IPSec Verbindung LAN

[Cyco 10]

Hallo!

 

Wer kennt sich mit IPSec gut aus??

 

Möchte gern im LAN den Netzwerkverkehr über IPSec schützen. Bekomme aber immer wieder Probs beim Aushandeln der Sicherheitszuordnungen zuwischen Client und DC.

Ist erstmal alles nur testweise. Habe jeweils auf der OU der Clients die IPSec Richtlinie CLIENT (nur Antwort) und auf der DC OU SICHERER SERVER (Sicherheit erforderlich). Bis dahin funktioniert auch alles, solange ich den Client nicht neu starte.

Nach dem Neustart bekomme ich der Ereignisanzeige vom Client immer die Meldungen das kein DC & kein Timeserver gefunden wird. Die Kommunikation geht aber trotzdem noch, weil der Client ja von der lokal zwischengesp. Richtlinie lebt.

Aber das nützt mir ja nichts, wenn ich keine GPO's mehr vom Server bekomme. Wo liegt der Fehler?? Habe auch schon per Filter den DNS Verkehr Port 53 auf zulassen gestellt. Hat nicht geholfen.

Und woher weiß ich überhaupt, welcher Netzerkverkehr welches Protokoll benutzt?

 

thx

[grizzly999 11]

Wie machst du die Clientauthentifizierung des IPSEC? Kerberos, Zertifikat oder gemeinsamer Schlüssel?

 

grizzly999

[Cyco 10]

Verwende ganz normal Kerberos. Habe es aber auch schon mit Zertifikaten probiert. Immer der selbe Fehler. Wenn ich das ganz ohne Domäne und mit einem gemeinsamen Schlüssel mache, geht alles, aber in der Domäne über GPO's wills einfach nicht.

 

gruß Cyco

[grizzly999 11]

Hatte ich erwartet. Richtlinie "Sicherer Server" auf DCs ist immer etwas kritisch, ausser mit Zertifikaten (da muss was falsch gelaufen sein) oder gemeinsamen Schlüssel. Mit Kerberos gibt es logischerweise Probleme, denn der Client braucht zuerst ein Kerberos Ticket, dazu muss er sich an einen Kerberos Server (DC) wenden. Der unterhält sich laut Richtlinie aber nur verschlüsselt mit Clients, will dazu erst mal das Kerberos Ticket sehen. Ein Ticket gibt es aber nur nach Kommunikation mit dem Kerberos Server, der will aber nur verschlüsselt, usw. usw.

 

Entweder man macht in der IPSec Richtlinie die relevanten Ports für Nichtverschlüsselten Verkehr auf (Kerberos, LDAP, DNS etc), artet wahrscheinlich in ein Gepfrimel aus, oder das finde ich den besseren Ansatz, man überlegt sich, ob man überhaupt unbedingt die Richtlinie Sicherer Server auf den DCs benötigt.

 

Allerdings sollte es mit IPSec-zertifikaten und einem Zertifikationsdienst funktionieren.

 

 

grizzly999

[Cyco 10]

Hi !

 

Habe das ganze mal ohne Domäne und mit Zerts durchgeführt.

Will aber irgendwie auch nicht klappen.

 

Meine Arbeitsschritte:

Habe eine eigene PKI (Eigenständige) aufgesetzt. Dann habe ich das Stammstellenzert am zweiten PC in den Zertspeicher Vertrauenswürdiger Stammzertstellen installiert. Bis hier sollte eigendlich alles OK sein.

Jetzt habe ich noch jeweils ein IPSec Zert für jeden Rechner angefordert und installiert. Zerts sind jeweils im Zertspeicher unter Benutzerzerts..

 

Wie aber verwende ich jetzt diese Zerts für die IPSec Authentifikation? Wenn ich jetzt als Authentifizierungstyp auf Zertifikate gehe, kann ich doch nur das Stammzert als Zert angeben und nicht die angeforderten IPSec Zerts.

Dann habe ich mal probeweise die angeforderten IPSec Zerts in den Speicher Vertrauenswürdiger Stammzertstellen kopiert bei jeden PC kopiert und dann konnte ich auch diese Zert in den IPSec Richtlinien angeben, aber eine Verbindung zwischen beide, habe ich damit auch nicht hinbekommen.

Wo liegt der Fehler???

 

thx

[grizzly999 11]

Die IP-Sec Zerts dürfen nicht auf den Benutzer lauten, sondern müssen auf den Computer lauten und sich demnach auch im Zertifikatsspeicher des Computers befinden. Da ist was falsch gelaufen. Such mal in den Whitepapers hier, da ist glaub ich was drin, was die weiterhilft: http://www.microsoft.com/windows2000/techinfo/howitworks/

 

grizzly999