Teil 6 – Abschnitt B: Ich bin drin – aber wie?

Autor: Claus Greck [MVP], MCSEboard.de

Das ist kein Troubleshooting im engeren Sinne, die Verbindung zwischen VPN-Server und VPN Client steht, aber woher weiß man, dass der Tunnel mit L2TP und IPSec aufgebaut wurde, und nicht mit PPTP, was bei einer Standardinstallation wie die von mir gezeigte auch möglich wäre. Die Antwort lautet: erst einmal gar nicht. Man sieht an dem Verbindungssymbol mit Sprechblase im Systray zunächst nur, dass man überhaupt eine Verbindung hat.

Um näheres über den Tunneltyp zu erfahren kommt es darauf an, ob man das auf dem Client oder dem Server herausfinden möchte.

Tunneltyp auf dem VPN-Client feststellen:

Man klickt doppelt auf das kleine Computersymbol der Verbindung im Systray unten rechts auf dem Bildschirm, und anschließend Details.

So sollte das jetzt mit L2TP aussehen:

: Abb. 1

Eine PPTP Verbindung sieht dagegen so aus:

: Abb. 2

Tunneltyp auf dem VPN-Server feststellen:

Auf dem VPN-Server bedient man sich der Routing und RAS Konsole unter Start->Verwaltung.

: Abb. 3

In der Konsole geht man auf das Tool Ports, dort hat man je 128 Miniports für PPTP und L2TP, falls man mit dem Assistenten den Routing und RAS als VPN-Server eingerichtet hat. Jede VPN-Verbindung belegt einen dieser Ports, und wird als Aktiv gekennzeichnet. Wenn auf die Spaltenüberschrift der Spalte Status klickt, werden die Ports nach Status sortiert, z.B. die aktiven Ports nach oben. Dann kann man sehen, ob die Verbindung über PPTP oder L2TP aufgebaut wurde.

Hinweis: Falls auf dem VPN-Server auch PPTP zugelassen ist (Standardeinrichtung), dann handeln der Client und der Server aus, ob sie den VPN-Tunnel mit PPTP oder L2TP aufbauen. Es wird zuerst mit dem Standardprotokoll versucht, und das ist bei Windows XP PPTP ! (http://support.microsoft.com/default.aspx?scid=kb;en-us;822649)

Allerdings habe ich es auch schon erlebt, dass gleich L2TP ausgehandelt wird. Folglich: besser nachkontrollieren, welcher Tunneltyp gewählt wurde.

Insbesondere falls man doch Fehler in der Konfiguration von L2TP hat, z.B. ein fehlendes Stammzertifizierungsstellenzertifikat, würde man das in dem Falle nicht merken und dennoch eine Verbindung bekommen, da ja dann PPTP genommen wird. Kleiner Trost: Immerhin hat man einen verschlüsselten Tunnel.

Um die Verbindung auf L2TP zu zwingen, hat man zwei Möglichkeiten, und will man überhaupt kein PPTP zulassen sondern nur L2TP, dann sollte man beide Möglichkeiten ausschöpfen.

Tunneltyp auf dem VPN-Client erzwingen:

In den Eigenschaften der VPN-Verbindung kann man den Tunneltyp vom standardmäßigen Automatisch auf L2TP oder PPTP festlegen. Dazu die Eigenschaften öffnen, im Eigenschaftsfenster unter dem Reiter Netzwerk im Feld VPN-Typ den gewünschten Tunneltyp einstellen.

: Abb. 4

: Abb. 5

Tunneltyp auf dem VPN-Server erzwingen:

Beim VPN-Server ist das Vorgehen ein anderes. Wie schon angesprochen, hat man eine bestimmte Anzahl Mini-Ports für L2TP und für PPTP. Jeder Port kann von einer VPN-Verbindung belegt werden. Gibt es keine Mini-Ports für PPTP, dann gibt es folglich auch keine PPTP-Verbindung zu diesem VPN-Server.

: Abb. 6

In der Routing und RAS-Konsole Rechtsklick auf das Tool Ports, dann auf Eigenschaften.

Im Eigenschaftsfenster auf WAN-Miniport (PPTP) doppelklicken, und die Häkchen bei RAS-Verbindung (nur eingehend) und Bei Bedarf herzustellende Routingverbindungen (ein- und ausgehend) entfernen.

Nach dem bestätigen mit OK und schließen der Eigenschaftsfenster verschwinden im Detailfensterbereich auch sofort alle PPTP-Miniports. Und somit: keine Miniports für PPTP, dann auch keine zugelassene Verbindung mit PPTP.

: Abb. 7