- La connexion L2TP client/server FONCTIONNE SANS la nat.
- Le patch 818043 est appliqué sur le client WinXp.
- AVEC la NAT, l'échange IKE se déroule bien, mais la communication
reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels
il ne répond pas :
Qui peut m'aider car là je bloque ???
A partir du moment ou l'échange IKE se passe bien ... peut-on dire que
la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer
seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry Frache [MVP]
Bonjour,
comme indiqué dans l'article: http://support.microsoft.com/default.aspx?scid=kb;en-us;259335
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
-- Cdlt,
Thierry Frache - MVP Serveurs Windows "Samuel" a écrit dans le message de news:
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une Nat. Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels il ne répond pas :
Qui peut m'aider car là je bloque ??? A partir du moment ou l'échange IKE se passe bien ... peut-on dire que la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
A L'AIDE !!!!
Merci beaucoup. Samuel.
Bonjour,
comme indiqué dans l'article:
http://support.microsoft.com/default.aspx?scid=kb;en-us;259335
If the Virtual Private Network (VPN) client is behind any network device
performing Network Address Translation (NAT), the L2TP session fails because
encrypted IPSec Encapsulating Security Payload (ESP) packets become
corrupted.
--
Cdlt,
Thierry Frache - MVP Serveurs Windows
"Samuel" <SorryNoSpam@NoWhere.invalid> a écrit dans le message de
news:uefL48C4DHA.1672@TK2MSFTNGP12.phx.gbl...
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une
Nat.
Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat.
- Le patch 818043 est appliqué sur le client WinXp.
- AVEC la NAT, l'échange IKE se déroule bien, mais la communication
reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels
il ne répond pas :
Qui peut m'aider car là je bloque ???
A partir du moment ou l'échange IKE se passe bien ... peut-on dire que
la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer
seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
comme indiqué dans l'article: http://support.microsoft.com/default.aspx?scid=kb;en-us;259335
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
-- Cdlt,
Thierry Frache - MVP Serveurs Windows "Samuel" a écrit dans le message de news:
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une Nat. Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels il ne répond pas :
Qui peut m'aider car là je bloque ??? A partir du moment ou l'échange IKE se passe bien ... peut-on dire que la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
A L'AIDE !!!!
Merci beaucoup. Samuel.
Samuel
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043 permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie IPSEC devrait permttre de passer une Nat, non ?
Merci bien. Samuel.
If the Virtual Private Network (VPN) client is behind any network device
performing Network Address Translation (NAT), the L2TP session fails because
encrypted IPSec Encapsulating Security Payload (ESP) packets become
corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043
permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie
IPSEC devrait permttre de passer une Nat, non ?
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043 permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie IPSEC devrait permttre de passer une Nat, non ?
Merci bien. Samuel.
Thierry Frache [MVP]
Tout à fait. J'ai lu trop vite sans remarquer la référence à l'article. En effet, le mode tunnel devrait fonctionner. Avez-vous rencontré des erreurs dans l'observateur d'évènements qui donneraient peut-être des indices sur le dysfonctionnement ?
-- Cdlt,
Thierry Frache - MVP Serveurs Windows "Samuel" a écrit dans le message de news:
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because
encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043 permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie IPSEC devrait permttre de passer une Nat, non ?
Merci bien. Samuel.
Tout à fait. J'ai lu trop vite sans remarquer la référence à l'article. En
effet, le mode tunnel devrait fonctionner. Avez-vous rencontré des erreurs
dans l'observateur d'évènements qui donneraient peut-être des indices sur le
dysfonctionnement ?
--
Cdlt,
Thierry Frache - MVP Serveurs Windows
"Samuel" <SorryNoSpam@NoWhere.invalid> a écrit dans le message de
news:e806ICE4DHA.1724@TK2MSFTNGP09.phx.gbl...
If the Virtual Private Network (VPN) client is behind any network device
performing Network Address Translation (NAT), the L2TP session fails
because
encrypted IPSec Encapsulating Security Payload (ESP) packets become
corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043
permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie
IPSEC devrait permttre de passer une Nat, non ?
Tout à fait. J'ai lu trop vite sans remarquer la référence à l'article. En effet, le mode tunnel devrait fonctionner. Avez-vous rencontré des erreurs dans l'observateur d'évènements qui donneraient peut-être des indices sur le dysfonctionnement ?
-- Cdlt,
Thierry Frache - MVP Serveurs Windows "Samuel" a écrit dans le message de news:
If the Virtual Private Network (VPN) client is behind any network device performing Network Address Translation (NAT), the L2TP session fails because
encrypted IPSec Encapsulating Security Payload (ESP) packets become corrupted.
Bonjour et merci de répondre,
Je suis tout à fait d'accord, mais je croyais que le patch 818043 permettais justement à WinXP d'être compatible avec la Nat-T ???
De plus d'après le site Microsoft, le mode 'Tunnel' de la stratégie IPSEC devrait permttre de passer une Nat, non ?
Merci bien. Samuel.
Antoniy
Un serveur Win2000 ne peux pas fonctionner comme L2TP/IPSec serveur au travers d'une Nat meme si tu appliques 818043 sur le serveur. Ce n'est une mise a jour qu'a cote du client. Il te faut donc un serveur Win2003.
----- Samuel wrote: -----
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une Nat. Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels il ne répond pas :
Qui peut m'aider car là je bloque ??? A partir du moment ou l'échange IKE se passe bien ... peut-on dire que la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
A L'AIDE !!!!
Merci beaucoup. Samuel.
Un serveur Win2000 ne peux pas fonctionner comme L2TP/IPSec serveur au travers d'une Nat meme si tu appliques 818043 sur le serveur. Ce n'est une mise a jour qu'a cote du client. Il te faut donc un serveur Win2003.
----- Samuel wrote: -----
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une
Nat.
Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat.
- Le patch 818043 est appliqué sur le client WinXp.
- AVEC la NAT, l'échange IKE se déroule bien, mais la communication
reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels
il ne répond pas :
Qui peut m'aider car là je bloque ???
A partir du moment ou l'échange IKE se passe bien ... peut-on dire que
la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer
seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
Un serveur Win2000 ne peux pas fonctionner comme L2TP/IPSec serveur au travers d'une Nat meme si tu appliques 818043 sur le serveur. Ce n'est une mise a jour qu'a cote du client. Il te faut donc un serveur Win2003.
----- Samuel wrote: -----
Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une Nat. Déjà la config de test :
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels il ne répond pas :
Qui peut m'aider car là je bloque ??? A partir du moment ou l'échange IKE se passe bien ... peut-on dire que la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
A L'AIDE !!!!
Merci beaucoup. Samuel.
Samuel
Merci pour vos réponses,
Il est vrai que l'article parle de Win2003 et non Win2000.
Donc si comprends bien, le prob vient de AH qui utilise l'adresse IP source pour authentifier le client ET de ESP qui utilise lui aussi l'adresse IP source pour une partie du cryptage des données ???
Il n'y a donc que pptp pour un portable souhaitant se connecter à un reseau d'entreprise en VPN ???
Merci bien. Samuel.
Merci pour vos réponses,
Il est vrai que l'article parle de Win2003 et non Win2000.
Donc si comprends bien, le prob vient de AH qui utilise l'adresse IP
source pour authentifier le client ET de ESP qui utilise lui aussi
l'adresse IP source pour une partie du cryptage des données ???
Il n'y a donc que pptp pour un portable souhaitant se connecter à un
reseau d'entreprise en VPN ???
Il est vrai que l'article parle de Win2003 et non Win2000.
Donc si comprends bien, le prob vient de AH qui utilise l'adresse IP source pour authentifier le client ET de ESP qui utilise lui aussi l'adresse IP source pour une partie du cryptage des données ???
Il n'y a donc que pptp pour un portable souhaitant se connecter à un reseau d'entreprise en VPN ???
Merci bien. Samuel.
jlc
bonjour,
est ce que votre port UDP est ouvert?
-----Message d'origine----- Bonjour,
Je bloque depuis plusieurs jours sur une connexion L2TP au travers d'une
Nat. Déjà la config de test :
client WinXP Sp1 ---> Passerelle Linux ---> serveur Win2000 Sp4
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication
reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels
- La connexion L2TP client/server FONCTIONNE SANS la nat.
- Le patch 818043 est appliqué sur le client WinXp.
- AVEC la NAT, l'échange IKE se déroule bien, mais la
communication
reste bloqué sur des envois de paquets ESP reçus par le
serveur auxquels
- La connexion L2TP client/server FONCTIONNE SANS la nat. - Le patch 818043 est appliqué sur le client WinXp. - AVEC la NAT, l'échange IKE se déroule bien, mais la communication
reste bloqué sur des envois de paquets ESP reçus par le serveur auxquels
Qui peut m'aider car là je bloque ??? A partir du moment ou l'échange IKE se passe bien ... peut-on dire que
la Nat n'est pas le problème, ou alors la Nat peut-elle bloquer
seulement pour les paquets ESP ?
J'ai assayé aussi en mode tunnel, exactement le même problème.
A L'AIDE !!!!
Merci beaucoup. Samuel.
.
Samuel
Re,
Même en lisant tous les posts sur google relatifs à l2tp et Nat, je n'arrive pas à avoir une réponse claire à ma question (même si j'admets ne pas maitriser à fond toutes les nuances l2tp/ipsec/tunnel/nat) :
Quelle utilisation permet de faire passer l2tp par dessus de la Nat ?
Je demande cela pour deux raisons :
J'avais fait pas mal d'essais de connections distantes (win2000 Pro --> Win2000 serveur)... et j'étais persuadé d'avoir réussi à connecter deux réseaux distants Natés avec L2TP (je me serait menti ;-) ???).
De plus je pensais justement que L2TP était là pour résoudre les problème de Nat liés à l'ipsec 'pur'. En plus sur un Win2000 serveur, au niveau des stratégies IP, on peut désactiver AH MAIS on peut aussi au niveau de ESP désactiver la vérification de l'intégrité (chose qui n'est plus permise sur WinXp).
Voilà, Si quelqu'un pouvait donc confirmer ou infirmer si l2tp et compatible ou pas avec la Nat (sans passer par le mode tunnel d'IPSEC qui oblige à avoir une ip fixe côté client).
Merci beaucoup. Samuel.
Re,
Même en lisant tous les posts sur google relatifs à l2tp et Nat, je
n'arrive pas à avoir une réponse claire à ma question (même si j'admets
ne pas maitriser à fond toutes les nuances l2tp/ipsec/tunnel/nat) :
Quelle utilisation permet de faire passer l2tp par dessus de la Nat ?
Je demande cela pour deux raisons :
J'avais fait pas mal d'essais de connections distantes (win2000 Pro -->
Win2000 serveur)... et j'étais persuadé d'avoir réussi à connecter deux
réseaux distants Natés avec L2TP (je me serait menti ;-) ???).
De plus je pensais justement que L2TP était là pour résoudre les
problème de Nat liés à l'ipsec 'pur'.
En plus sur un Win2000 serveur, au niveau des stratégies IP, on peut
désactiver AH MAIS on peut aussi au niveau de ESP désactiver la
vérification de l'intégrité (chose qui n'est plus permise sur WinXp).
Voilà,
Si quelqu'un pouvait donc confirmer ou infirmer si l2tp et compatible ou
pas avec la Nat (sans passer par le mode tunnel d'IPSEC qui oblige à
avoir une ip fixe côté client).
Même en lisant tous les posts sur google relatifs à l2tp et Nat, je n'arrive pas à avoir une réponse claire à ma question (même si j'admets ne pas maitriser à fond toutes les nuances l2tp/ipsec/tunnel/nat) :
Quelle utilisation permet de faire passer l2tp par dessus de la Nat ?
Je demande cela pour deux raisons :
J'avais fait pas mal d'essais de connections distantes (win2000 Pro --> Win2000 serveur)... et j'étais persuadé d'avoir réussi à connecter deux réseaux distants Natés avec L2TP (je me serait menti ;-) ???).
De plus je pensais justement que L2TP était là pour résoudre les problème de Nat liés à l'ipsec 'pur'. En plus sur un Win2000 serveur, au niveau des stratégies IP, on peut désactiver AH MAIS on peut aussi au niveau de ESP désactiver la vérification de l'intégrité (chose qui n'est plus permise sur WinXp).
Voilà, Si quelqu'un pouvait donc confirmer ou infirmer si l2tp et compatible ou pas avec la Nat (sans passer par le mode tunnel d'IPSEC qui oblige à avoir une ip fixe côté client).
Merci beaucoup. Samuel.
Samuel
Re,
Comme on a reçu depuis plusieurs semaine Win2003 ... je crois que je vais directement tester la version Nat-T avec WinXp -> Win2003 ... au moins j'aurais que le port udp 4500 (je crois) à ouvrir et ça sera plus simple (j'espère).
Merci pour vos réponses. Samuel.
Re,
Comme on a reçu depuis plusieurs semaine Win2003 ... je crois que je
vais directement tester la version Nat-T avec WinXp -> Win2003 ... au
moins j'aurais que le port udp 4500 (je crois) à ouvrir et ça sera plus
simple (j'espère).
Comme on a reçu depuis plusieurs semaine Win2003 ... je crois que je vais directement tester la version Nat-T avec WinXp -> Win2003 ... au moins j'aurais que le port udp 4500 (je crois) à ouvrir et ça sera plus simple (j'espère).