grizzly999 11 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 .. dann mit L2TP und MSChap-V2, danach erst mit Benutzerzertifikaten für EAP ;) grizzly999 Zitieren Link zu diesem Kommentar
hubivo 10 Geschrieben 30. März 2006 Autor Melden Teilen Geschrieben 30. März 2006 Im Moment funktioniert es mit L2TP, MSChap-V2 und einem Preshared Key für IPSec. Jetzt möchte ich die Authentifizierung mit Zertifikaten machen. Ok Benutzer-Zertifikate, das ist bestimmt schon der Wink mit dem Zaunspfahl :) . Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 Winke Winke :D EAP ist ein Authentifizierungsverfahren für die Benutzerauthentifizierung. Die Computerzertifikate dienen nur zur Authentifizierung der Computer beim Tunnelaufbau mit IPSec, denn IPSec verlangt eine gegenseitige Computerauthentifizierung. Die ist von der Benutzerauthentifizierung unabhängig. Wenn du die CA so wie´im HowTo beschrieben aufgebaut hast, als eigenständige CA, dann mit dem Browser drauf und ein Zertifikat vom Typ Benutzer anfordern. Das von mir dort beschriebene Häkchen "Im lokalen Speicher" sichern darf dann aber nicht gesetzt werden. grizzly999 Zitieren Link zu diesem Kommentar
hubivo 10 Geschrieben 30. März 2006 Autor Melden Teilen Geschrieben 30. März 2006 Ich muss es jetzt erstmal bei der aktuell funktionierenden Konfiguration mit L2TP, MSChap-V2 und einem Preshared Key für IPSec (alles komplett ohne Zertifikate) belassen. Hatte schon probiert, den Preshared Key wegzulassen, aber dann braucht er ein Zertifikat. Mir fehlt gerade die Zeit etwas...leider. Alles sehr interessant und herausfordernd. Nur noch eine kurze Frage: Die externen VPN-Clients hängen meist hinter einem DSL-Router, der NAT macht. Müssen da auch noch die Ports UDP 500, 4500 und IP-Protokoll 50 an die Computer-IP`s weitergeleitet werden ? Hatte bisher nur über eine ISDN-Verbindung testen können. Und nochmal ein DICKES Dankeschön für die bisherige Hilfe ! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 Nein, diese Clients initiieren die Verbindung, sie horchen nicht. Ein Firewall/NAT-Router, der diese Clients vom Internet trennt , muss Outbound diese Ports erlauben, bei manchen Routern muss man noch ein VPN-Passthrough oder ähnlich konfigurieren ... Zitieren Link zu diesem Kommentar
hubivo 10 Geschrieben 31. März 2006 Autor Melden Teilen Geschrieben 31. März 2006 So, hab das gestern mal über einen DSL-Router der NAT macht probiert (Draytek Vigor 2500WE). Ich kann mich am RAS-Server anmelden, die Verbindung steht, das DNS funzt auch. Ich kann mir Laufwerke aus dem Firmennetz mappen. Aber ich kann bspw. nichts kopieren, der Vorgang bricht nach einigen Sekunden ab mit der Meldung, dass das Laufwerk nichtmehr erreichbar wäre (es ist aber noch da). Anfänglich lässt sich auch einwandfrei in dem gemappten Laufwerk browsen, was beim zweiten mal dann ewig dauert, bis etwas angezeigt wird. VNC -> ich hab versucht per VNC auf meinen Arbeits-PC in der Firma zuzugreifen, er fragt das Passwort ab und verbindet, aber der Bildschirm bleibt schwarz ?! (die aktuellste Version von RealVNC 4.1.1). Remote-Desktop -> Beim Verbindungsversuch über mstsc kommt erst garkeine Verbindung zustande, es bleibt einfach stehen, bis ich es dann abbreche. Ich kann aber die ganze Zeit munter im Firmennetz umherpingen, sprich die Verbindung steht eigentlich. Wo könnte ich etwas vergessen haben ? Ich hoffe, ich nerv euch nicht mit dem ganzen gefrage.... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 31. März 2006 Melden Teilen Geschrieben 31. März 2006 Hört sich nach fehlerhafter MTU-Size an ... Lade Dir mal DRTCP und verkleinere die MTU des Clients ... Zitieren Link zu diesem Kommentar
hubivo 10 Geschrieben 4. April 2006 Autor Melden Teilen Geschrieben 4. April 2006 Jawohl, die MTU war`s. Ich habe mit Dr.TCP die MTU auf 1000 heruntergesetzt und seit dem läuft es ganz prima. Sobald ich wieder etwas Zeit habe, versuche ich die Authentifikation mit EAP und Zertifikaten einzurichten. Hab schon zwei Versuche gemacht, funzte bis jetzt aber noch nicht. Ich meld mit Sicherheit wieder :D . Vielen Dank an alle Unterstützenden nochmal !!!! best regards hubivo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.