Einfache L2TP/IPSec-Problembehandlung in Windows 2000

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
259335 Basic L2TP/IPSec troubleshooting in Windows 2000

Zusammenfassung

Dieser Artikel enthält Informationen, die Sie bei der Problembehandlung für L2TP (Layer Two Tunneling Protocol) und IPSec (Internet Protocol Security) in Windows unterstützen.

L2TP ist ein Standard, der die Übertragung von PPP-Datenverkehr (PPP = Point to Point Protocol) zwischen verschiedenen Netzwerken ermöglicht (beschrieben in "Request for Comments [RFC] 2661 "Layer Two Tunneling Protocol L2TP"). L2TP wird mit IPSec kombiniert, um Tunneling und Sicherheit für Internet Protocol-(IP-)Pakete, Internetwork Packet Exchange-(IPX-)Pakete und andere Protokollpakete über beliebige IP-Netzwerke hinweg zu ermöglichen.

L2TP kapselt Originalpakete in einem PPP-Frame (wenn möglich, mit Komprimierung) und in einem Paket des Typs UDP (User Datagram Protocol), das Port 1701 zugeordnet ist. Da es sich beim UDP-Paketformat um ein IP-Transportprotokoll handelt, verwendet L2TP automatisch IPSec, um den Tunnel zu sichern (basierend auf den Sicherheitseinstellungen in der Benutzerkonfiguration des L2TP-Tunnels). Das IKE-Protokoll (IPSec Internet Key Exchange) handelt die Sicherheit für den L2TP-Tunnel aus, wobei standardmäßig zertifikatsbasierte Authentifizierung verwendet wird. Dieser Authentifizierungsprozess verwendet Computerzertifikate, und nicht Benutzerzertifikate, um sicherzustellen, dass Quell- und Zielcomputer einander vertrauen. Wenn die IPSec-Transportsicherheit erfolgreich festgestellt ist, handelt L2TP den Tunnel aus (einschließlich Komprimierung und Optionen der Benutzerauthentifizierung) und führt die Zugriffssteuerung aufgrund der Benutzeridentität durch.

Die L2TP/IPSec-Paketstruktur entspricht dem folgenden Beispiel.

Hinweis: Die PPP-Nutzlast enthält das ursprüngliche IP-Datagramm, und der kursiv dargestellte Text zeigt, was mit IPSec verschlüsselt wird:
|IP-Header|IPSec-ESP-Header|UDP-Header|L2TP-Header|PPP-Header|PPP-Nutzlast|IPSec-ESP-Trailer |IPSec-Auth-Trailer|
Das MPPE-Protokoll (Microsoft Point-to-Point Encryption Protocol) wird bei Anforderung durch den L2TP-Peer (Client oder Server) von Windows ausgehandelt. Es kann zur Sicherung der PPP-Nutzlast verwendet werden, wenn Extensible Authentication Protocol Transport Layer Security (EAP-TLS) oder Microsoft Challenge Handshake Authorization Protocol (MS-CHAP) verwendet wird.

MPPE verwendet die Rivest-Shamir-Adleman-(RSA-)RC4-Stream-Verschlüsselung und geheime Schlüssel mit entweder 40, 56 oder 128 Bit. MPPE-Schlüssel werden aus dem MS-CHAP- und EAP-TLS-Benutzerauthentifizierungsprozess erzeugt. Der RAS-Server kann so konfiguriert werden, dass Datenverschlüsselung erforderlich ist. Wenn der RAS-Client die erforderliche Verschlüsselung nicht durchführen kann, wird der Verbindungsversuch zurückgewiesen und die folgende Fehlermeldung angezeigt:

Der Remotecomputer unterstützt den angeforderten Datenverschlüsselungstyp nicht.

IPSEC wird ausgehandelt, bevor PPP gestartet wird; MPPE wird nach dem Start von PPP ausgehandelt. PPP läuft mit IPSec über L2TP. Während der PPP-Authentifizierungsphase wird ein Benutzername über das konfigurierte Authentifizierungsprotokoll (z.B. MS-CHAP) an die RAS-Serverkomponente des VPN-Servers geschickt (VPN = Virtual Private Network). Der RAS-Server vergleicht dann den Benutzernamen und andere Aufrufeigenschaften mit einer RAS-Richtlinie. Jede Richtlinie hat ein Profil, und RAS vergleicht die Bedingungen des eingehenden Anrufs mit dem Profil, um zu bestimmen, ob die Verbindungsanfrage akzeptiert werden kann.

Überlegungen

  • Wenn der auf Microsoft Windows 2000 Professional mit Service Pack 2 basierende VPN-Client hinter einem beliebigen Netzwerkgerät steht, das die Netzwerkadressübersetzung (Network Address Translation = NAT) durchführt, scheitert die L2TP-Sitzung, da verschlüsselte IPSec-ESP-Pakete (ESP = Encapsulating Security Payload) beschädigt werden. Wenn sich der VPN-Client auf demselben Computer befindet wie die gemeinsame Nutzung der Internetverbindung/Netzwerkadressübersetzung in Windows, kann der Client sehr wahrscheinlich eine L2TP-Sitzung einrichten, da NAT keine Übersetzung von IP-Adressen oder Ports für Pakete durchführt, die vom eigenen Knoten stammen.
    Weitere Informationen zu Verbesserungen an IPSec, durch die die Kommunikation von VPN-Clients hinter NAT-Geräten ermöglicht wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    818043 L2TP/IPSec-NAT-T-Update für Windows XP und Windows 2000

  • Sie benötigen ein Computerzertifikat mit einem privaten Schlüssel, der im persönlichen Zertifikatsspeicher des lokalen Computers zu finden ist.

    Weitere Informationen zum Installieren eines Zertifikats finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    253498 Installation eines Zertifikats für die IP-Sicherheit

    Wenn kein Computerzertifikat gefunden wird, gibt L2TP eine Warnmeldung aus, dass Sie kein Zertifikat haben. L2TP weiß jedoch nicht, ob das vorhandene Zertifikat über einen korrekt installierten und zugeordneten privaten Schlüssel verfügt. Das wird während der Verhandlung des Internetschlüsselaustauschs (Internet Key Exchange = IKE) ermittelt. Starten Sie das Snap-In "Lokale Computerzertifikate", doppelklicken Sie auf Zertifikat, und vergewissern Sie sich, dass unter Allgemein die Aussage "Sie besitzen einen privaten Schlüssel für dieses Zertifikat" angezeigt wird. Vergewissern Sie sich außerdem, dass der Pfad des Zertifikats vollständig und das Zertifikat gültig ist.

    Der Client muss über ein Computerzertifikat verfügen, das von derselben Stammzertifizierungsstelle wie das Gateway-Zertifikat ausgegeben wurde. Der Grund für den Zertifikatsfehler wird vom IKE in einem Eintrag im Sicherheitsprotokoll verzeichnet.Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    257225 IPsec zu Problembehandlung in Microsoft Windows 2000 Server

    Weitere Informationen darüber, welche Computerzertifikate richtig funktionieren, finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    249125 Verwenden von Zertifikaten für Windows 2000- und Cisco IOS-VPN-Interoperabilität

    Beide Seiten müssen die Zertifikatsverifizierung erfolgreich bearbeiten können. Wenn die Authentifizierung des Zertifikats erfolgreich ist, wird die erfolgreiche Erstellung einer IPSec-Hauptmodus-Sicherheitszuordnung (An-/Abmeldung) in einem Eintrag des Sicherheitsprotokolls verzeichnet.
  • IKE-Verhandlungsfehler: Sie können den Erfolg von IPSec überprüfen, indem Sie "Ipsecmon.exe" als lokaler Administrator ausführen, wobei die Optionen so festgelegt sind, dass im Sekundenabstand eine Aktualisierung stattfindet. Wenn Sie die IPSec-Sicherheitszuordnung sehen, so zeigt dies an, dass IPSec erfolgreich war, und Sie können daraus schließen, dass L2TP das Problem verursacht. Mit dem Befehl netdiag /test:ipsec /v /debug können Sie Details der IPSec-Richtlinie anzeigen.

    Hinweis: Sie können nicht die gesamte Richtlinie sehen, wenn ein Domänenadministrator die Richtlinie auf Ihrem lokalen Computer festgelegt hat.Weitere Informationen zu "Ipsecmon.exe" und dem Befehl "netdiag" finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    257225 IPsec zu Problembehandlung in Microsoft Windows 2000 Server

    Beachten Sie auch folgende Hinweise:
    • IKE-Zeitüberschreitung: Bei der ursprünglichen Verhandlungsanforderung kann es zu einer IKE-Zeitüberschreitung kommen, wenn Router vor dem VPN-Server den UDP-Port 500 nicht durchlassen. Die Zeitüberschreitung findet auch dann statt, wenn auf dem VPN-Server keine geeignete IPSec-Richtlinie konfiguriert ist. Dies bedeutet in der Regel, dass für den Routing- und RAS-Server keine L2TP-Ports aktiviert sind oder dass eine manuelle IPSec-Richtlinieneinstellung falsch konfiguriert ist. Bei einer IKE-Zeitüberschreitung zeigt das Überwachungsprotokoll, dass der Peer nicht geantwortet hat und dass eine Netzwerkablaufverfolgung ISAKMP-UDP-Pakete zeigt, die nur von Ihrem Client stammen. Wenn der VPB-Client speziell für L2TP konfiguriert ist, wird folgende Fehlermeldung angezeigt:

      Sicherheitsverhandlung hat Zeitlimit überschritten.


      Wenn der VPN-Client für eine automatische Verarbeitung konfiguriert ist, wird mit dem nächsten Protokoll auf der Liste (PPTP) ein weiterer Versuch unternommen.
    • IKE-Fehler: Der Fehler und die Fehlergründe werden im Sicherheitsprotokoll aufgezeichnet, wenn Sie die Sicherheitseinstellungen (Überwachung von An-/Abmeldefehlern) aktivieren. IKE kann fehlschlagen, da Zertifikats-Anmeldeinformationen nicht funktionieren oder es bei manuell festgelegter IPSec-Richtlinie ein Problem mit der Konfiguration der Richtlinie gibt.Weitere Informationen zu automatischen Richtlinien finden Sie in folgendem Artikel der Microsoft Knowledge Base:

      248750 Beschreibung der für L2TP/IPSec erstellten IPSec-Richtlinie

      Der Erfolg der IKE-Verhandlung wird im Überwachungsprotokoll verzeichnet. Damit die gesamte IPSec-Sicherheitsverhandlung erfolgreich verlaufen kann, muss sowohl eine Hauptmodus- als auch eine Schnellmodus-Sicherheitszuordnung für UDP-Port 1701 eingerichtet werden.
  • Wenn eines der folgenden Symptome auftritt, wird das Problem nicht durch IPSec verursacht:
    • Das Überwachungsprotokoll zeigt die erfolgreiche Einrichtung einer Hauptmodus- und einer Schnellmodus-Sicherheitszuordnung.
    • Die Netzwerkablaufverfolgung zeigt den ESP-Datenverkehr vom Client bzw. vom Server.
    • "Ipsecmon.exe" zeigt eine IPSec-Sicherheitszuordnung.
    Hinweis: Es werden immer zwei IPSec-Sicherheitszuordnungen eingerichtet: eine für jede Richtung und jede mit eigenem SPI (Security Parameter Index). Allerdings zeigt "Ipsecmon.exe" nur die ausgehende Sicherheitszuordnung.
  • ESP blockiert: Wenn NAT vor dem Client liegt oder die Router vor dem VPN, lässt der Server möglicherweise Protokoll 50 (ESP) nicht durch. Der ausgehende ESP-Verkehr mit der SPI-Nummer wird angezeigt, eingehende ESP-Pakete vom Gateway mit einer anderen SPI-Nummer werden jedoch nicht angezeigt.
  • ESP geändert: Werden Pakete durch NAT oder möglicherweise durch einen falschen Parameter oder einen anderen Netzwerkknoten unterwegs geändert oder beschädigt, werden sie vom IPSec-Treiber verworfen, und das folgende Ereignis wird im Systemprotokoll des Empfängersystems angezeigt: Pakete können auch durch eine Netzwerkschnittstelle mit IPSec-Offload-Fähigkeiten beschädigt werden. Mit folgendem Befehl können Sie feststellen, ob eine Schnittstelle diese Fähigkeit hat:
    netsh int ip show offload
  • Wenn die IPSec-Offload-Fähigkeit eines Netzwerkadapters als Grund vermutet wird, starten Sie eine Netzwerkmonitoraufzeichnung sowie "Ipsecmon.exe", um die einzelnen Verbindungsversuche zu analysieren und den Zähler "Vertraulich empfangene Bytes" in "Ipsecmon.exe" zu überprüfen. So können Sie feststellen, ob Pakete beim Empfang verloren gegangen sind. Sie können auch den DWORD-Wert des folgenden Registrierungsunterschlüssels auf Null setzen:
    HKLM\System\CurrentControlSet\Services\IPSEC\EnableOffload
    Wenn die Verbindung erfolgreich ist, hat das Problem mit der Offload-Fähigkeit zu tun. Eine andere Möglichkeit der Problembehandlung ist die Deaktivierung der automatischen IPSec-Richtlinie.Weitere Informationen zur Deaktivierung der automatischen IPSec-Richtlinie finden Sie in folgendem Artikel der Microsoft Knowledge Base:

    240262 Konfiguration: L2TP/IPSec-Verbindungen mit vorinstall. Schlüssel

  • Wenn der IPSec-Richtlinien-Agent über das Dienste-Snap-In oder den Befehl net stop policyagent angehalten wurde, ist die automatische L2TP-IPSec-Richtlinienkonfiguration verloren. Bei VPN-Clients wird die Richtlinie automatisch hinzugefügt, wenn die Clientverbindung gestartet wird. Stellen Sie sicher, dass der Dienst für den IPSec-Richtlinien-Agenten gestartet wurde und ausgeführt wird, bevor Sie die Clientverbindung starten. Wenn Sie auf Verbindung herstellen geklickt haben und der Verbindungsversuch läuft, können Sie den Befehl netdiag /test:ipsec /v /debug verwenden, um die IPSec-Statistik und die aktiven Filter anzuzeigen.

    Hinweis: Wenn Sie nicht über die Berechtigungen eines Domänenadministrators verfügen, können Sie die Befehlszeilenoption /debug nicht verwenden.Weitere Informationen zu den anderen möglichen Problemen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    247231 Ereigniskennung 20111, Fehlers 792 oder Fehlers 781, wenn 781 eine Verbindung von L2TP/IPSec herstellen

Weitere Informationen

Weitere Informationen zu VPN finden Sie auf folgender Website von Microsoft:

Weitere Informationen zur IPSec-Problembehandlung finden Sie in folgendem Artikel der Microsoft Knowledge Base:

257225 IPsec zu Problembehandlung in Microsoft Windows 2000 Server

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 259335 – Letzte Überarbeitung: 26.04.2005 – Revision: 1

Feedback