Chewie 10 Geschrieben 30. März 2008 Melden Teilen Geschrieben 30. März 2008 Ich habe ein Problem mit einer Übung im MS Press Buch 2. Aufl. zur Prüfung 70-291 (deutsches Buch): Auf den Seiten 601/602 geht es um das Herstellen einer VPN-Verbindung von einer W2K3 Maschine auf einen RAS-Server. Zuvor habe ich die PPTP-Variante ohne irgendwelche Probleme durchgespielt. Für die L2TP-Variante habe ich nun folgendes konfiguriert: Am Client ist eine VPN-Verbindung mit IPSEC-PreShared-Key konfiguriert. Host name ist meine DynDNS-Adresse, diese wird auch zur korrekten IP aufgelöst. "Include Windows logon domain" ist zusätzlich in den Settings angehakt. "Require secured Password" ist gesetzt, ebenso "require data encryption". Als VPN-Typ ist "L2TP IPSec VPN" gesetzt. In der Firewall (FritzBox 7170) sind die UDP Ports 500, 1701, 4500, 5500 weitergeleitet (ich weiß, einige davon benötigt man eig. nicht), ebenso das ESP-Protokoll. Beim Versuch der Verbindungsherstellung kommt es zu einem Timeout, angeblich beim Aushandeln der Sicherheit. Die genaue Fehlermeldung ist: Error 792: The L2TP connection attempt failed because security negotiation timed out. Im Protokoll des RAS-Servers steht nach jedem Neustart des Routing und RAS Dienstes die folgende Fehlermeldung: -schnipp- Es konnte kein Zertifikat gefunden werden. Verbindungen, die das L2TP-Protokoll über IPSec verwenden, erfordern die Installation eines Computerzertifikats. Es werden keine L2TP-Anrufe akzeptiert. -schnapp- Woran liegt's? Muss ich trotz der Verwendung eines PreShared-Keys ein Computerzertifikat bereitstellen? Warum steht davon dann nichts im Buch, oder hab ich's überlesen? Im Buch steht, dass man sich das Aufsetzen einer PKI bei Verwendung eines PreShared-Keys sparen kann. Außerdem dachte ich, ein W2K3 DC hätte automatisch ein IPSEC-taugliches Computerzertifikat, ist das so richtig? Für jeden Lösungsansatz wäre ich dankbar! Viele Grüße Chewie Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. März 2008 Melden Teilen Geschrieben 30. März 2008 Nein, musst Du nicht ... Du musst aber dem Client NAT-Traversal "beibringen" ... The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2 Ein 2003er hat eine IPSec-Vorlage, aber deswegen noch lange kein Zertifikat ... Zitieren Link zu diesem Kommentar
Chewie 10 Geschrieben 30. März 2008 Autor Melden Teilen Geschrieben 30. März 2008 Bei dem Client handelt es sich wie bei dem Server auch um einen Windows Server 2003 (Member-Server), der KB Artikel bezieht sich aber scheinbar nur auf eine Änderung in XP SP2, oder? Ich habe die Registry-Änderung trotzdem ausprobiert und einen Neustart durchgeführt, aber das Problem besteht weiter. Ich habe noch einen anderen KB-Artikel gefunden, der passen könnte (danke für den Hinweis auf das NAT-T Problem): Connections time out when client computers that are running Windows Server 2003 or Windows XP try to connect to a server on a wireless network that uses IPsec NAT-T Leider muss ich jetzt erstmal das Hotfix anfordern. Ich werde dann berichten, ob es geholfen hat. Falls jmd. noch andere Ansatzpunkte hat, würde ich mich darüber freuen. Viele Grüße Chewie Zitieren Link zu diesem Kommentar
Chewie 10 Geschrieben 30. März 2008 Autor Melden Teilen Geschrieben 30. März 2008 Hotfix ist bestellt. Zwei Fragen habe ich noch in diesem Zusammenhang: Ist es richtig, dass der PreShared-Key als (unsicherer) Ersatz für das Computerzertifikat dient? Ist es richtig, dass für IPSec nur ein Computerzertifikat (oder alternativ einen PreShared-Key) aber kein Benutzerzertifikat notwendig ist? Spielen Benutzerzertifikate im Kontext von IPSec auch eine Rolle (zur Authentifizierung [stichwort Smartcards] oder zur Verschlüsselung)? Wenn ja, wie können diese Verwendung finden? Viele Grüße Chewie Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.