mit Creators Update) + Windows Mobile 10 (letztes Insider-Build)

Keine Verbindung L2TP mit preshared key !

Erst nach Änderung des VPN-Typs (am PC bzw. Handy) auf "L2TP/IPsec mit Zertifikat" funktionierte es !

VPN-Konfiguration am NAS

VPN.JPG

LG aus Kärnten
 

NasQ

Benutzer
Mitglied seit
08. Dez 2014
Beiträge
27
Punkte für Reaktionen
1
Punkte
0
Die Beschreibung klingt für mich nach einem Konfigurationsproblem.

Irgendwo vielleicht schon, Problem ist nur, dass ich alle Werte 1:1 übernommen habe.

Die Meldung bzgl. der fehlenden Authentifizierung lässt darauf schliessen, dass der VPN-Server läuft und antwortet.

Korrekt.

1. Hat der Benutzer das L2TP Privileg erhalten (einzustellen unter VPN Server -> Privileg)?

Ja, testweise haben alle Benutzer Privilegien für alle VPN Dienste bekommen

2. Wurde der VPN-Server schon einmal neugestartet?
3. Wurde DSM schon einmal neugestartet?

Mehrfach. Inklusive Deinstallation des VPN Pakets, Neustart, Installation des VPN Pakets, Neustart, Konfiguration des VPN Pakets, Neustart.

4. Funktioniert die Verbindung auch mit einem ganz einfachen Pre-Shared Key nicht (bspw. nur ein Buchstabe)? Evtl. auch ein ganz neuer Benutzer einrichten mit einem ganz einfachen Passwort.

Ohne übereinstimmende PSK bekomme ich noch vor der Authentisierung einen Abbruch der Verbindung. Stimmen die PSK überein bekomme ich folgende Fehlermeldung:

Die Remoteverbindung wurde verweigert, weil die angegebene Kombination aus Benutzername und Kennwort nicht erkannt wird oder das ausgewählte Authentifizierungsprotokoll nicht für den RAS-Server zulässig ist.

Wenn das alles nichts hilft, kann man auch noch den Debug-Log für den L2TP-Server aktivieren auf der DS. Dazu mittels SSH in der Datei /var/packages/VPNCenter/etc/l2tp/ipsec.conf die Zeilen für plutodebug und plutostderrlog aktivieren und danach den VPN-Server neustarten. Nun sollte unter /var/log/pluto.log eine (sehr!) ausführliche Logdatei angelegt werden. Diese kann nach einem erfolglosen Verbindungsversuch konsultiert werden um evtl. daraus Hinweise zu kriegen, warum die Authentifizierung fehlschlägt.

Das werde ich mal versuchen. Wobei soweit ich weiß für L2TP xl2tpd verwendet wird und Pluto nur für IPSec verwendet wird. Dieses scheint jedoch zu funktionieren.
Aber trotzdem werde ich es versuchen.
 

Anhänge

  • vpn_allgem.jpg
    vpn_allgem.jpg
    36,1 KB · Aufrufe: 167
  • vpn_l2tp.jpg
    vpn_l2tp.jpg
    40,4 KB · Aufrufe: 167
  • vpn_priv.jpg
    vpn_priv.jpg
    33,3 KB · Aufrufe: 162
  • vpn_win.png
    vpn_win.png
    15,6 KB · Aufrufe: 167

NasQ

Benutzer
Mitglied seit
08. Dez 2014
Beiträge
27
Punkte für Reaktionen
1
Punkte
0
Also, das Pluto Log ist zwar riesig, aber da scheint es keine Probleme zu geben.

Dann habe ich mir den Ordner /var/packages/VPNCenter/etc/l2tp/ mal angesehen.
Darin befinden sich auch die xl2tpd Konfigurationen.

In /var/packages/VPNCenter/etc/l2tp/options.xl2tpd habe ich folgendes hinzugefügt:

logfd 3
logfile /var/log/xl2tpd.log

Jetzt wird auch für den L2TP Service eine Logdatei angelegt, die bei mir folgenden Inhalt hat:
Plugin pppol2tp.so loaded.
using channel 1
Using interface ppp301
Connect: ppp301 <-->
Overriding mtu 1500 to 1400
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
Overriding mru 1500 to mtu value 1400
sent [LCP ConfReq id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x94d09c65>]
rcvd [LCP ConfAck id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x94d09c65>]
rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x49db0833> <pcomp> <accomp> <callback CBCP>]
sent [LCP ConfRej id=0x1 <callback CBCP>]
rcvd [LCP ConfReq id=0x2 <mru 1400> <magic 0x49db0833> <pcomp> <accomp>]
sent [LCP ConfAck id=0x2 <mru 1400> <magic 0x49db0833> <pcomp> <accomp>]
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
sent [CHAP Challenge id=0xd5 <365f3ac42f19a1e251d78863d89bd356>, name = "l2tpd"]
rcvd [LCP Ident id=0x3 magic=0x49db0833 "MSRASV5.20"]
rcvd [LCP Ident id=0x4 magic=0x49db0833 "MSRAS-0-PLT-NB-010"]
rcvd [LCP Ident id=0x5 magic=0x49db0833 "5\37777777676T^\37777777635W\006K\377777776114\37777777667\37777777721cc\37777777644\37777777603"]
rcvd [CHAP Response id=0xd5 <74a6fc8484b548500c7016a0e3e8a0a70000000000000000373bbe496fe6ee24c98c0c905a2437ecee84fbf5ccc3f14000>, name = "MeinUsername"]
rc_own_ipaddress: couldn't get own IP address
Peer MeinUsername failed CHAP authentication
sent [CHAP Failure id=0xd5 ""]
Overriding mtu 1500 to 1400
PPPoL2TP options: lnsmode tid 54333 sid 54313 debugmask 0
Overriding mru 1500 to mtu value 1400
sent [LCP TermReq id=0x2 "Authentication failed"]
rcvd [LCP TermAck id=0x2 "Authentication failed"]
Connection terminated.
RADATTR plugin removed file /var/run/radattr.ppp301.

Außer, dass es einen Authentifizierungsfehler gab kann man dem Log leider nichts entnehmen. Der DS User existiert jedoch und hat auch das korrekte Passwort.
 

NasQ

Benutzer
Mitglied seit
08. Dez 2014
Beiträge
27
Punkte für Reaktionen
1
Punkte
0
Ooooookay! Es funktioniert wieder.

Folgende Zeile im xl2tp.log hat mich stutzig gemacht:
Rich (BBCode):
rc_own_ipaddress: couldn't get own IP address

Nach einer Google Suche kam ich dann auf einen alten Thread in diesem Forum:
http://www.synology-forum.de/showthread.html?28918-DSM-4-0-2219-freigegeben/page5&p=237798&viewfull=1#post237798

Auch bei mir war es der Fall, dass der HostName der DiskStation hinter der IP 0.0.0.0 stand. Warum weiß ich nicht. Vielleicht ein alter Bug. Ich habe bei meiner neuen DiskStation alles neu eingerichtet und der Hostname wurde von mir nur im DSM Installer gesetzt. Eventuell liegt da die Ursache des Problems. Aber genau kann ich es jetzt nicht rückverfolgen.

Ein Fix kann auf 2 Arten geschehen.

1. Konsole:
Die Datei /etc/hosts bearbeiten, sodass der Hostname des Systems hinter der Loopback IP 127.0.0.1 steht. Die IP 0.0.0.0 dann entfernen

2. Über die GUI (mMn. die bessere Lösung, da die Hosts-Datei dadurch von DSM bearbeitet wird);

Systemsteuerung->Netzwerk:
Servername einfach in den gewünschten Wert umbenennen. Ist schon der gewünschte Servername gesetzt muss man ihn temporär umbenennen und dann noch mal speichern.

Jetzt stimmt die Hosts-Datei wieder und die CHAP Authentifizierung funktioniert.
 

sdiii

Benutzer
Mitglied seit
19. Sep 2017
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
2. Über die GUI (mMn. die bessere Lösung, da die Hosts-Datei dadurch von DSM bearbeitet wird);

Systemsteuerung->Netzwerk:
Servername einfach in den gewünschten Wert umbenennen. Ist schon der gewünschte Servername gesetzt muss man ihn temporär umbenennen und dann noch mal speichern.

Jetzt stimmt die Hosts-Datei wieder und die CHAP Authentifizierung funktioniert.

Ich habe mich hier nur registriert um mich bei dir zu bedanken....:)
Ich hatte genau das gleiche Problem und durch die Umbennenung des Servernamens funktioniert nun die VPN Verbindung.
Man man man, bin fast wahnsinnig geworden...
 

Behem0th

Benutzer
Mitglied seit
12. Aug 2018
Beiträge
6
Punkte für Reaktionen
1
Punkte
3
Ich möchte mich auch sehr herzlich bei NasQ bedanken! Ich habe jetzt im August 2018 eine DS218 (DSM 6.2-23739 Update 2) gekauft und hatte bei der VPN-Einrichtung ständig die Fehlermeldung "Authentifizierung ist fehlgeschlagen" wie hier bereits Anfang 2017 beschrieben. Tatsächlich war in der /etc/hosts die 0.0.0.0 vor dem Servernamen gesetzt. Ich habe unter Systemsteuerung / Netzwerk den Servernamen geändert, übernommen, zurückgeändert, übernommen und schon steht in der /etc/hosts die 127.0.0.1 - damit ist das L2TP Authentifizierungsproblem bei mir gelöst. Vielen Dank! :D
 

IngoF

Benutzer
Mitglied seit
17. Okt 2011
Beiträge
268
Punkte für Reaktionen
18
Punkte
18
Da der VPN Server immer noch auf den PSK wartet, frag ich ich, wie das funktioniert haben kann.

Ich versuche auch schon seit einem Jahr eine VPN-Verbindung L2TP PSK aufzubauen. Windows 7 und Windows 10 wollen sich einfach nicht verbinden.
Sobald ich jedoch auf L2TP mit Zertifikat einstelle funktioniert es jedoch nur ohne Verschlüsselung. Sobald ich bei Verschlüsselung von "Optional" auf "Erforderlich" umstelle Klappt es auch nicht mehr.

Mit Android Handys keine Probleme. OpenVPN geht auch. Aber L2TP PSK bekomme ich mit Windows nicht mit Verschlüsselung zum laufen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Das wirst du nicht mit Bordmitteln schaffen sondern nur über einen VPN Client.
Teste mal die Freeware Version des Shrewsoft.
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
343
Punkte für Reaktionen
32
Punkte
28
Hallo,

Warum soll das nicht gehen. Ich hab hier auf der Syn den L2TP/IPSec Server laufen und mit Win10 verbinde ich mich auch mit dem integrierten Client ohne Probleme.
Bei Windows 7 kann ich dazu nicht´s sagen da ich das nicht mehr habe.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
L2TP PSK ist gefragt.
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
343
Punkte für Reaktionen
32
Punkte
28
Ja, das mache ich ja. (Unter Win10 "L2TP/IPsec mit vorinstalliertem Schlüssel")
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
IPSEC ist etwas anderes als XAUTH
 

IngoF

Benutzer
Mitglied seit
17. Okt 2011
Beiträge
268
Punkte für Reaktionen
18
Punkte
18
Keine Ahnung wie sich dass jetzt genau nennt.
Ich möchte mit Windows10 Boarmitteln eine L2TP Verbindung aufbauen die verschlüsselt ist.

Hatte alles gesucht was ich finden konnte. Auch der Registry Eintrag für NAT bringen nichts.
Ich bekomme nur eine Verbindung wenn ich Verschlüsselung ausschalte und Statt "PSK" auf "Zertifikat" umstelle.

Allerdings macht das dann nicht wirklich Sinn ohne Verschlüsselung.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Dann probiere es mal mit dem kostenfreien Shrewsoft VPN Client (nicht die Pro Version).
Dort verwendest du L2TP mit XAUTH passphrase.
Für die Fritzboxen gibt es dafür zB eine detaillierte Anleitung von AVM.
 

blinky911

Benutzer
Mitglied seit
04. Jul 2021
Beiträge
97
Punkte für Reaktionen
0
Punkte
6
Zwar ein altes Thema, aber ich bekomme auch keine Verbindung hin. Server kann ich nicht umbenennen wegen dem Domaincontroller.

Berechtigungen sind richtig und die UDC Ports sind in der Fritzbox und Firewall freigegeben.,

in der Hosts Datei steht:

Code:
# Any manual change will be lost if the host name is changed or system upgrades.
127.0.0.1    localhost
::1        localhost
127.0.0.1    meinedsm
::1        meinedsm
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat