Jump to content

VPN Einwahl; Fehler 691


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo erstmal,

 

habe ein schwerwiegendes Problem, was bis zum 9. Mai gelöst sein sollte

 

mein Projekt ist die Fernwartung einer Außenstelle über VPN. Aber im Grunde genommen sind die Umstände unwichtig.

 

Mein Problem:

Ich habe ein Zertifikat auf meinem Server 2003 erstellt und das RAS konfiguriert. Nur Zertifikatgestüzte Einwahl ist möglich. Der Client (der Mitglied der Domäne ist) lädt sich das Zertifikat über das Webinterface und installiert es. Möchte er sich jetzt jedoch einwählen, bekomm ich die Fehlermeldung:

Benutzername und Kennwort werden verifiziert...

 

Fehler 691: Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist.

 

Was ich nicht verstehe ist, warum ein Benutzername und ein pass überhaupt abgefragt werden. Das Zertifikat alleine ist doch für die Authentifizierung zuständig?!?

Außerdem funktionierte das einwählen mit Domänenpasswort ohne Zertifikat per PPTP ohne Zertifikat wunderbar.

 

Wäre echt dankbar wenn mir jmd. helfen könnte.

 

Danke im Vorraus!

Link zu diesem Kommentar

Sorry! Komme selber durcheinander! Mir raucht der Kopf. Also es sollte mal eine L2TP werden, aber mir reicht es im Moment, wenn überhaupt mal eine Verbindung mit Zertifikaten zustande kommt...

Mein VPN Server ist ein Server 2003 und hängt im Firmennetz. Die Clients sind auch im Firmennetz (habe keinen extrernen Rechner zum testen, aber theoretisch wären sie direkt ins Internet eingewählt)

Weiß nicht was du noch wissen musst...

Hab gerade mal unter den Richtlinien bei der Auswahl des EAP Anbieters auf Bearbeiten von Smartcard oder anderes Zertifikat geklickt und er sagt:

Es konnte kein Zertifikat gefunden werden, dass mit dem EAP benutzt werden kann

:confused:

Link zu diesem Kommentar

Zunächst sollte erst einmal das mit dem L2TP klappen, ohne EAP, mit MS-CHAP-V2, dann wenn die Verbindung klappt, kann man EAP angehen.

 

Für L2TP brauchst du Computerzertifikate für den VPN-Server und den VPN-Client. eine Anleitung mit einer eigenständigen CA findest im HowTo Bereich auf unserer Hompage (siehe mein Profil).

Falls der VPN-Server oder der VPN-Client, oder gar beide, hinter einem NAT-Gerät sitzen, also nicht direkt mit dem Internet verbunden sind, ist im Tutorial der Teil 6 Abschnitt H zu beachten. Man braucht dann entweder den genannten Hotfix für 2000/XPSP1 oder den RegistryKey für XPSP2.

 

Wenn es eine Unternehmens-CA ist, dann die Computerzertifikate für den Server und den Client am besten über die MMC->SnapIn "Zertifikate-lokaler Computer" anfordern.

 

Auf dem VPN-Server und dem VPN-Client zunächst nur MS-CHAP V2 als Authentifizierungsmethode auswählen. Wenn die Verbindung klappt, dann kommt EAP dran ;)

 

grizzly999

Link zu diesem Kommentar

Also...

Ich werde jetzt versuchen eine Verbindung per L2TP ohne EAP aufzubauen. Kein NAT bei uns vorhanden. D.H. ich richte eine Stammzertifizierungsstelle ein und installiere das Zertifikat auf dem Client, dass ich per /certsrv anfordere. Muß ich auch ein Stammzertifizierungsstellenzertifikat unter vertrauenswürdige Stammzertifizierungsstellen importieren?

Link zu diesem Kommentar

Gleich noch eine Frage:

"Wichtig dagegen ist das Häkchen "Zertifikat im lokalen Zertifikatsspeicher aufbewahren" zu selektieren, denn sonst wird das Zertifikat nachher nicht für den Computer installiert, sondern für den Benutzer, womit unser IPSec nicht funktionieren würde."

Muß ich an der Domäne angemeldet sein oder reicht es, wenn der Rechner Mitglied ist. Wenn ich nämlich angemeldet bin, bekomm ich aus dem Grund (Zert. im lok. Zert.speicher aufbewahren) eine Fehlermeldung: Keine Berechtigung.

Bin ich lokal angemeldet geht es.

Link zu diesem Kommentar

Wenn du eine eigenständige CA einrichtest, geht die Anforderung nur über die certsrv-Site auf der CA. Dann musst du auf dem VPN-Server und dem Client auch das Stammzertifizierungsstellenzertifikat in den Speicher der Vertrauenswürdigen Stammzertifizierungsstellen importieren, geht auch über diese Webseite. Das ist wichtig, sonst klappt schon L2TP nicht.

 

 

grizzly999

Link zu diesem Kommentar

Ja, der Fehler kann viele Ursachen haben.

Hast du schon versucht, in den VPN-Clienteigenschaften unter Netzwerk den Verbindungstyp fest auf L2TP einzustellen (nicht automatisch erkennen).

Die Rootzertifikate sind drin in beiden Rechnern?

Es sollte was im Ereignislog zu finden sein. Schalte zum Troubleshooting auch mal die Fehlüberwachung für Anmeldeereignisse auf dem VPN-Server und Client ein.

 

Und du bist sicher, dass da nirgends NAt dazwischen ist? Wie geht der Client ins Internet?

 

grizzly999

Link zu diesem Kommentar

Habe fest auf L2TP/IPSec getsellt. Zertifikate sind auf Server sowie Client in "Eigene Zertifikate" und in "Vertrauenswürdige Stammzertifizierungsstellen". Kein NAT! 100%!

Client und Server liegen im selben Netz! Haben ihren Gateway und eine statische IP!

 

Ich finds echt cool, dass du mir da wirklich probierst zu helfen, ist sehr wichtig für mich.

Link zu diesem Kommentar

Ja, im selben Netz da sollte es auf jeden Fall funktionieren. Eigentlich kein Problem, kann nur eine Kleinigkeit sein.

 

Da ich aber nicht davor sitze, noch ein paar Fragen:

1)

Zertifikate sind auf Server sowie Client in "Eigene Zertifikate"

Liegen in "Eigene Zertifikate" unter Computer? (Habe es auch schon unter Benutzer gesehen, wo es natürlich nicht geht ;) )

 

2)

Der Client stellt die Verbindung zum VPN-Server über die IP her oder den Namen?

 

3)

Es sollte was im Ereignislog stehen ......... !!

 

4)

Ganz am Anfang oben, welcher Server, welches SP?

Zwei NICs oder eine?

Welcher Client, welches SP?

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...