scholle65 10 Geschrieben 3. März 2011 Melden Teilen Geschrieben 3. März 2011 habe auf der einen seite einen 2008r2-server mit installiertem tmg 2010. es soll nun erst einmal von einem win7-client aus ein l2tp/ipsec-vpn zu diesem server aufgebaut werden. pptp funktioniert ohne probleme l2tp/ipsec ohne "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen funktioniert ohne probleme l2tp/ipsec mit "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen ergibt immer den fehler 835 :( Fehler 835: Die L2TP-Verbindung konnte nicht hergestellt werden, da der Remotecomputer von der Sicherheitsstufe nicht authentifiziert werden konnte. ... Wo könnte da der Hund begraben liegen bzw. muss ich forschen und etwas ändern? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2011 Melden Teilen Geschrieben 4. März 2011 Grundsätzlich müssen der VPN-Client und der TMG der Root/Issuing CA vertrauen, von der die Gegenstelle ihr jeweiliges Zertifikat hat. Für VPN Verbindungen muss das Serverzertifikat auf den externen FQDN ausgestellt sein. (Bsp.: vpngateway.domain.tld) Der Zugriff auf CRL/OCSP muss für den Client und TMG möglich sein. Zur weiteren Diagnose: Ist es eine Test- oder Produktivumgebung? Git es eine PKI? Welche Zertifikate/Zertifikatsvorlagen werden benutzt? Sind die Sperrlistenverteilungspunkte ordentlich konfiguriert? Zitieren Link zu diesem Kommentar
scholle65 10 Geschrieben 10. März 2011 Autor Melden Teilen Geschrieben 10. März 2011 tmg und w7-client vertrauen der ca, serverzertifikat wurde auf fqdn ausgetellt und crl ist erreichbar für beide. testumgebung pki gibt es zertifikatsvorlage war eine modifizierte ipsec die als eku noch server auth enthielt crl-punkte sollten ordentlich konfiguriert sein (was ist zu beachten?) inzwischen habe ich noch l2tp/ipsec mit psk getestet - läuft und auch ein sstp-vpn lässt sich problemlos aufbauen. nur den fehler 835 im l2tp/ipsec mit überprüfung kriege ich nicht gebacken. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 10. März 2011 Melden Teilen Geschrieben 10. März 2011 @scholle65: Bitte achte darauf auch Großbuchstaben zu benutzen. Unsere Bereitschaft dir zu helfen steigt mit der guten Lesbarkeit deiner Beiträge. Vielen Dank für dein Verständnis. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. März 2011 Melden Teilen Geschrieben 10. März 2011 tmg und w7-client vertrauen der ca, serverzertifikat wurde auf fqdn ausgetellt und crl ist erreichbar für beide. Ist das Zertifikat auf den externen FQDN ausgestellt? crl-punkte sollten ordentlich konfiguriert sein (was ist zu beachten?) Sollten oder sind? Kannst du die Basis- und Deltasperrliste per Browser von intern und extern herunterladen? Vielleicht hilft dieser Link weiter: What type of certificate to install on the VPN server - Routing and Remote Access Blog - Site Home - TechNet Blogs Zitieren Link zu diesem Kommentar
samsam 14 Geschrieben 11. März 2011 Melden Teilen Geschrieben 11. März 2011 (bearbeitet) Moin, Du hast object identifier (OID) 1.3.6.1.5.5.8.2.2 problem. Eine IPSec Zertifikat enthält ein (Enhanced Key Usage, EKU)-Attribut mit ein Wert für die IP security IKE intermediate objekt bezeichner/identifier (OID) 1.3.6.1.5.5.8.2.2. Du kannst für TMG 2010 auch diese ISA 2006 Artikel von Adrian benutzen. ISA Server 2006 as a VPN server and the selection of the certificate to be used for IKE authentication for L2TP/IPsec connections – a possible work around Mehr info: Public Key Certificate Enhancements to VPN Reconnect in W7 RC VPN Reconnect in Windows 7 RC - redux mfg bearbeitet 11. März 2011 von samsam Zitieren Link zu diesem Kommentar
scholle65 10 Geschrieben 11. März 2011 Autor Melden Teilen Geschrieben 11. März 2011 (bearbeitet) Ja, das Zertifikat ist auf den externen FQDN ausgestellt. Ja, ich kann über die URL im Zertifikat die Sperrlisten von extern und intern herunterladen. Vielleicht hilft dieser Link weiter:What type of certificate to install on the VPN server - Routing and Remote Access Blog - Site Home - TechNet Blogs Diesen Artikel hatte ich bereits vorliegen (habe aber scheinbar was überlesen). Meine Zertifikatsvorlage war aus der Vorlage "IPSec (Offlineanforderung)" erstellt. Ich habe aber feststellen müssen, dass meiner bisherigen Zertifikatsvorlage die "Key Use" "Digitale Signatur" fehlte. Ich habe das korrigiert und die Zertifikate auf TMG und Windows7-Client neu erzeugt. Mit diesen neuen Zertifikaten klappt die Verbindung jetzt. Danke. PS: Nachdem nun alle Verbindungsmodi (PPTP, L2TP/IPSec mit und ohne Überprüfung, SSTP) klappen werde ich mich mal an die Evaluierung der Quarantänefunktion machen (NAP?). Habt ihr da vielleicht noch ein paar gute Links für mich? bearbeitet 11. März 2011 von scholle65 Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 12. März 2011 Melden Teilen Geschrieben 12. März 2011 Freut mich, danke für die Rückmeldung. PS: Mit der Quarantänefunktion habe ich mich noch nicht auseinandergesetzt. Ich darf mich dafür gerade mit einer ASA vergnügen und damit ein ähnliches Szenario aufbauen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.