Obelix1981 10 Geschrieben 14. Mai 2004 Melden Teilen Geschrieben 14. Mai 2004 Hallo Leute, ich hoffe ihr könnt mir helfen!!! Ich bin mit der Aufgabe betreut worden einen VPN Server einzurichten. Und zwar mit IP-Sec über L2TP und Zertifikaten als Preshared Key. Nun hab ich Windows 2003 Server Std. plus den IIS und die Zertifikatsdienste. Da der Server nicht in einer Active Directory ist, läuft die Zertifikatsstelle eigenständig. Benutzer sind lokal eingerichtet und die Einwahlmöglichkeit soll über die RRAS Richtlinien geregelt werden. Wer kann mir da Schrittweise helfen??? Vielen Dank im Voraus!!! Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 14. Mai 2004 Melden Teilen Geschrieben 14. Mai 2004 hi, lies mal dies hier dazu: http://support.microsoft.com/default.aspx?scid=kb;de;323441 gruss, gr@mlin Zitieren Link zu diesem Kommentar
Obelix1981 10 Geschrieben 14. Mai 2004 Autor Melden Teilen Geschrieben 14. Mai 2004 Hi, danke für den Link. Der hat mir schon mal weiter geholfen. So konnte ich den RRAS mal so konfigurieren, dass er über die RRAS Richtlinien kontrolliert, ob der User zugreifen kann oder nicht. Dazu hab ich die DayTime restriction und Windows Groups benutzt. Die Einwahl über PPTP funktioniert somit schon mal. Dann hab ich eine eigenständige CA installiert und kann auch Zertifikate ausstellen und am Server und Client runterladen und installieren. Jetzt hab ich noch folgendes Problem: Wo und wie müssen die Zertifikate gespeichert werden um diese als Preshared Key verwenden zu können? Wie muss ich die IPSec Richtlinien konfigurieren, dass mir die Kommunikation über L2TP mit IPSec läuft und die Zertifikate zum Authentifizieren benutzt? Muss ich sonst noch Einstellungen treffen? Vielen Dank an Alle, die versuchen mir zu helfen!!! :) Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 14. Mai 2004 Melden Teilen Geschrieben 14. Mai 2004 hier, neuer lesestoff http://support.microsoft.com/default.aspx?scid=kb;en-us;282077 http://support.microsoft.com/default.aspx?scid=kb;en-us;323342 http://support.microsoft.com/default.aspx?scid=kb;en-us;325034 gruss, gr@mlin Zitieren Link zu diesem Kommentar
Obelix1981 10 Geschrieben 14. Mai 2004 Autor Melden Teilen Geschrieben 14. Mai 2004 Super!!! :D Dank an gr@mlin!!! Jetzt funktioniert endlich die L2TP/IPSec Verbindung!!! Bleibt noch ein kleines Problemchen: Ich muss der erstellten VPN Verbindung explizit sagen, dass sie L2TP/IPSec verwenden soll. Wenn die Verbindungsart auf Automatisch steht wird stets PPTP verwendet. Gibt es da nicht eine Möglichkeit zu sagen, dass L2TP/IPSec ausprobiert werden soll und wenn der Client aufgrund eines fehlenden oder falschen Zertifikats keine L2TP/IPSec Verbindung aufbauen kann, dann soll der Server halt die PPTP Verbindung akzeptieren (z.B. um dann ein Zertifikat manuell im Browser zu beantragen)??? Bitte um Hilfe !!! Nochmal ein Dank an gr@mlin !!! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 Normalerweise ist es genau so. Es wird zuerst versucht, die "bessere" Methode auszuhandeln, also L2TP, wenn das nicht geht, wird PPTP genommen. Am VPN-Client kann man in den Eigenschaften dort unter Netzwerk statt Automatisch auch die gewünschte Methode fest einstellen. BTW: ein Zertifikat und Preshared Key sind zweierlei völlig unterschiedliche Dinge! ;) grizzly999 Zitieren Link zu diesem Kommentar
Obelix1981 10 Geschrieben 15. Mai 2004 Autor Melden Teilen Geschrieben 15. Mai 2004 Hi, vielen Dank für den Tipp und für die Verbesserung zwecks "Preshared Key". Das Problem ist nur, dass die Verbindung, wenn die auf automatische Auswahl des Protokolls steht, immer das PPTP nimmt. Wenn es auf L2TP/IPSec steht, dann funktioniert das auch. Kann man das irgendwie von Server- oder Clientseite unterbinden? z.B. mit den IPSec Richtlinien??? :wink2: Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 Am Client unterbinden: wie beschrieben. Am Server unterbinden: in den Ports des RRAS ihm die PPTP-Ports wegnehmen :) grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.