Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

win2k vpn works but Ports 137/138 blocked

Ulrich_H
I tried to find a solution by reading the Forum and  found similar Problems but no solution .
i m sure about doing a misconfiguration , but i don t know where .
The documentation of Astaroknowledgebase is amazing and i was able to do a vpn connection with L2TP PSK with a dial-in win2k client on a 5,204 ASL without any problems except :
.
I m able to ping any machine inside the remote NW - I m also able to open the website on the remote win2003 Server. i m also able to log in the webadmin on the ASL by using the internal ASL - Adress on the remote network, 
BUT i m not able to access the shared folders or computerlist by using  "search for computers"  .

my configuration for the vpn :

VPN   IPSEC-Pool -> All / All   MASQ__Internal

IPSEC-Pool 10.224.47.0/24 Any 0.0.0.0/0 Any 

MS Windows L2TP over IPSec   external  Any

 IPSEC-Pool =10.224.47.0

NAT-Traversal:  enabled

and i get this from the filter-log :
 (none) kernel: DROP: IN=ppp1 OUT= MAC= SRC=10.224.47.2 DST=255.255.255.255 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=2954 PROTO=UDP SPT=137 DPT=137 LEN=76

(none) kernel: DROP: IN=ppp1 OUT= MAC= SRC=10.224.47.2 DST=255.255.255.255 LEN=209 TOS=0x00 PREC=0x00 TTL=128 ID=2956 PROTO=UDP SPT=138 DPT=138 LEN=189  

kernel: DROP: IN= OUT=ppp1 SRC=10.224.47.1 DST=10.224.47.2 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=48044 PROTO=ICMP TYPE=11 CODE=0 [SRC=10.224.47.2 DST=212.18.3.5 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=5886 DF PROTO=ICMP TYPE=8 CODE=0 ID=4864 SEQ=768 ]      : (DNS)

2005:07:20-01:22:47 (none) kernel: DROP: IN= OUT=ppp1 SRC=10.224.47.1 DST=10.224.47.2 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=48045 PROTO=ICMP TYPE=11 CODE=0 [SRC=10.224.47.2 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=5890 DF PROTO=ICMP TYPE=8 CODE=0 ID=4864 SEQ=1024 ]    [:(]ntern)

I m stuck with this problems for a few days now , and i m not able to find a solution on my own - any ideas , where i may did the mistake ? - and yes : i ve read the roadwarrior L2TP How-to [:)] .

another thing that seem to come up : The tunnel sometimes just breaks and i lose all connections - but i think that s a problem in the Windowsclient  (what else ? [;)] )

Thx for your time 

Regards


This thread was automatically locked due to age.
Parents
  • 0
    Browsing the network does not work, because it requires broadcast forwarding (notice DST=255.255.255.255). However, you should be able to access the machines directly, either by IP address or (if properly configured) by name service.

    Stephan
  • 0 in reply to Stephan_Scholz
    Thank you for your answer -  but i m afraid i need some more information how to do that  - i think i ll have to configure a DNAT , but i m not sure how it ll be done correctly on ASL  -  i tried to use the knowledge-db of astaro , but that seem to be down sometimes.

    thanks again
  • 0 in reply to Ulrich_H
    Hi,

    first change your masq rule with a specific target subnet, not all all.
    Than as Stephan allready said, broadcasts will not be routed. So they wont go through the tunnel. For that job you need to activate the wins server on your 2003er box, and tell the client to use it. 

    2005:07:20-01:22:47 (none) kernel: DROP: IN= OUT=ppp1 SRC=10.224.47.1 DST=10.224.47.2 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=48045 PROTO=ICMP TYPE=11 CODE=0 [SRC=10.224.47.2 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=5890 DF PROTO=ICMP TYPE=8 CODE=0 ID=4864 SEQ=1024 ] DNS intern)

    Ahm, ppp1 would be you dsl line right? Now that drop would be ok. 

    Chris
Reply
  • 0 in reply to Ulrich_H
    Hi,

    first change your masq rule with a specific target subnet, not all all.
    Than as Stephan allready said, broadcasts will not be routed. So they wont go through the tunnel. For that job you need to activate the wins server on your 2003er box, and tell the client to use it. 

    2005:07:20-01:22:47 (none) kernel: DROP: IN= OUT=ppp1 SRC=10.224.47.1 DST=10.224.47.2 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=48045 PROTO=ICMP TYPE=11 CODE=0 [SRC=10.224.47.2 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=1 ID=5890 DF PROTO=ICMP TYPE=8 CODE=0 ID=4864 SEQ=1024 ] DNS intern)

    Ahm, ppp1 would be you dsl line right? Now that drop would be ok. 

    Chris
Children
  • 0 in reply to NimmdirKeks
    Thank you all for your help - i really appreciate it , but it looks like i m too dumb too realise that - yes : the Wins - server should be the right way and i tried it by telling the user to use it - also i made a new route  and tried several destinations - without success .
    I tried to do a bridge-tunnel with OpenVpn - that worked great , but it s not the solution i prefer .

    Does anybody have a workaround with the necessary variables about such a configuration ?

    ( oh yes - i also tried a net to net and was able to realise a connection with a patched XP SP2 machine , but of course the same problem ...).

    sorry bout wasting your time
  • 0 in reply to Ulrich_H
    Thank you all for the help, i found the problem in my misconfiguration of the ipsec - connection - options . I really simply had the auto-filtering option marked as "on"  - turned it "off" and it worked .
    So i hope this one helps dumbheads like me out who did the same mistake ^^

    regards
Cookie Information Banner