Jump to content

Win7-Client * L2TP/IPSec-VPN zu TMG 2010 * Fehler 835


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

habe auf der einen seite einen 2008r2-server mit installiertem tmg 2010. es soll nun erst einmal von einem win7-client aus ein l2tp/ipsec-vpn zu diesem server aufgebaut werden.

 

  • pptp funktioniert ohne probleme
  • l2tp/ipsec ohne "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen funktioniert ohne probleme
  • l2tp/ipsec mit "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen ergibt immer den fehler 835 :(

Fehler 835: Die L2TP-Verbindung konnte nicht hergestellt werden, da der Remotecomputer von der Sicherheitsstufe nicht authentifiziert werden konnte. ...

 

Wo könnte da der Hund begraben liegen bzw. muss ich forschen und etwas ändern?

Link zu diesem Kommentar

Grundsätzlich müssen der VPN-Client und der TMG der Root/Issuing CA vertrauen, von der die Gegenstelle ihr jeweiliges Zertifikat hat.

Für VPN Verbindungen muss das Serverzertifikat auf den externen FQDN ausgestellt sein. (Bsp.: vpngateway.domain.tld)

Der Zugriff auf CRL/OCSP muss für den Client und TMG möglich sein.

 

Zur weiteren Diagnose:

Ist es eine Test- oder Produktivumgebung?

Git es eine PKI?

Welche Zertifikate/Zertifikatsvorlagen werden benutzt?

Sind die Sperrlistenverteilungspunkte ordentlich konfiguriert?

Link zu diesem Kommentar

tmg und w7-client vertrauen der ca, serverzertifikat wurde auf fqdn ausgetellt und crl ist erreichbar für beide.

  • testumgebung
  • pki gibt es
  • zertifikatsvorlage war eine modifizierte ipsec die als eku noch server auth enthielt
  • crl-punkte sollten ordentlich konfiguriert sein (was ist zu beachten?)

inzwischen habe ich noch l2tp/ipsec mit psk getestet - läuft und auch ein sstp-vpn lässt sich problemlos aufbauen.

 

nur den fehler 835 im l2tp/ipsec mit überprüfung kriege ich nicht gebacken.

Link zu diesem Kommentar
tmg und w7-client vertrauen der ca, serverzertifikat wurde auf fqdn ausgetellt und crl ist erreichbar für beide.

Ist das Zertifikat auf den externen FQDN ausgestellt?

 

crl-punkte sollten ordentlich konfiguriert sein (was ist zu beachten?)

Sollten oder sind? Kannst du die Basis- und Deltasperrliste per Browser von intern und extern herunterladen?

 

Vielleicht hilft dieser Link weiter:

What type of certificate to install on the VPN server - Routing and Remote Access Blog - Site Home - TechNet Blogs

Link zu diesem Kommentar

Moin,

 

Du hast object identifier (OID) 1.3.6.1.5.5.8.2.2 problem. Eine IPSec Zertifikat enthält ein (Enhanced Key Usage, EKU)-Attribut mit ein Wert für die IP security IKE intermediate objekt bezeichner/identifier (OID) 1.3.6.1.5.5.8.2.2.

 

Du kannst für TMG 2010 auch diese ISA 2006 Artikel von Adrian benutzen.

 

ISA Server 2006 as a VPN server and the selection of the certificate to be used for IKE authentication for L2TP/IPsec connections – a possible work around

 

 

 

Mehr info:

 

Public Key Certificate

Enhancements to VPN Reconnect in W7 RC

VPN Reconnect in Windows 7 RC - redux

 

mfg

bearbeitet von samsam
Link zu diesem Kommentar

Ja, das Zertifikat ist auf den externen FQDN ausgestellt.

Ja, ich kann über die URL im Zertifikat die Sperrlisten von extern und intern herunterladen.

Diesen Artikel hatte ich bereits vorliegen (habe aber scheinbar was überlesen).

 

Meine Zertifikatsvorlage war aus der Vorlage "IPSec (Offlineanforderung)" erstellt. Ich habe aber feststellen müssen, dass meiner bisherigen Zertifikatsvorlage die "Key Use" "Digitale Signatur" fehlte.

 

Ich habe das korrigiert und die Zertifikate auf TMG und Windows7-Client neu erzeugt.

 

Mit diesen neuen Zertifikaten klappt die Verbindung jetzt.

 

Danke.

 

PS:

Nachdem nun alle Verbindungsmodi (PPTP, L2TP/IPSec mit und ohne Überprüfung, SSTP) klappen werde ich mich mal an die Evaluierung der Quarantänefunktion machen (NAP?). Habt ihr da vielleicht noch ein paar gute Links für mich?

bearbeitet von scholle65
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...