[Çözüldü] l2tp - VPN Error 768 - The connection attempt failed because of failure to encrypt data

Hakan bey, Serverimizde Active directory, Active Directory Lightweight Directory Services, Dns, Dhcp, Sertificate Services, IIS, Exchange 2010, RAS, servisleri kurulu durumda ve deneyebildiğim kadarıyla tüm servisler çalışıyor. Şu ana kadar karşılaştığım tek sorun uzaktan L2TP ile VPN bağlantı sağlayamıyorum. Verdiği hata;(preshared key ler karşılıklı belirlenmiştir)

789 : The l2tp connection attempt failed because the security layer encountered a processing
error during initial negotiations with the remote computer ...

VPN için RRAS kullanıyorsunuz değil mi ? IPSec ayarları için preshared key kullanmayı denediniz mi ? Bu sayede sorunun sertifikadan mı olduğunu çözebiliriz. Ayrıca Sertifikalar hakkında bilginiz var mı ? Yani Sunucu tarafında Server Authentication template inden oluşan bir sertifika kullanarak bunu yapamazsınız çünkü istemci makinenin buna güvenmesi lazım bu da en azından domainde olması demektir.

VPN için RAS servisini kullanıyorum. Ras serveri konfigüre ederken Custom dan LAN ROUTING olarak açtım. Properties ten Lan and demand-dial routing aktif ettim. port propertieste bulunan SSTP, PPTP, L2TP ve IKE  için Remote acces ve demand dial seçenekleri işaretli aktif. Preshared key de tanımlı. Certifika servisini incelemek öğrenmek için kurdum. Sizce sorun o servisle alakalı bir durummudur? Kontrol etmem gereken seçenekleri söyleyebilirmisiniz.  Öceki saymış olduğum servislerin aktif olduğu bir server da, PPT ile bağlanıp L2TP ile bağlanamadığınızda nereler kontrol edilmelidir? Teşekkürler..

CA ile ilgisi olmaz ki zaten L2TP  için sertifika değil pre shared key girmişsin. istemci tarafında da doğru anahtarı girdiğine emin misin ?

kesinlikle 123456 gibi basit bir key kullanıyorum

Peki aradaki network te bir sorun olabilir mi ?

ayrıca event' larda bir şey var mı ?

Eğer networkte yada modemde herhangibir problem olsaydı PPTP ile de bağlantı sağlayamazdık diye düşünüyorum...

Neden ? Farklı portları kullanıyor.

Port yönlendirmeleride tamam hakan bey. Onlardada bir sıkıntı yok... Kontrol etmem gereken yada modifiye etmem gereken poliçeler olabilirmi acaba?

Devrim bey kontrol etmeniz gereken pek çok konu olabilir, modem tarafında sorun yok ise RRAS tarafını kontrol etmeniz gerekiyor. RRAS içinde PPTP vpn yapabiliyorsunuz ancak L2TP yapamıyorsanız ya config hatanız var yada makinede başka bir sorun olmalı.

Eğer RRAS config doğru ise eminseniz istemci tarafında lütfen aşağıdaki iki servisin çalıştığını kontrol edermisiniz , ve sunucu tarafındaki durumlarınıda paylaşırsanız sevinirim

IKE and AuthIP IPsec Keying Modules
IPsec Policy Agent

sesli düşünmek gerekir ise ; eğer NAT tamam ise , sorun kullandığın sertifikadandır ama sen diyorsun ki sertifika kullanmıyorum pre-shared key kullanıyorum o zaman bu servisler kalıyor geriye.

Evet ennihayetinde L2TP ile sunucuma bağlandım... Nasıl demeyin. Aşşağıda yaptığım ve uyguladığım her adımı belirtiyorum nasıl olduğunu neden olduğunu lütfen biri bana anlatsın. Bu kadar basit bir şeyin bu kadar zor gerçekleşmesinin nedeni ne olabilir.???

1- Yabancı bir sitede aynı konu üzerine açılmış bir başlıkta;

"HKLM/SYSTEM/CurrentControlSet/Services/RasMan/Parameters" dizisinde "ProhibitIpSpec" isminde bir "dword key" oluşturulması ve değeinin "1" olması öneriliyordu. Aynen uyguladım. Bağlantı denememde "Error : 809" hatasıyla karşılaştım...

2- Başka bir kaynakta traversal ayarlarından kaynaklanan bir sorun olabileceği yazılmıştı. Bende sunucuda nerde olduğunu bulamadım ama modemin nat ayarlarında IKEIPSPEC(NAT-Traversal) Devredışı Bırak seçeneğini işaretliyerek devreden çıkardım...Bağlatı denemem "Error: 741" hatasıyla başarısız oldu...

3- Encryption method ayarlarıyla oynadım "Error: 812" hatasını verdi...

4- Nps te Aktif poliçemin Confditions bölümüne "Authentication Type" (tümünü tikleyerek) ekledim. "Error: 691" hatasını verdi....

5- Yine Nps te Aktif poliçemin Constrains bölümündeki "Authentication Methods" bölümünden "Eap Types"ten "Microsoft EAP (PEAP) seçeneğini kaldırdım . "Error: 919" hatasını verdi....

6- Son olarak bu yaptıklarımı başa aldım (Modemdeki ayar hariç). Sadece bağlantı yaptığım terminaldeki bağlantının "Security" ayarlarında " Data Encryption seçeneklerinde "No encryption allowed". seçtim. "Authentication" seçeneklerinde de Microsoft Protected  EAP (PEAP) seçtim. Onayladım. Bağlatı denemem "BAŞARI İLE SONUÇLANDI".

Tüm bunlardan sonra sorun nerdeydi tam olarak anlayamadım. Modemdeki nat traversal in neden olduğu bir sorun olarak değerlendirmekmi lazım. Yoksa gerekli Registry anahtarının olmamasından dolayımıdır. Bir fikri olan varmı acaba...?

Diğer bir soruda encryption typleri kullanmamı engelleyen şey ne olabilir.

Servisleri kontrol ettiniz mi ?

Çünkü sorunun çözümü istemci tarafında yaptığınız "No encryption allowed" ayarıdır ki siz zaten encryption hatası alıyordunuz. Bunun da sebebi aslında bu işi yapacak servislerin muhtemel çalışmaması. Bu ayarı eski haline getirip servisleri çalıştırıp tekrar bağlantıyı deneyebilirsiniz.

servisler çalışıyor hakan bey...