Jump to content

VPN mit L2TP und EAP - Fehler 798

Dr.Verpeilung
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Dr.Verpeilung Rising Star

Dr.Verpeilung   10

Geschrieben
Geschrieben

Guten Morgen Zusammen,

 

ich bin gerade dabei ein VPN einzurichten welches L2TP und für die Authentifizierung EAP verwendet. Also Authentifizierung am VPN-Server mit Zertifikaten.

 

Dazu habe ich eine Eigenständige Stammzertifizierungsstelle eingerichtet und IPSEC Zertifikate auf Server und Clients, sowie das eigentliche Stammzertifizierungsstellen-Zertifikat installiert. Die Verbindung zum VPN-Server über L2TP funktioniert auch einwandfrei! Momentan bereitet mir nur die Authentifizierung über EAP einige Sorgen. Dazu habe ich für den Client bei der selben Stammzertifizierungsstelle ein "Clientauthentifizierungszertifikat" angefordert. Nachdem ich das Zertifikat ausgestellt und installiert habe und die Authentifizierung in der VPN-Verbindung auf EAP umgestellt hab, bekomme ich diesen Fehler:

 

Der Dialog konnte nicht geladen werden.

Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit Extensible Authentication Protokoll verwendet werden kann.

 

Hat einer ne Idee was ich da falsch gemacht habe?

Link zu diesem Kommentar
Dr.Verpeilung Rising Star

Dr.Verpeilung   10

Geschrieben
  • Autor
Geschrieben

Soooo, den Fehler 798 hab ich gelöst. Ich hab bei der Zertifikatanforderung versehentlich den Haken bei "Zertifikat in lokalem Zertifikatspeicher aufbewahren" gesetzt. Wenn ich den weglasse und das Zertifikat kann ich dieses zur Authentifizierung auswählen.

 

Doch leider bekomme ich jetzt den Fehler 691: Benutzername oder Kennwort falsch...

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Zu 1)

Am besten mit Certutil: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q295663

 

Zu 2) CRL= Certificate Revocation List=Zertifikatssperrliste

Die Liste der gesperrten Zertifikate, die eine CA veröffentlicht.

 

CDP=CRL Distribution Point=Zugriff auf Sperrlisten Informationen. Der Pfad steht im Zertifkat, meist als HTTP-URL

 

Ich empfehle aber einige Grundlagenbildung. L2TP/IPSec mit Zertifkaten, EAP mit Smartcard oder Zertifikaten, klingt alles easy, aber man sollte doch grundsätzliches Know How haben. Bei Microsoft finden sich viele Papers dazu, und von Brian Komar gibt es ein gutes Buch (auch auf deutsch) ;)

 

grizzly999

Link zu diesem Kommentar
Dr.Verpeilung Rising Star

Dr.Verpeilung   10

Geschrieben
  • Autor
Geschrieben

Hier die Ereignisse:

 

------------------------------------------------------------------------------------------------------

 

 

Ereignistyp: Fehler

Ereignisquelle: RemoteAccess

Ereigniskategorie: Keine

Ereigniskennung: 20168

Datum: 28.04.2006

Zeit: 11:33:42

Benutzer: Nicht zutreffend

Computer: VPN-SERVER

Beschreibung:

Das Zertifikat des RAS-Servers konnte aufgrund des folgenden Fehlers nicht abgerufen werden: Das Objekt oder die Eigenschaft wurde nicht gefunden.

 

 

Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

Daten:

0000: 04 20 09 80 . .?

 

------------------------------------------------------------------------------------------------------

 

Ereignistyp: Warnung

Ereignisquelle: RemoteAccess

Ereigniskategorie: Keine

Ereigniskennung: 20014

Datum: 28.04.2006

Zeit: 11:45:26

Benutzer: Nicht zutreffend

Computer: VPN-SERVER

Beschreibung:

Der Benutzer "benname" hat eine Verbindung mit Port VPN4-127 hergestellt, aber die Authentifizierung ist fehlgeschlagen. Die Verbindung wurde daraufhin getrennt.

 

Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

 

Könnte sein, daß ich noch ein Zertifikat für den RAS-Server installierne muss? Und wenn ja, welches bzw. von welchem Typ?

Link zu diesem Kommentar
Dr.Verpeilung Rising Star

Dr.Verpeilung   10

Geschrieben
  • Autor
Geschrieben
Wenn du L2TP/IPSec machen willst (und sagstest doch, das funktioniert bereits :confused: ), dann braucht der VPN/RAS-Serverf natürlich auch ein Computerzertifikat.

 

 

grizzly999

 

Ja, ein Computerzertifikat hat er ja auch... Allerdings vom Typ IPSEC.

 

Ich habe dem VPN-Server jetzt ein Zertifikat vom Typ "Serverauthentifizierung" erstellt und dieses in den lokalen Zertifkatsspeicher des Computers importiert. Daraufhin bekommen ich eine neue Meldung bei der Authentifizierung und im Event.Manager von Windows:

 

Ereignistyp: Warnung

Ereignisquelle: RemoteAccess

Ereigniskategorie: Keine

Ereigniskennung: 20189

Datum: 28.04.2006

Zeit: 11:53:48

Benutzer: Nicht zutreffend

Computer: VPN-Server

Beschreibung:

Der Benutzer "benname", der eine Verbindung mit 172.16.160.109 hergestellt hat, hat sich aus folgendem Grund nicht authentifiziert: Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht fr vertrauenswrdig gehalten.

 

Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...