Vpn - L2tp/ipsec

[marram 10]

Hi

Habe folgendes Problem: Hab auf einen 2000 Server einen VPN eingerichtet. Nun will ich mit L2TP / IPSEC mit einem XP client verbinden. Am Server habe ich EAP mit einen Computerzerifikat eingerichtet. Dieser hat ebenfals ein zertifikat von der Zertifizierungsstelle sowie eine IPSEC Zertifikat.

 

Der Client hat eine IP-Sec zertifikat sowie ein Computer zertifikat und ein benutzerzertifikat.

 

 

Wenn ich nun Verbinden möchte erhalte ich die Meldung:

 

Fehler 792: Der L2TP- Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandlung das Zeitlimit überstritten hat.

 

Da sich aber die zwei rechner im gleichen netzwerk befinden und beide einwandfrei funtionieren sowie die sich pingen können ist der fehler sehr Rätzelhaft.

 

Besonders interressant ist, wenn PPTP verwende funtioniert der VPN.

 

Bitte schreibt mir euer wissen über vpn mit L2TP und IP-Sec sowie hilfreiche links.

 

lg

marram

[gr@mlin 10]

hi marram,

 

nimm mal als authentifizierung "chap" oder "mschap v2" - "eap" ist für authentifizierung via smartcard.

 

gruss, gr@mlin

[marram 10]

Da gehts einwandfrei will ich aber aus sicherheitsgründen nicht einsetzen!

 

So wie ich das verstanden habe hätte ich dann wieder eine Verbindung über PPTP.

 

lg

Marc

[hangover 10]

Also meines wissens nach hast du trotzdem eine L2TP Verbindung mit IPSec. mschap ist nur der anmeldeprotokoll und verändert deswegen nicht den VPN Typ L2TP....

[marram 10]

heißt das:

wenn ich nur EAP zulasse müsste ich die autentifizierung des benutzers auch über ein zertifikat machen?

oder lasse ich gar keine Möglichkeit der Autentifizierung zu? weil ich nur EAP verwende?

 

Danke für die info ich werde morgen gleich testen!

 

lg

marram

[hangover 10]

versteh ich jetzt nicht was das mit meiner antwort zu tun hat.... :shock:

[Adoration 10]

Ändere mal die IP-Adresse vom Client.

 

Wenn beide Seiten im gleichen Subnetz liegen, dann klappt IPSec nicht.

 

Gruß

 

Adoration

[gr@mlin 10]

hi,

 

Original geschrieben von Adoration

Ändere mal die IP-Adresse vom Client.

 

Wenn beide Seiten im gleichen Subnetz liegen, dann klappt IPSec nicht.

warum sollte das denn nicht funktionieren?

 

ipsec funktioniert ja auch in einem firmennetz auf z.b. nur einem netzbereich.

 

gruss, gr@mlin

[Adoration 10]

Original geschrieben von gr@mlin

hi,

 

ipsec funktioniert ja auch in einem firmennetz auf z.b. nur einem netzbereich.

 

gruss, gr@mlin

 

Wie meinst Du das denn?

 

Den genauen Grund kenne ich nicht, aber ich vermute das liegt am Routing, durch die unterschiedlichen Subnetzen, kann das System eindeutig die Pakete routen (Weiterleitung an das Gateway)

 

Gruß

 

Adoration

[garyp 10]

hi,

 

Original geschrieben von marram

Am Server habe ich EAP mit einen Computerzerifikat eingerichtet. Dieser hat ebenfals ein zertifikat von der Zertifizierungsstelle sowie eine IPSEC Zertifikat.

Der Client hat eine IP-Sec zertifikat sowie ein Computer zertifikat und ein benutzerzertifikat.

Wenn ich nun Verbinden möchte erhalte ich die Meldung:

Fehler 792: Der L2TP- Verbindungsversuch ist fehlgeschlagen, da die Sicherheitsaushandlung das Zeitlimit überstritten hat.

 

 

Haben der Server und der Client das gleiche IPSec Zertifikat?

Wenn ja?

Ist der Server als <<Vertrauenswürdige Stammzertifizierungsstelle<< eingetragen??

Win fügt den Zertifikatsserver standartmäßing nur in >>Zwischenzertifizierungsstellen<< ein.

 

Notfalls den Zertifikatsserver im SnapIn Zertifikate von >>Zwischenzertifizierungsstelle<< in >>Vertrauenswürdige Stammzertifizierungsstelle<< kopieren

 

Ärgere mich auch gerade damit rum. Bekomme den VPN Tunnel nicht durch meinen SMC Router.

 

gruß

garyp