mullfreak 10 Geschrieben 30. März 2004 Melden Teilen Geschrieben 30. März 2004 Hi dejan, ich hab jetzt gestern Nacht noch elends lange probiert und bin aber immer wieder am gleichen Fehler gescheitert. Und zwar an dem Fehler das kein Sicherheitszertifikat auf dem Rechner installiert ist. Also bei mir daheim am Client. Jetzt hab ich am ISA nur für diesen Zweck unsere Zertifizierungsstelle veröffentlicht und ein Benutzerzertifikat angefordert. Geht auch nicht. Natürlich hab ich das Update für NAT-T gezogen und installiert (W2k Prof). Dann hab ich versucht das Maschinen-Zertifikat vom ISA der ja den VPN beherbergt zu exportieren und daheim zu importieren. Leider geht aber dann die Verbindung auch nicht. Schade. Jetzt muss ich leider feststellen das ich Mängel im Wissen bezüglich der Zertifikatsanforderung habe. Für welche Aufgabe und Sinn brauche ich was für ein Zertifikat. Vielleicht weisst Du noch ein gutes Listing wo man das genau sehen kann. mfg Mullfreak Zitieren Link zu diesem Kommentar
mullfreak 10 Geschrieben 30. März 2004 Melden Teilen Geschrieben 30. März 2004 hi dejan, hier meine e-mail adresse: mmueller@ds-content.de Zitieren Link zu diesem Kommentar
mullfreak 10 Geschrieben 30. März 2004 Melden Teilen Geschrieben 30. März 2004 hi dejan, kannst du mir das file nochmal schicken aber bitte nicht als .msg. kanns nicht öffnen. was ist da los. warum kann ich es nicht öffnen. grüsse mullfreak Zitieren Link zu diesem Kommentar
mullfreak 10 Geschrieben 1. April 2004 Melden Teilen Geschrieben 1. April 2004 Hi, ich hab mich jetzt ausserordentlich mit L2TP/IPSEC, VPN, NAT-Router, NAT-Traversal etc. auseinandergesetzt. Dabei hab ich folgende Kenntnisse erworben: Wenn ein Client ein VPN aufbaut muss er folgende Zertifikate haben: -Eigene Zertifikate (Benutzer): --Eigene Zertifikate --> Benutzerzertifikat --Vertrauenswürdige Stammzertifizierungsstellen --> Zertifizierungsstelle -Computerzertifikat --Eigene Zertifikate --> Computerzertifikat (nicht IPSEC-Zertifikat) --Vertrauenswürdige Stammzertifizierungsstellen --> Zertifizierungsstelle Sind diese Zertifikate nicht installiert hat man keine Chance irgendwie eine L2TP/IPSEC VPN-Verbindung zum RAS-Server aufzubauen (ausser mit einem gemeinsamen Schlüssel). So, nun hab ich einen Domänenintegrierte Stammzertifizierungsstelle. Wie soll jetzt ein Client der ausserhalb der Domäne, nämlich an einem entfernten Standort zu Hause ist, ein Computerzertifikat beantragen können. Das geht definitiv nicht. Weder mit einer veröffentlichten Zertifizierungsstelle (diese kann ja nur für Benutzerzertifikate verwendet werden) noch wenn der entfernte Client per PPTP VPN-Verbindung in die Domäne gebunden wurde --> Die Zertifikatsausstellung wird abgelehnt. Wie soll ich nun einen Client der über einen ganzen Kontinent!!! hinweg steht an einen L2TP VPN-Server binden? Wie soll ein Rechner der nie was mit der Home-Domain zu tun gehabt hat ein Computerzertifikat beantragen können? Wie soll ich ein Benutzerzertifikat beantragen können wenn der Zertifizierungsserver die Authentifizierung an der Website als Erkennung für den Benutzer verwendet? Es mag ja sein das NAT-T funktioniert, aber das oben genannte sind grundlegende Entscheidungen die vorher getroffen werden müssen. Soll man eine eigenständige Zertifizierungsstelle verwenden? Grüsse Mullfreak Zitieren Link zu diesem Kommentar
mullfreak 10 Geschrieben 4. April 2004 Melden Teilen Geschrieben 4. April 2004 Hi, nach endlosen Versuchen und Überlegungen habe ich heute L2TP/IPSEC VPN erfolgreich realisiert. Nachdem ich jetzt über PPTP meinen ZuHauseClientRechner in die Domäne unserer Firma eingefügt habe und alle DNS-Konfigurationen einwandfrei implementierte, konnte ich auch ein einwandfreies Computerzertifikat anfordern. Die vorherigen Anfragen wurden alle verworfen da kein DNS-Suffix auf meinem Rechner vergeben war. Bis jetzt gehts nur mit der Deaktivierung der IP-Fragmentierung am ISA. Vorher wurde in der Ereignisanzeige des ISA-Servers ein All-Scan-Port Angriff festgestellt und am Client bekam ich Fehler 619 --> Es konnte keine Verbindung zu den Ports hergestellt werden. Zusätzlich wurde an dem Client (Win2000Prof) das NAT-T Update eingespielt. Am Server verwende ich den Diffie-Hellmann Schlüssel mit 2048bits. Dies wurde in dem besagten Artikel nicht vorausgesetzt aber alle Client die dieses Update benutzen können nur mit diesem Reg-Eintrag arbeiten. Da bin ich jetzt mal froh das was geklappt hat und möchte mich recht herzlich für die Hilfe bei allen bedanken. Mersennnn........................ So long .... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.