11 berichten aan het bekijken - 1 tot 11 (van in totaal 11)
  • Q:
    Geblokkeerd
    geanonimiseerde gebruiker

    VPN verbinding instellen op server lukt niet

    Ik heb geprobeerd VPN verbinding in te stellen op mijn OS X 10.7.4 Server maar kan geen verbinding maken. De foutmelding bij verbinding is “Identiteit niet geaccepteerd”. Hieronder een logbestand. Alle voor VPN benodigde poorten zijn opengezet voor UDP. 1701, 1723, 500 en 450 zijn dus toegankelijk vanaf de MacBook Pro met IP 123.456.789.0 (even aangepast voor weergave hier.

    Fri Aug 31 16:55:17 2012 : L2TP incoming call in progress from ‘123.456.789.0’…
    Fri Aug 31 16:55:17 2012 : L2TP received SCCRQ
    Fri Aug 31 16:55:17 2012 : L2TP sent SCCRP
    Fri Aug 31 16:55:17 2012 : L2TP received SCCCN
    Fri Aug 31 16:55:17 2012 : L2TP received ICRQ
    Fri Aug 31 16:55:17 2012 : L2TP sent ICRP
    Fri Aug 31 16:55:17 2012 : L2TP received ICCN
    Fri Aug 31 16:55:17 2012 : L2TP connection established.
    Fri Aug 31 16:55:17 2012 : using link 0
    Fri Aug 31 16:55:17 2012 : Using interface ppp0
    Fri Aug 31 16:55:17 2012 : Connect: ppp0 <–> socket[34:18]
    Fri Aug 31 16:55:17 2012 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x5fa10ceb> <pcomp> <accomp>]
    Fri Aug 31 16:55:17 2012 : rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x30ec44a0> <pcomp> <accomp>]
    Fri Aug 31 16:55:17 2012 : lcp_reqci: returning CONFACK.
    Fri Aug 31 16:55:17 2012 : sent [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x30ec44a0> <pcomp> <accomp>]
    Fri Aug 31 16:55:17 2012 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0x5fa10ceb> <pcomp> <accomp>]
    Fri Aug 31 16:55:17 2012 : sent [LCP EchoReq id=0x0 magic=0x5fa10ceb]
    Fri Aug 31 16:55:17 2012 : sent [CHAP Challenge id=0xd <18180f2322544e2f6654014c68356335>, name = “langlid.mijnserverhostname.nl”]
    Fri Aug 31 16:55:17 2012 : rcvd [LCP EchoReq id=0x0 magic=0x30ec44a0]
    Fri Aug 31 16:55:17 2012 : sent [LCP EchoRep id=0x0 magic=0x5fa10ceb]
    Fri Aug 31 16:55:17 2012 : rcvd [LCP EchoRep id=0x0 magic=0x30ec44a0]
    Fri Aug 31 16:55:17 2012 : rcvd [CHAP Response id=0xd <69f1f5da104a9d5576c5ddb22ba4f02100000000000000003af3226cf01dccfbbe3c32027dc75d3d97ca9a3712cf3f1b00>, name = “LangLid”]
    Fri Aug 31 16:55:17 2012 : No CHAP secret found for authenticating LangLid
    Fri Aug 31 16:55:17 2012 : sent [CHAP Failure id=0xd “”]
    Fri Aug 31 16:55:17 2012 : CHAP peer authentication failed for LangLid
    Fri Aug 31 16:55:17 2012 : sent [LCP TermReq id=0x2 “Authentication failed”]
    Fri Aug 31 16:55:17 2012 : Connection terminated.
    Fri Aug 31 16:55:17 2012 : L2TP disconnecting…
    Fri Aug 31 16:55:17 2012 : L2TP sent CDN
    Fri Aug 31 16:55:17 2012 : L2TP sent StopCCN
    Fri Aug 31 16:55:17 2012 : L2TP disconnected
    2012-08-31 16:55:17 CEST –> Client with address = 192.168.1.200 has hungup

    Kan iemand hier iets zinnigs over zeggen en eventueel een oplossing aanreiken alsjeblieft?

    Bijdrager
    Godfather

    IP adressen kloppen wel? Zowel in de firewall op je router als in de server poorten open gezet? Eventueel de ingebouwde VPN ondersteuning van je router ook uit gezet?

    Geblokkeerd
    geanonimiseerde gebruiker

    IP adressen zitten hoog in de range waarvan vanaf 192.168.1.2 en verder de apparaten een IP adres krijgen. De router is van Ziggo Zakelijk en alle poorten staan er op open. In de router is geen VPN ondersteuning ingebouwd.

    Ik vermoed dat onderstaande regel een hint is.

    Fri Aug 31 16:55:17 2012 : No CHAP secret found for authenticating LangLid

    Maar als dat het is, hoe los ik het dan op?

    Bijdrager
    madcat

    ik heb zelf de vpn server via deze manual aan de praat gekregen:

    http://stormrook.com/2010/05/31/setting-up-a-vpn-server-on-osx/

    waarschijnlijk zit de fout bij de gebruiker die je gebruikt, deze is niet juist geconfigureerd.

    Step 3: Ensure hash list based checking is enabled for the remote user account

    Check the current state of the authentication system for the remote user account:

    $ dscl . read /users/USERNAME AuthenticationAuthority

    With the username you will be using for remote clients to log in (this can be your normal login or one setup just for this purpose). If it reports that the user account is using ShadowHash then use the following command to change the authorisation methods:

    $ dscl . -change /users/[username] AuthenticationAuthority “;ShadowHash;” \
    “;ShadowHash;HASHLIST:<SALTED-SHA1,SMB-NT,SMB-LAN-MANAGER>”

    The quotes are important. Once complete reset your password by running:

    $ passwd USERNAME

    To change the password for the remote account your using (You can set it back to the same thing as it currently is, but I the reset is needed to generate the hash code used by the CHAP authentication).

    Geblokkeerd
    geanonimiseerde gebruiker

    Dank je wel, ik heb net deze aanwijzingen inderdaad een verbinding met de VPN server gekregen. Ik heb er nog geen internetverbinding mee, dat nog niet. Als ik een website wil bezoeken dan krijg ik een time out in de browser. We zijn er bijna denk ik.

    Bijdrager
    Godfather

    Lang Lid, ik heb bovengenoemde handelingen nooit nodig gehad op mijn server en los van het feit dat dit een post uit 2010 betreft over Snow Leopard terwijl jij met 10.7.4 werkt; is het ook nog eens een ‘truc’ om een non-Server ‘box’ VPN verbindingen te laten accepteren. Echter, aangezien je zelf op 10.7.4 draait met de Server uitbreiding zoals te lezen in je openingspost, is deze ‘truc’ niet nodig en misschien zelfs wel conflicterend.

    Helaas, ik heb de echte oplossing ook niet zo gauw maar je heil zoeken in dit commando lijkt mij niet verstandig, ook al lijkt het alsof je progressie boekt. Want waar madcat het over heeft, over dat je gebruiker niet juist geconfigureerd is, dat lijkt mij juist iets dat de Server.app wel regelt. Nogmaals, ik kan het mis hebben, maar pas wel op hiermee.

    Bijdrager
    madcat

    @lang lid

    Waarschijnlijk heb je de dns server niet ingesteld.
    Dit kan je doen door bij OfferedServerAddresses een de dns van je ISP in te vullen.

    @Godfather

    Onder de motorkap is de server en gewone versie exact hetzelfde.
    Echter bij de server versie is een fancy GUI meegeleverd waarbij je deze handelingen waarschijnlijk makkelijker kan doen. Echter zullen die exact hetzelfde doen namelijk backwards compatible worden met CHAP v2

    Geblokkeerd
    geanonimiseerde gebruiker

    Ik heb de pri en sec DNS server toegevoegd aan de VPN instellingen op de server. Helaas werkt dat niet, wel VPN verbinding, geen traffic. Ik denk dat het tijd wordt voor een expert erbij halen, het zal namelijk wel moeten gaan werken.

    Aanpassing is ook niet helemaal gelukt denk ik:

    Fri Aug 31 22:07:42 2012 : DSAuth plugin: unsupported authen authority: recved ShadowHash;HASHLIST:<SALTED-SHA512,SMB-NT,CRAM-MD5,RECOVERABLE>, want ApplePasswordServer

    Bijdrager
    madcat

    Als je precies doet wat er in die handleiding staat dan zou je het werkend moeten krijgen.
    Ik ben het met je eens dat je wel wat technischer moet zijn om het aan de praat te krijgen.
    Probeer anders de manual van osx 1.7 server.

    Als alles goed werkt zou de log er zo uit moeten zien
    2012-08-31 18:15:51 CEST Loading plugin /System/Library/Extensions/L2TP.ppp
    2012-08-31 18:15:51 CEST Listening for connections…
    2012-08-31 18:31:30 CEST Incoming call… Address given to client = IPVaniPhoneOpVPN
    Fri Aug 31 18:31:30 2012 : Directory Services Authentication plugin initialized
    Fri Aug 31 18:31:30 2012 : ACSP plugin: while reading prefs – route address, mask, and type counts not equal
    Fri Aug 31 18:31:30 2012 : L2TP incoming call in progress from ‘Mijn publieke IP’…
    Fri Aug 31 18:31:30 2012 : L2TP connection established.
    Fri Aug 31 18:31:30 2012 : Using interface ppp0
    Fri Aug 31 18:31:30 2012 : Connect: ppp0 <–> socket[34:18]
    Fri Aug 31 18:31:30 2012 : CHAP peer authentication succeeded for VPNUser
    Fri Aug 31 18:31:30 2012 : found interface en0 for proxy arp
    Fri Aug 31 18:31:30 2012 : local IP address MijnLokaleIpVanServer
    Fri Aug 31 18:31:30 2012 : remote IP address IPVaniPhoneOpVPN
    Fri Aug 31 18:31:30 2012 : l2tp_wait_input: Address added. previous interface setting (name: en0, address: MijnLokaleIpVanServer), current interface setting (name: ppp0, family: PPP, address: MijnLokaleIpVanServer, subnet: 255.0.0.0, destination: IPVaniPhoneOpVPN).
    Fri Aug 31 18:33:39 2012 : LCP terminated by peer (User request)
    Fri Aug 31 18:33:39 2012 : l2tp_wait_input: Address deleted. previous interface setting (name: en0, address: MijnLokaleIpVanServer), deleted interface setting (name: ppp0, family: PPP, address: MijnLokaleIpVanServer, subnet: 255.0.0.0, destination: IPVaniPhoneOpVPN).
    Fri Aug 31 18:33:39 2012 : Connection terminated.
    Fri Aug 31 18:33:39 2012 : Connect time 2.2 minutes.
    Fri Aug 31 18:33:39 2012 : Sent 26830 bytes, received 11091 bytes.
    Fri Aug 31 18:33:39 2012 : L2TP disconnecting…

    Als je behoefte hebt aan mijn com.apple.RemoteAccessServers.plist dan kan ik die wel even sturen via een berichtje

    Bijdrager
    Godfather

    Madcat, ik ben me bewust dat de Server.app vooral makkelijker is omdat er een GUI is. Ik ben me ook bewust dat het onder de motorkap allemaal hetzelfde is, Server of geen Server. Maar de Server.app zorgt ervoor dat je niet meer onder de motorkap hoeft, maar in je dashboard een ‘switch’ hebt zitten om VPN aan- of uit te zetten. Mijn grootste bezwaar is niet zo zeer de terminal commando’s an sich maar vooral hoe deze samen werken of juist niet icm. Server.app. Misschien botsen ze juist wel. Juist daarom verwacht ik dat deze terminal commando’s niet nodig zijn om VPN werkend te krijgen als je beschikt over de Server.app.

    Daarnaast nog 2 belangrijke dingen waarom ik dat denk:
    A) bij mij werkt VPN wel gewoon op 10.7 server, zonder die poespas en;
    B) waarom zou Apple het überhaupt zo lastig maken dit werkend te krijgen?

    Zoals ik het zie is de shared secret het probleem, welke ook in stap 2 behandeld wordt in je eerder gegeven link, maar wat ik ‘gevaarlijk’ vind is dat je conform die link dingen overschrijft, in je keychain in dit geval, terwijl de Server.app andere dingen verwacht tegen te komen. Dat kan natuurlijk onherroepelijk botsen.

    Geblokkeerd
    geanonimiseerde gebruiker

    Ik heb al verbinding, het shared secret is dus denk ik niet het probleem. DNS staat correct ingesteld en er wordt data uitgestuurd, er komt alleen niets terug.

    Met de VPN verbinding aan kan ik wel VNC verbinding met de server maken of websites bezoeken die op het IP adres van de server worden gehost. Ik kan alleen de rest van internet niet bezoeken.

11 berichten aan het bekijken - 1 tot 11 (van in totaal 11)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.