Evolution100 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hi zusammen, ich hab einen Windows 2003 Server, bei dem ich VPN eingerichtet hab und mich auch über Kennwort einwählen kann. Nun möchte ich aber das ganze noch absichern und mit einem Zertifikat hinterlegen. Leider funktioniert das nicht... Kann mir da jemand helfen? mit der Anleitung von http://www.qitcon.com/ komm ich leider auch nicht weiter.. Danke schonmal Evo Zitieren Link zu diesem Kommentar
hubivo 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hier ist auch noch eine Seite, bei der das beschrieben wird: Gruppenrichtlinien.de best regards hubivo Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hm, ich hatte das mal Schritt für Schritt nach Grizzlys Anleitung gemacht, da gab es keine Probleme ... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hi zusammen, ich hab einen Windows 2003 Server, bei dem ich VPN eingerichtet hab und mich auch über Kennwort einwählen kann. Nun möchte ich aber das ganze noch absichern und mit einem Zertifikat hinterlegen. Leider funktioniert das nicht... Kann mir da jemand helfen? mit der Anleitung von http://www.qitcon.com/ komm ich leider auch nicht weiter.. Danke schonmal Evo @Evolution1000: Was meinst du mit "Zertifikat hinterlegen"? Ein Benutzerzertifikat? Dafür ist das HowTo nicht geschrieben. Das ist etwas aufwendiger zu erklären, aber erkläre doch zuerst was du genau möchtest bzw. wo das Problem liegt, dann kann dir geholfen werden ;) @hubivo: wenn du nicht genau DAS Problem von Evolution1000 hast, und davon gehe ich aus, dann mache einen Thread auf und erkläre dein Problem. A) keine Overtakes, so sehen das schon aus gutem Grunde die Boardregeln vor B) Mit dieser deiner "Fehlerbeschreibung" gibt's sowieso kein Hilfe grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Ähm , ja , stimmt, die Beschreibung bezieht sich auf ein Computerzertifikat, mit dem ein IPSEC-Tunnel authentifiziert wird ... Zitieren Link zu diesem Kommentar
Evolution100 10 Geschrieben 6. April 2006 Autor Melden Teilen Geschrieben 6. April 2006 Hallo zusammen, jetzt sitz ich vor den Kisten und hab alles nochmal durchgespielt. Zertifikate sind drinnen ich hatte vorher schonmal eine Zertifizierungsstelle eingerichtet, diese hab ich deinstalliert und nochmal von vorne alles durchgespielt. der Ras war aber noch installiert. ich hab dann nachträglich unter sicherheit des ras servers auf EAP umgestellt und MS CHAP 2 deaktiviert, in der Richtlinie hab ich ebenfalls unter Authent. => profile bear. EAP den punkt smartcard oder zertif. hinzugefügt. wenn ich nun einen client einrichte, muss ich doch als verbindung sicherheit auch auf EAP umstellen oder? und was muss da aktiv sein? - zertif. auf diesem comp verwenden --einfach. zertauswahl verw (empf) -serverzert überprüfen - vertrauenswürdi stammzert meines ausgewählt Fehler 798 es konnte kein zert. gefunden werden das mit dem eap verwendet werden kann Was mach ich denn da falsch? Gruß Evo Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hi @ all @ Evolution100 Hallo erstmal ... Ich glaube da fehlen noch ein paar ansätze die du mal genauer erläutern solltest ... bevor man da eine konkrete Aussage machen kann ... Was willst du denn machen ? VPN oder RAS Lokal anmelden oder per vpn wenn vpn hast du die sitzung mal ohne "sicherheit" hinbekommen? Woher holst du dir das Zertifikat? Für Wen ist das Zertifikat? Bitte mal genau beschreiben was du tun möchtest mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Evolution100 10 Geschrieben 6. April 2006 Autor Melden Teilen Geschrieben 6. April 2006 Hallo Holgi, ich möchte mich von unterwegs aus, per vpn in die domäne (firmennetz) einloggen. Die möchte ich direkt über "über dfü einloggen" vornehmen (um auch netzlaufwerke usw. direkt zu bekommen) Das ganze geht auch schon über ms chap2 zertifikat hab ich auf dem client (welcher dabei in der domäne war) vom server abgeholt (genau wie auf der seite http://www.qitcon.com/ beschrieben) ich hoffe das ist alles (hab von vpn noch wenig ahnung..) Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Du hast also ein IPSEC-Zertifikat und möchtest zusätzlich noch die L2TP-Verbindung mit einem Benutzerzertifikat authentifizieren lassen und das alles schon bei der Anmeldung ? Das mit dem IPSEC-Zertifikat ist ja kein Problem, aktivierst Du aber EAP, benötigst Du auch ein Benutzerzertifikat, welches (meiner Meinung nach) zum Zeitpunkt der Anmeldung nicht lesbar ist. Wenn Du angemault wirst, dass EAP kein Zertifikat finden kann, dann hast Du kein Benutzerzertifikat ... Grizzly ist in solchen speziellen Fällen aber eher der Ansprechpartner, vielleicht weiss er ja noch was ... Zitieren Link zu diesem Kommentar
Evolution100 10 Geschrieben 6. April 2006 Autor Melden Teilen Geschrieben 6. April 2006 ich schaffs ja leider nichmal mich nur mit ipsec einzuloggen... (bzw. wie weiss ich denn dass ich mit ipsec verbnden bin? weder beim anmelden, noch dann wenn ich angemeldet bin Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Also, du hast die Computerzertifikate nach Anleitnug installiert? Du wählst auf dem RAS-Server im Profil der RAS-Richtlinie MS-CHAP V2 als authentifizeirungsmethode aus. Auf dem Client in den Eigenschaften der VPN Verbindung auch, dort unter SIcherheit (wäre allerdings sowieso Standard, bräuchte man also nicht zu tun). Dann sollte die Einwahl auf jeden Fall klappen. EAP kann man dann noch oben drauf setzen. grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Also funktioiert EAP doch schon bei der Anmeldung ? Ich bekomme immer die Fehlermeldung (sinngemäss), dass dieser Typ nicht zulässig ist ... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Wie "Bei der Anmeldung"? grizzly999 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 "Über das DFÜ-Netzwerk anmelden" , bei der interaktiven Anmeldung. Hab mir mal so eine Verbindung erstellt, die auch funktioniert, wenn ich angemeldet bin und mich dann mit dem VPN-Server verbinde. Versuche ich es schon während der interaktiven Anmeldung, bekomme ich obige Meldung ... edit: Ich hab es noch mal nachgebaut, hab eine Unternehmens-CA konfiguriert und will mich mit L2TP/IPSEC mit Zertifikaten verbinden. Die Verbindung funktioniert, wenn ich sie nach der Anmeldung des Users mit dem Benutzerzertifikat herstelle. Wenn ich sie bei der interaktiven Anmeldung herstellen möchte, bekomme ich folgenden Fehler: "Der Dialog kann nicht geladen werden Fehler 785: Sie können während der Anmeldung nicht über diese Verbindung wählen, da diese nicht für Smartcards konfiguriert ist. Sie müssen die Verbindungseigenschaften entsprechend ändern, falls Sie die Verbindung während der Anmeldung verwenden möchten." Das funktioniert nur mit Smartcards, weil das Zertifikat auf der Karte ist und nicht im Zertifikatspeicher des Benutzers ?! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Genau, er kann ja auf den Zertifikatsspeicher des Benutzers nicht zugreifen, wenn dieser noch nicht authentifiziert ist . Ausnahme: EAP-TLS mit 802.1x bei WLAN mit RADIUS, da meldet er den User wohl mit den cached credentials an, um das Zertifikat rauszuholen. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.