-Silicon-

Danke Lander mal probieren :) @grizzly999 dich such ich eigendlich nur darf ich keine PN oder Mail an dich schreiben habe dafür zu wenig Beträge. Du kennst dich mit dem Thema gut aus :) Ich will ein VPN mit IPsec + Benutzerauthentifizierung per Zertifikat realisieren. Also muß ich soweit ich ich das verstanden habe erstmal ein Benutzerzertifikat und dann noch ein IPsec Zertifikat erstellen und dann noch an die richtige Stelle in der MMC eintragen und hoffen das es klappt :)

Hallo ähm wo steht den in der mmc Benutzer wo das Zertifikat hinsoll ? Bei mir steht es unter lokale Computer... Eigene Zertifikate und dort steht das Zertifikat mit meinen Namen drin. :suspect:

Zum Thema EAP Benutzerzertifikate. Wie erstellt man diese unter win 2000 und noch wichtiger wie benutzt ich sie. Ich habe versucht über die Zertifizierungstelle ein Benutzterzertifikat zu erstellen, aber es funktioniert nicht. Sobald ich EAP wähle und die VPN Verbindung starten will kommt die Meldung das ich kein EAP Zertifikat habe. Ich bin wie folgt vorgegangen. Im Browser die Zertifizierungstelle aufgerufen. - Zertifikat anfordern ausgewählt ....weiter - bei Anforderungstyp den Punkt: erweiterte Anforderungen gewählt. - bei den erweiterten Zertifikatanforderungen: Zertifikatsanforderungsformular an diese Zertifizierungstelle senden gewählt. -Zertifikatsforlage : Benutzer Alles auf Standart gelassen nur bei Schlüsselgröße 1024 eingetragen. Neuen Schlüsselsatz erstellen und lokalen Speicherplatz verwenden. Zertifikat wird ausgestell und installiert. Diese steht nun in der mmc unter eigene Zertifikate mit meinem Namen. Jetzt müst ich diese Zertifikat doch bei der Einwahl also als EAP benutzten können. Ich trage bei der VPN Verbindung also EAP und den Punkt eigene Zertifikate verwenden angehackt doch leider kommt immer die Meldung das ich kein EAP Zertifikat besitze wenn ich mich einwählen will. Hm

1. Hm naja wenn es heißt bau ein VPN mit IPsec auf und es steht nirgends was davon, bin ich der Esel der Heu frisst in dem Fall ;). Wieso werden die Server und Clientauthentifizierungszertifikate nicht gebraucht ? Rockafella hat es auch so beschrieben. 2. VPN-Server (ISA) hängt per Standleitung im Internet und per zweiter Netzwerkarte im Lan. Client soll sich per Dsl oder ISDN von außen einwählen und Daten aus dem Lan abrufen können. 3.Ich habe in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk von Automatisch auf L2TP umgestellt. Aber dann kommt die Fehlermeldung: L2TP Verbindung fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschritten hat. Wenn ich PPTP nehme funktioniert es. Irgend eine Idee :suspect: Angedacht ist eigendlich das die Authentifizierung anhand von Zertifikaten geregelt werden. Also User 1 bekommt auf sein Rechner Zertifkat 1 und dieser darf sich dann über VPN einwählen und dort Daten anschauen. Wenn User 1 keine Berechtigung mehr haben darf soll einfach auf dem VPN-Server das Zertikat 1 gesperrt werden und gut ist. Tjo höhrt sich einfach an aber umsetzten ... bis jetzt kann sich jeder User einwählen der VPN Rechte besitzt.

Hi :) Also erreichen will ich das eine VPN-Verbindung von außen per Internet auf einen VPN-Sever aufgebaut wird welcher an einem Lan hängt. Um die Sicherheit hoch zu halten will ich IPsec mit Zertifikaten benutzten, damit sich jeder Client anmelden muß und nur Besitzer mit den richtigen Zertifikaten zutritt haben. Also fangen wir mal an. Zuerst habe ich eine Zertifizierungstelle auf dem VPN-Server installiert. Dann per Browser die Zertifizierungsstelle installiert und weitere Zertifikate angefordert. Also ein IPsec Zertifikat und ein Serverauthentifizierungszertifikat die lokal gespeichert wurden. Diese kann man in der mmc unter eigene Zertifikate und vertrauenswürde Stammzertifizierungsstellen finden. Das gleiche habe ich auf dem Client gemacht mit einem IPsec und einem Clientauthentifizierungszertifkat. Nun hab ich unter IP-Sicherheitsrichtlinien auf dem VPN-Server folgene Einstellungen vorgenommen. Ich weise die Richtlinie Sicherer Server erforderlich und aktiviere All ICMP-Verkehr und dort gebe ich als Authentifizierungsmethode die Zertifizierungsstelle an. Als Filter habe ich Sicherheit erforderlich gesetzt und dort unter bearbeiten, Sicherheit aushandeln und über Hinzufügen eine neue Sicherheitsmethode mit ESP und SHA1 sowie 3DES ausgewählt. Die gleiche Richtlinie erstelle ich auch auf dem Client. Auf dem VPN-Server läuft noch eine ISA-Firewall dort habe ich eingetragen das alle L2TP und PPTP Pakete mit ICMP durchgelassen werden. Nun erstelle ich auf dem Client mit dem Wizard eine VPN Verbindung, bei der ich die externe Server-IP eintrage. Unter Sicherheit geben ich Maximale Verschlüsselung an und aktiviere die Protokolle MS-CHAP und MS-CHAP V2. Es wird ein Benutzer gewählt welche VPN Rechte besitzt in der Domaine. Nun wird von dem Client eine Internetverbindung aufgebaut und ich starte die VPN-Verbindung welche auch aufgebaut wird. Ich kann auch auf dem VPN-Server zugreifen und Rechner aus dem Lan finde ich auch. Nur wird wie bereits gesagt wird keine Verbindung angezeigt unter ipsecmon und bei dem Status der VPN-Verbindung steht nichts von IPSEC oder 3DES nur Verschlüsselung:MPPE 128. Irgendwie wird kein IPsec und die Zertifikate benutzt benutzt denk ich. Aber wieso ???

Hallo meine Frage bezieht sich eigendlich auf diesen Artikel: http://www.mcseboard.de/showthread.php?s=&threadid=31873&highlight=Ipsec+mit+Zertifikate Ich habe alles nach dieser Anleitung gemacht und eine VPN- Verbindung aufgebaut. Aber irgendwie glaube ich nicht das IPsec aktiv ist. Wenn ich den ipcecmon aufmache wird dort keine Verbindung angezeigt und bei dem Status der VPN Verbindung steht unter anderem folgendes. Authentifizierung: MS-Chap V2 Verschlüsselung:MPPE 128 Komprimierung:MPPC Müste bei Verschlüsselung nicht was von Ipsec ....3DES oder so stehen. Vieleicht könnt sich grizzly999 hierzu äußern da er sich anscheind recht gut in dem anderen Artikel auskannte.