Jump to content

VPN mit L2TP + IPSec + Zertifikat??

Scherbe

Von Scherbe
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Scherbe Fellow

Scherbe   10

Geschrieben
Geschrieben

Hi,

 

ich habe folgendes Problem.

 

Wenn ich vom Client eine VPN-Verbindung zu meinem Server aufbauen will sagt er beim aufrufen der Netzwerkverbindung: "Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann."

 

Ich habe einen Windows 2003 Enterprise Server installiert, dort Routing und RAS installiert und einen Zertifizierungsserver.

Routing und Ras ist bei mir so eingestellt, dass keine PPTP-Verbindungen zugelassen werden, nur L2TP.

 

Der Zertifizierungsserver stellt vernünftig Zertifikate aus und ich habe mir mit dem Client eines erstellen lassen und auch installiert (SnapIn "Zertifikate" -> Eigene Zertifikate). Den Zertifizierungsserver habe ich auch dem Client zugefügt (d.h. im SnapIn "Zertifikate" unter "Vertrauendwürdige Stammzertifizierungsstellen" ist er jetzt vorhanden")...

 

Dann habe ich nach der Anleitung hier -> LINK

meinen Server (Punkt 6) (Standalone CA) und auch den Client (Punkt 9-12) entsprechend eingerichtet aber trotzdem bekomme ich die oben genannte Meldung.

 

Lt. der Seite hier -> LINK soll ich kein Preshared Key benutzen, weil der diverse Sicherheitsmankos aufweist. Zudem hab ich Probleme gehabt, den Preshared Key (welchen ich kurzfristig auch eingerichtet hatte) auf einem Windows 2000-System einzugeben, d.h. konnte mir dem Win2000 nicht eine L2TP + IPSec + PresharedKey-verbindung aufbauen.

 

Ansonsten habe ich hier ja den Thread -> LINK gefunden, der mir aber leider nicht weiterhilft, weil dort wieder der Preshared Key von IvkovicD vorgeschlagen wird... kann (und will) ich ja nicht nutzen.

 

Hat jemand ne Idee, wie ich meinem Client doch beibiegen kann das Zertifikat, was für ihn ausgestellt wurde als gültig zu akzeptieren?

 

[EDIT]

Ich hatte mir für den Client ein "IPSec-Zertifikat" ausstellen lassen, was ja mit der o.g. Fehlermeldung quittiert wurde.

Nun habe ich mir mal ein "Clientauthentifizierungs-Zertifikat" ausstellen lassen. Nun bekomme ich bei der Auswahl von "Verbinden" meiner VPN-Verbindung wenigstens die Auswahl, welches Zertifikat ich verwenden möchte. Dort ist allerdings nur mein neues "Clientauthentifizierungs-Zertifikat" in der Liste. Wenn ich dieses auswähle und verbinden möchte, erhalte ich diese Fehlermeldung: "Fehler 786: Der L2TP-Verbindungsversuch ist fehlgeschlagen, da auf dem Computer kein gültiges Zertifikat für die Sicherheitsauthentifizierung vorhanden ist."

[/EDIT]

 

MfG Scherbe

Link zu diesem Kommentar
Scherbe Fellow

Scherbe   10

Geschrieben
  • Autor
Geschrieben

Thread ist hinfällig...

 

Wie ich durch paar Recherchen im Netz feststellen musste, habe ich diverse Punkte der Anleitung mißverstanden. Das IPSec-Zertifikat wird ausschließlich zur Verschlüsselung des Tunnels verwendet. Die Benutzerauthentifizierung (einziger Grund, warum dort in der Anleitung EAP (Extensible Authentication Protokoll) verwendet wurde) ist bei meinem Testaufbau nicht möglich, da ich einen Alleinstehenden Zertifizierungsserver verwende und nicht nur PCs aus der Domäne, sondern VPN auch für Rechner möglich sein soll, die nicht in der Domäne sind.

 

Ob mein VPN nun wirklich den Tunnel mit dem Zertifikat verschlüsselt kann ich nicht feststellen... eingestellt habe ich es jedenfalls.

 

Frage:

Was mich noch etwas irritiert ist, wenn ich am Server das IPSec-Zertifikat des Clients für ungültig erkläre, darf mein Client immernoch sich per VPN verbinden. Wenn ich das Zertifikat am Client lösche, dann geht es nicht (was ich eigentlich auch bei der Serverseitigen "Ungültig"-Erklärung erwartet hätte)!

Jemand ne Idee/Erklärung?

 

MfG Scherbe

Link zu diesem Kommentar
  • 1 Monat später...
Mahlzahn Rookie

Mahlzahn   10

Geschrieben
Geschrieben

Hallo Scherbe!

 

Die beiden Beiträge von Dir hätte ich grade genauso schreiben können. Hast du inzwischen eine Lösung für die angesprochenen Punkte gefunden?

 

...und nicht nur PCs aus der Domäne, sondern VPN auch für Rechner möglich sein soll, die nicht in der Domäne sind.

 

So wie ich das verstehe, müssen nicht die Rechner Domänenmitglieder sein, sondern der jeweilige Benutzer muss ein Benutzerkonto in der Domäne haben. Dies ist ja zu bewerkstelligen.

 

Wäre toll, wenn du kurz schreiben könntest, wie du die Probleme gelöst hast.

 

Grüße,

Mahlzahn

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...