2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten

[ebracko]

Hallo,

ich habe versucht, in einer Testumgebung mit zwei W2k3 Servern gemäß den Anleitungen von MS (Microsoft Corporation) ein Site-to-Site VPN einzurichten.

Die Server besitzen 2 NICs für LAN und Internet und sind als Domänencontroller einer jeweils eigenen Domäne (= zwei voneinander unabhängige Domänen) mit entsprechenden Enterprise-Root-CAs eingerichtet. RRAS wurde konfiguriert für RAS, NAT und Routing (LAN & Dial-on-demand), statische IP-Adresspools sowie Authentifizierung EAP wurden konfiguriert und RAS-Richtlinien wurden konfiguriert.
Alle benötigten Zertifikate wurden gemäß der Anleitung erstellt und eingespielt. (automatisch zugeteilte Domanencontrollerzertifikate, Root-Zertifikate, angepasste Router-Zertifikate)
Die Dial-on-demand Schnittstellen wurden konfiguriert und eingerichtet, die Zertifikate an die Benutzerkonten der Schnittstellen gemappt.
NAT-Schnittstellen wurden eingerichtet (extern & intern), allerdings zum Testen erstmal ohne Firewall.

Kurz gesagt, ich bin ziemlich genau nach der Anleitung vorgegangen.

Bei dem Versuch, eine Verbindung zwischen dein Dial-on-demand Schnittstellen herzustellen, bekomme ich folgende Fehlermeldung:
"Die Verbindung mit der Schnittstelle wurde getrennt."
"Der folgende Fehler ist aufgetreten: Die Schnittstelleninformationen wurden nicht festgelegt."

Merkwürdig ist folgendes: Ich habe die Authentifizierung testhalber von Zertifikaten (EAP) auf MS-CHAP-V2 umgestellt (Schnittstellen, RAS-Richtlinien, Servereigenschaften). Nun konnte ich die Verbindung ohne Fehlermeldung problemlos herstellen.

Ich habe testhalber auf beiden Servern jeweils eine RAS-VPN-Verbindung nach den Vorgaben der Dial-on-demand Schnittstellen konfiguriert (jetzt wieder mit Authentifizierung per Zertifikat, auch mit Verifizierrung des Serverzertifikats) und zum Verbinden das jeweilige Zertifikat für die Dial-on-demand Schnittstelle verwendet. Auch hier konnte ich problemlos eine Verbindung herstellen und die Dial-on-demand Schnittstelle des gerufenen Servers zeigte "Verbindung hergestellt" an.

Kann mir jemand bitte dabei helfen, herauszufinden, warum die Verbindung zwischen den Diel-on-demand Schnittstellen mit der obigen Fehlermeldung abbricht?
Vielen Dank schon im Voraus!

[ebracko]

Hallo,

ich habe noch etwas herausgefunden. Das Problem tritt nur auf, wenn ich versuche, über die Netzwerkschnitstellen im RRAS die Verbindung aufzubauen.

Verwende ich für die Dial-on-demand Schnittstelle die RAS-Wählfunktion via router.pbk (c:\windows\system32\ras, enthält die Konfiguration für die Dial-on-demand Schnittstellen), lässt sich die Verbindung problemlos aufbauen.

Das Problem scheint direkt mit dem Initiieren der Verbindung der Dial-on-demand Schnittstellen zusammenzuhängen - allerdings nur, wenn zum Authentifizieren EAP mit Zertifikaten verwendet werden. Das trifft übrigens auch bei PPTP-Verbindungen zu.