galaxycarp 10 Geschrieben 7. September 2010 Melden Teilen Geschrieben 7. September 2010 Hallo, seit kurzem beschäftige ich mich mit Cisco und VPN. Ich würde gern auf einem Cisco 1841 ein easy VPN-Server einrichten. Die Clients sollen sich mittels Zertifikaten authentifizieren. Auf einem Windows 2003 Standart Server habe ich eine Zertifizierungsstelle eingerichtet sowie scep installiert. Auf dem Router habe ich soweit alles eingerichtet und mir mittels scep enrollment ein Zertifikat vom CA-Server angefordert. Hat soweit auch alles funktioniert. Bei dem Client das selbe Spiel. Versuche ich jetzt eine Verbindung mit dem Client zum Router aufzubauen, bekomme ich eine Fehlermeldung. Ich bin mittlerweile halb am verzweifeln, ich hoffe mir kann jemand helfen. debug.txt Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 7. September 2010 Melden Teilen Geschrieben 7. September 2010 Hallo, ich klann deine Anhänge nicht sehen, aber egal. Was sagen die Debug logs? Sind die ausgegebenen Zertifikate für eine entsprechende Authentifizierung verwendebar (-> Key-Usage Attribut)? Was sagt die CRL? mfg Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 7. September 2010 Autor Melden Teilen Geschrieben 7. September 2010 ich kenne mich leider noch nicht so gut mit cisco routern aus. was meinst du mit dem Key-Usage Attribut? Warum kannst du den Anhang nicht öffnen? Es sind zu viele Zeichen um hier her zu kopieren Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 7. September 2010 Melden Teilen Geschrieben 7. September 2010 Warum kannst du den Anhang nicht öffnen? Es sind zu viele Zeichen um hier her zu kopieren Alle Anhänge müssen von den Mods freigeschalten werden, bevor ein anderer sie sehen kann. Das "Key-Usage" Attribut ist in den V3-Zertifikaten (siehe X.509) hinterlegt und gibt an, wofür man das Zertifikat verwenden kann. Die Certs scheinen auf den ersten blick nicht das Problem zu sein. *Sep 7 09:48:56.783: ISAKMP:(2020):processing transaction payload from 192.168.1.35. message ID = -2025990851 *Sep 7 09:48:56.783: ISAKMP: Config payload REQUEST *Sep 7 09:48:56.783: ISAKMP:(2020): No provision for the request *Sep 7 09:48:56.783: ISAKMP: Invalid config REQUEST Kannste mal die config posten? mfg Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 7. September 2010 Autor Melden Teilen Geschrieben 7. September 2010 gern...die Zertifikate können von dem eben eingestellten debug abweichen, durch meine ganzen Versuche :-) hier bitte: SDMConfig.txt Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 8. September 2010 Autor Melden Teilen Geschrieben 8. September 2010 kann jemand meinen Fehler finden?:( Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. September 2010 Melden Teilen Geschrieben 8. September 2010 Also ohne viel Ahnung von Cisco zu haben ist der Start mit Zertifikaten nicht so klug gewaehlt. Probier doch erst mal ob du dich mit PSK und lokalen Usern einloggen kannst. Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 8. September 2010 Autor Melden Teilen Geschrieben 8. September 2010 Probier doch erst mal ob du dich mit PSK und lokalen Usern einloggen kannst. Das funktioniert schon problemlos. Deshalb dachte ich, dass ichs mal mit den Zertifikaten versuchen kann, aber....ist garnicht mal so einfach :( Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 13. September 2010 Autor Melden Teilen Geschrieben 13. September 2010 Habe den Fehler gefunden. Ich hatte in den Zertifikaten keine Angabe zur OU gemacht. Nachdem ich das Feld nach der VPN-Group benannt hatte funktionierte alles :D vielen Dank nochmals für eure Mühe Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 ich habe jetzt leider noch ein anderes Problem. Momentan läuft das ganze mit einem windows CA-Server. Wenn ich auf dem Server nun die Zertifikate der Clients sperre funktioniert die Einwahl trotzdem noch :mad: Wenn ich mir über die CRL-Url eine Sperrliste anfordere kann ich sie downloaden und sie enthält die gesperrten Zertifikate. Der Router scheint das nicht zu überprüfen ob sie gesperrt sind oder nicht. Ich kann auch den CA-Server runterfahren, das stört den Router garnicht. Hat noch jemand ein Tip für mich? Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 14. September 2010 Melden Teilen Geschrieben 14. September 2010 Hallo, haben die Zertifikate eine CRL URL? Hast du mal über den Einsatz von OCSP nachgedacht? Hat der Router eventl. eine alte CRL im cache? Wie lang ist die Laufzeit der CRL? mfg Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 ok...ich habe jetzt wieder ein bisschen rumprobiert also, wenn ich auf meinem CA-Server ein Zertifikat sperre und starte danach den Router neu, funktioniert nichts mehr :wink2: Erlaube ich das Zertifikat wieder und starte danach den Router neu funktionierts wieder:confused: Hast du eine Idee? Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 14. September 2010 Melden Teilen Geschrieben 14. September 2010 (bearbeitet) Sag mal, wie erlaubst du ein gesperrtes Zertifikat? Das geht eigentlich nicht. Oder sperrst du die nicht richtig? Zum Problem, deaktiviere mal das chachen der CRL. Innerhalb des Trustpoint mit "crl-cache none" oder so ähnlich. mfg bearbeitet 14. September 2010 von Windowsbetatest Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 sorry ich meinte damit blockieren :-) ich teste das gleich mal Zitieren Link zu diesem Kommentar
galaxycarp 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 Hey super das war genau die richtige Idee von dir...vielen Dank hast mir sehr weitergeholfen :D Ich hoffe, dass ich irgendwann auch mal so den Durchblick habe:wink2: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.