HeckMc 10 Geschrieben 12. Mai 2007 Melden Teilen Geschrieben 12. Mai 2007 Hallo zusammen, ich möchte meinen Test-Server W2k3 mit dem Linux Server eines Kollegen per VPN verbinden, so dass wir unsere beiden privaten Netze 192.168.0.0 und 192.168.1.0 mit einander verbinden können. Nun bin ich also dabei, den W2k3 als L2TP / Ipsec VPN-Server einzurichten. Dazu habe ich bisher: Eine eigenständige CA installiert (ich möchte ja ein Clientzertifikat für einen Rechner ausstellen der nicht im AD ist) Ich habe für den Server ein IPSec Zertifikat angefordert und im lokalen Computerkonto installiert. Ich habe dort also ein Zertifikat welches für den Zweck "IP Sicherheit, dazwischenliegend" ausgestellt wurde. Das Zertifikat der CA liegt in am Server und am Testclient im Speicher für vertrauenswürdige CA. Ich habe dann am Client ebenfalls ein IPSec-Zertifikat angefordert und im Computerkonto gespeichert. Am DC habe ich unter Sicherheitsrichtlinie für Domänencontroller eine neue Ip-Sicherheitsrichtlinie erstellt welche den gesamten IP-Verkehr des Remote-Zugriffs betrifft und dort als Authentifizierungsmethode das Root-Zertifikat meiner CA hinterlegt. Wenn ich jetzt aber versuche intern vom Client eine Remote-VPN Verbindung aufzubauen (erstmal intern testen, damit Router etc. nicht die Fehlerquelle sein können) sagt mir der Client Fehler 786 und meint, dass kein gültiges Clientzertifikat vorliegen würde. Was habe ich falsch gemacht? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Mai 2007 Melden Teilen Geschrieben 12. Mai 2007 Eine IPSEC-Richtlinie angelegt ? Schau mal hier ... Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Mai 2007 Melden Teilen Geschrieben 12. Mai 2007 Wenn ich jetzt aber versuche intern vom Client eine Remote-VPN Verbindung aufzubauen (erstmal intern testen, damit Router etc. nicht die Fehlerquelle sein können) sagt mir der Client Fehler 786 und meint, dass kein gültiges Clientzertifikat vorliegen würde. Kein gültiges Clientzertifikat?! Wie hast das Zertifikat angefordert auf Server und Client? MIt dem Internet Explorer oder der MMC (Computerkonto)? Beim IE aufpassen, dass das Häkchen richtig gesetzt ist, siehe in meinem HowTo unterhalb von Abb.5 ! Windows Server How-To Guides: Teil 2 – Anfordern und Installieren der Zertifikate - ServerHowTo.de grizzly999 Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 12. Mai 2007 Autor Melden Teilen Geschrieben 12. Mai 2007 Habe nach bestem Wissen und Gewissen alles so gemacht wie in dem How-To..allerdings hab ich das Häkchen nicht gesetzt und habe das Zertifikat per Hand vom Benutzerkonto ins Computerkonto verschoben. Kann das der Fehler sein? Ich suche evt. morgen weiter. Gruß Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. Mai 2007 Melden Teilen Geschrieben 12. Mai 2007 Ja, das ist mit Sicherheit der Fehler. Das Zertifikat einfach da rüber schieben, das kommt aber der private Key nicht mit rüber, der wird aber gebraucht. Daher: nochmaaal ... nicht zur Strafe, nur zur ......... :D ;) grizzly999 Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 12. Mai 2007 Autor Melden Teilen Geschrieben 12. Mai 2007 omg...sicher...wie konnte ich den private key vergessen....ich fürchte ich muss schlafen. gn8 PS: Im Snap-In behauptet er aber bei einem Doppelklick auf das Zertifikat, dass der private Key da wäre...bezieht sich das auf den alten Speicherort oder "merkt" das Zertifikat nicht, dass es "auseinandergerissen" wurde? Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 13. Mai 2007 Autor Melden Teilen Geschrieben 13. Mai 2007 so...wenn man es richtig macht, dann klappt es auch mit ipsec. Ich habe nochmal neue Zertifikate ausstellen lassen und siehe da es geht. Nun aber meine Frage: Wozu dient die IP-Sicherheitsrichtlinie? Bezieht sich diese nur auf den lokalen Verkehr? Warum kann ich eine Verbindung aufbauen, ohne eine Richtlinie definiert zu haben? Und wie kann ich den Tunnelmodus nutzen um 2 Netze zu verbinden... Wenn ich das in der IP-Sicherheitsrichtlinie anwähle, muss ich eine feste IP als Tunnelende angeben. Das geht ja aber nur, wenn der andere Part eine feste Inet IP hätte. Oder bezieht sich das auf lokalen IP Verkehr im LAN? Woran erkenne ich, welche IPSEC (Tunnel/Transport) aufgebaut wurde? Danke schonmal für Tipps die mich weiterbringen. Gruß Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 14. Mai 2007 Autor Melden Teilen Geschrieben 14. Mai 2007 Kann mir wirklich keiner weiterhelfen evt. mit einem guten Link zu dem Thema? Leider finde ich immer nur halb vollständige Informationen zu dem Thema. Wann brauche ich z.B. einen NAT-T fähigen Router? Nur beim Transportmodus oder auch beim Tunnelmodus....ich möchte ja nicht, dass ihr mich komplett weiterbildet...aber ein paar qualitativ gute Links zu dem Thema würde mich freuen. Danke und Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.