L2TP & Zertifizierung

Hallo,

ich möchte gerne einen VPN Zugang mit L2TP und IPSEC einrichten. Ich habe mir auch schon die Zertifizierungsstelle installiert auf dem Win2003 Server und ich habe versucht mir ein Zertifikat austellen zu lassen über den Internet Explorer mit http://servername/certsrv

Ich bekomme jedoch immer die Meldung: Objekt 'CertificateAuthority.Request' konnte nicht erstellt werden.

Was kann ich hier machen ???

Probiere mal anstatt das VPN und IPSEC openvpn zu verwenden.

Google suche openvpn ist ein wiklich geniales VPN tool und viel schneller

ups sorry falsche baustelle,

regards

sfoc

ich möchte gerne einen VPN Zugang mit L2TP und IPSEC einrichten. Ich habe mir auch schon die Zertifizierungsstelle installiert auf dem Win2003 Server und ich habe versucht mir ein Zertifikat austellen zu lassen über den Internet Explorer mit http://servername/certsrv

 

Ich bekomme jedoch immer die Meldung: Objekt 'CertificateAuthority.Request' konnte nicht erstellt werden.

 

Was kann ich hier machen ???

Du musst vor allem einige Papers zu den Zertifikatsdiensten unter Windows 2003 lesen, da hat sich nämlich mächtig viel gegenüber 2000 geändert.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_whatsnew.asp

grizzly999

Hallo

ich bin gerade auf dein Beitrag gestossen, weil ich das selbe Problem habe (genau die selbe Meldung). Ich arbeiter jedoch mit einem Windows 2000 Server. Das Problem liegt also nicht allein am Windows 2003.

Falls jemand eine Erklärung für dieses Problem hat, interessierte mich das ebenfalls.

Gruess

Marco

Hallo

Ich habe genau das gleich Problem und nun eine Lösung gefunden:

- Oeffne den Internetinformationsdienste-Manager

- Oeffne die Eigenschaften auf dem ordner indem certsrv installiert ist

- Gehe zum Reiter "virtuelles Verzeichnis" und unter Anwendungseinstellungen drückst du den Button Konfiguration

- Im Reiter "Optionen" den Sitzungsstand aktivieren

Bei mir hats dann gefunzt.

Gruss

Hallo tjaggi

Wollte nur noch schnell danke sagen...

Mein Zertifikatsserver läuft jetzt einwandfrei!!

hatte das selbe Problem...

und damit wars gelöst...

vielen lieben dank

Triple xXx

HELLO FOLKS AND FRIENDS,

erstmal grundlegendes. auf welcher netzwerkbasis, sprich netzwerkdesign (dmz mit 2 firewalls oder nur einen router etc.) funktioniert bei euch l2tp mit ipsec?

das würde mich echt mal interessieren.

aufgrund eines projektes einer grösseren firma hab ich den vpn server bis aufs äusserte getestet. hierzu kann ich nur eins sagen: ipsec kann nicht geroutet werden!!!

nehmen wir mal an wir haben eine back to back firewallkonfiguration mit einem hardware router und einem isa-server. auf dem isa gibts den vpn-server der nur ankommende pakete als l2tp verarbeitet. jetzt kommt der client als erstes zum router und dies natürlich auch mit l2tp, sonst wärs ja kein echtes ipsec. da ja jetzt das paket verschlüsselt ist, kann der router es nicht aufmachen und den ip-header änder. hier schon die nächste frage:

welcher kostengünstige!!! router kann das. ich weiss das es mit cisco oder ähnlichem kein problem ist. blos diese routerfamilie ist im harten konkurrenzkampf nicht einsetzbar.

so jetzt bleiben dann alle pakete am router hängen. also fakt ist: es funktioniert nicht!

fahre ich eine back to back firewall mit zwei isa-server ist das ganze kein problem. so hab ich dann aber wieder das dsl-kabel direkt am ersten isa hängen. dies ist im produktiven umfeld nicht einsetzbar.

wer kann hier seine erfahrunge schildern.

grüsse

mullfreak

Original geschrieben von mullfreak

aufgrund eines projektes einer grösseren firma hab ich den vpn server bis aufs äusserte getestet. hierzu kann ich nur eins sagen: ipsec kann nicht geroutet werden!!!

du meinst sicher: IPSec kann icht ge-NAT-ten werden...geroutet werden kann es schon ;)

Original geschrieben von mullfreak

nehmen wir mal an wir haben eine back to back firewallkonfiguration mit einem hardware router und einem isa-server. auf dem isa gibts den vpn-server der nur ankommende pakete als l2tp verarbeitet. jetzt kommt der client als erstes zum router und dies natürlich auch mit l2tp, sonst wärs ja kein echtes ipsec. da ja jetzt das paket verschlüsselt ist, kann der router es nicht aufmachen und den ip-header änder. hier schon die nächste frage:

welcher kostengünstige!!! router kann das. ich weiss das es mit cisco oder ähnlichem kein problem ist. blos diese routerfamilie ist im harten konkurrenzkampf nicht einsetzbar.

so jetzt bleiben dann alle pakete am router hängen. also fakt ist: es funktioniert nicht!

eine lösung des problems ist NAT-T (NAT-Traversal), dass kann IPSec pakete durch geNATtete netze routen. diese lösung gibt es auch für die windows server/XP familie. siehe dazu:

http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ipsec_what.asp

http://support.microsoft.com/default.aspx?scid=kb;en-us;818043

http://www.tacteam.net/isaserverorg/vpnkitbeta2/nat-t-packetfilters.htm

und natürlich das obligatorische RFC:

http://www.faqs.org/rfcs/rfc3715.html

Original geschrieben von mullfreak

so hab ich dann aber wieder das dsl-kabel direkt am ersten isa hängen. dies ist im produktiven umfeld nicht einsetzbar.

wieso nicht?

gruß

dejan

Hi dejan,

danke für Deine ausführliche Beschreibung. Aber NAT-T (Traversal) ist dafür gedacht für einen Client der hinter einem Router sitzt eine Verbindung per VPN (L2TP) zum Server zu schaffen. Nicht wenn ein Router vorm ISA sitzt.

Ich weiss nicht ob es so sinnvoll ist in einer Windows Maschine direkt das DSL-Kabel drinzuhaben. Der wird nicht lange leben denke ich. Ich würds auf alle Fälle nie machen.

Trotzdem merci für die Tips.

Grüsse

Mullfreak

Original geschrieben von mullfreak

Hi dejan,

 

danke für Deine ausführliche Beschreibung. Aber NAT-T (Traversal) ist dafür gedacht für einen Client der hinter einem Router sitzt eine Verbindung per VPN (L2TP) zum Server zu schaffen. Nicht wenn ein Router vorm ISA sitzt.

hi mullfreak,

wieso nur für diese konstellation, wo liegt den der unterschied , wenn ich zwischen punkt A und punkt B eine NAT habe, ob es (NAT) zwischen client und einem server, oder zwischen zwei server liegt. das ist dem IPSec paket in diesem fall nicht geläufig, welche art von verbindung gerade läuft.

L2TP über IPSec ist nur ein paradebeispiel. ansonsten gilt das für jede IPSec-verbindung.

Original geschrieben von mullfreak

Ich weiss nicht ob es so sinnvoll ist in einer Windows Maschine direkt das DSL-Kabel drinzuhaben. Der wird nicht lange leben denke ich. Ich würds auf alle Fälle nie machen.

du sagtest was von ISA an DSL, nicht eine "windows maschine". du hast kein vertrauen zur leistungsfähigkeit der ISA, wenn sie direkt im Internet steht?

Original geschrieben von mullfreak

jetzt kommt der client als erstes zum router und dies natürlich auch mit l2tp, sonst wärs ja kein echtes ipsec

bin nochmal deine mails durchgegangen, und die schreibst (siehe zitat). das ist so nicht korrekt.

L2TP ist eine erweiterung von PPP und hat nichts mit IPSec zu tun. die eigentliche erweiterung besteht darin, dass es in der lage ist "virtuelle connection" zwischen einem client und einem server (PPP protokoll!) aufzubauen, welche nicht mit dem gleichen medium verbunden sind (also z.B. client-ISDN-server, der klassiker, einwahl beim ISP, einwahl ins firmennetz). L2TP wurde entwickelt, um die einwahlfunktion für remotedialins zu ermöglichen.

d.h. du wählst deinen ISP an, dann machst du PPP zum modem/ISDN des providers. dann wählst du über VPN (irreführenden name) deinen RRAS an, der im inet steht, das wird mit L2TP ausgeführt, die im PPP gekapselt werden bis zum modem/ISDN-pop.

nachdem L2TP keine verschlüsselung kennt, wird IPSec dazu verwendet, und hier kommt der punkt, an dem die router scheitern.

während L2TP NAT verträglich ist, kapselt IPSec das L2TP paket (nicht umgekehrt), und wird dann (je nach konfiguration) NAT unkonform.

du kannst IPSec über NAT schon jetzt verwenden, wenn du bestimmte konfigurationsschritte ausführst

- nicht AH benutzen

- ESP nur verschlüsselung, keine authentisierung und integritätsprüfung der pakete.

dann wird beim verändern des IP-headers keine IPSec intrusion begangen und NAT funktioniert.

d.h. auch. wenn du L2TP über IPSec machst, darfst du nicht L2TP ports/protokolle auf deinem router aufmachen, sondern musst die IPSec protokolle und ports öffnen. wenn du weiterhin ohne NAT arbeitest, dann funktioniert IPSec wunderbar (auch mit L2TP ;) )

gruß

dejan

Hi dejan,

jetzt bin ich strikt nach Tutorial vom Dr. Shinder vorgegangen. Zumindest funktionierts jetzt schon mal intern. Immerhin. Jetzt werd ich es mal extern versuchen. Also dann, ab nach Hause Mullfreak.

Auf ein Problem bezüglich ISA mit Wählverbindung bin ich noch gestossen:

Ich hatte vor einiger Zeit eine Testumgebung mit einem ISA der eine Wählverbindung mit T-DSL hatte. Wenn ich nun am ISA Regeln konfiguriere oder Veröffentlichungen dann bin ich gezwungen eine externe IP anzugeben. Diese würde aber dann jedesmal meine öffentliche IP sein und nicht der Netzwerkkarte auf der das DSL dran ist. Aber wie soll man man das mit einer IP realisieren die sich alle 24h ändert.

Grüsse

Mullfreak

Original geschrieben von mullfreak

Auf ein Problem bezüglich ISA mit Wählverbindung bin ich noch gestossen:

 

Ich hatte vor einiger Zeit eine Testumgebung mit einem ISA der eine Wählverbindung mit T-DSL hatte. Wenn ich nun am ISA Regeln konfiguriere oder Veröffentlichungen dann bin ich gezwungen eine externe IP anzugeben. Diese würde aber dann jedesmal meine öffentliche IP sein und nicht der Netzwerkkarte auf der das DSL dran ist. Aber wie soll man man das mit einer IP realisieren die sich alle 24h ändert.

der Shinder-klassiker....

hi,

mit etwas hilfsmittel: z.B. mit hilfe des dyndns-clients directupdate http://www.directupdate.net/index.html und ein paar VBS-scripte, die durch diesen client aufgerufen werden, und die laufende IP (dynIP) über objectaccess in die konfiguration der ISA schreibt (geht, haben wir schon beim kunden realisiert).

dann die dienste der ISA restarten (10 secs) und das wars...

(gleich vorneweg: wenn das einem kunden zu umständlich ist, dann soll er sich eine feste IP holen :D, der geizhals )

gruß

dejan

Hi,

war jetzt schnell zu Hause und habs mal ausprobiert. Bis jetzt gehts noch nicht da ich die Fehlermeldung bekomm das das Sicherheitszertifikat für die Authentifizierung noch nicht passt. Certsrv ist veröffentlicht und ich hab auch ein Benutzerzertifikat angefordert. Ich denke mal ich benötige noch das Stammzertifizierungsstellenzertifikat oder das Maschinenzertifikat vom ISA also das des VPN-Servers.

Muss jetzt noch genauer untersucht werden. Auf jeden Fall kann der VPN-Server erreicht werden. Das ist ja schon mal einiges wert.

Werde mich dann wieder melden.

grüsse

mullfreak