jeevan

Ich verwende den IAS als RADIUS an einem Active Directory. Leider ist das mit dem ADS noch etwas neu für mich und auch nicht meine Baustelle, daher hab ich auch keine Ahnung wo ich da sowas eintragen kann.

Mit den IP-Pools hab ich auch Probleme...

- Systemweit ist ein Pool A definiert (10.1.1.0/24)

- Gruppe A hat Pool B (10.180.1.0/24)

- Gruppe B hat Pool C (10.1.2.0/24)

Jetzt wird aber beim Login immer eine IP Addr aus Pool A zugewiesen, obwohl die Logs mir sagen, dass die Clients in der richtigen Gruppe gelanden sind....????

Ich weiß nicht ob mich das weiter bringt. Was ich möchte, ist verschieden Gruppen verschiedene Filter zu zuteilen. In der Doku steht, dass L2TP/IPSec Tunnel Gruppen nur weniger oder gleiche viele Rechte wie die BaseGroup haben können. Ich habe dann also zum Testen der BaseGroup alles erlaubt und den Untergruppen die Rechte nach meinen Wünschen beschnitten. Z.B.: Gruppe1 darf VNC und Guppe 2 nicht. geht aber nicht.

Hallo,

ich hab einen Concentrator 3030 welcher als VPN Gateway für WIN2003 Server dient. Tunnel Typ ist L2TP/IPSec mit Zertifikaten bzw. EAP/Radius. Funktioniert auch alles prima.

Meine Frage bezieht sich auf das Filtern auf dem Cisco.

Wenn ich L2TP (in und out) erlaube kommt alles durch, wenn die Regel fehlt, dann nichts mehr. Dies führte bei mir zu der Erkenntnis, dass also auf IPSec "Ebene" gefiltert wird. Wie kann ich nun sagen, was nun wirklich durch meinen L2TP/IPSec Tunnel kann/darf und was nicht??? :rolleyes: Jemand nen Tipp für mich?

jee

Stimmt.

Dann muss ich mich doch mal nach einer anderen Lösung umschauen...

Danke trotzdem.

Ich kenne es aus der IPSec Linux Welt, dass man eine Regel festlegen kann, die in etwa besagt, dass alle Verbindungen an ein gewisses Subnetz einen bestimmten Tunnel verwenden müssen. Der Tunnel wird dann automatisch aufgebaut.

Gibt's so eine Möglichkeit?

Ein Client soll sich bei einem Paket mit bestimmter IP Adresse zum VPN Server verbinden.

Ich hab einen L2TP/IPSec Server mit Zertifikaten am laufen.

Auf dem Client ist kein RAS installiert. Das sollte auch so bleiben, des Aufwands wegen...

Hallo,

gibt es unter Windows die Möglichkeit eine VPN Verbindung bei einem IP Paket mit einer

bestimmten IP Zieladresse automatisch aufzubauen?

Verwende hier Windows Server 2003 SP1.

Gruß,

Jeevan

Hallo,

ich habe einen RAS Server als VPN Gateway (Win Srv 2003) und binde die Clients mit L2TP/IPSec an.

Das funktioniert auch alles prima. Nur wenn ich mich nach einer bestehenden VErbindung trenne und etwas länger (ca. 30min) warte, bekomme ich bei dem nächsten Login-Versuch einen Timeout Fehler (792). Restarte ich den RAS aus der MMC funktionert alles wieder wie gehabt. Aber das kann es ja nicht sein!

Merkwürdig, wie ich finde. Evtl. hat jemand ja ne Idee für mich...

Jee

und siehe da, es funktioniert! ;)

Wenn ich dem LAN NIC jetzt noch eine zweite IP aus dem 192.168.3er Bereich gebe, müsste es doch auch mit der alten Range hinhauen, oder?

Was mich noch stört ist, dass die IP beim Starten von RAS gebunden werden, und somit dDNS logischerweise nicht funktioniert. Auch sind einige DHCP Optionen nicht dem RAS-Client nicht mitteilbar -> http://support.microsoft.com/?kbid=160699

Schade eingentlich.

Danke ITHome für die schnelle Hilfe!

Jeevan

Hi,

was meinst Du mit "interner Adresse"? Loopback oder LAN? Habe soeben mal alles auf die LAN Adresse konfiguriert, aber passiert nichts, außer Fehlermeldungen.

Die interne Adresse von RAS/DHCP ist die 192.168.2.1/24. Der Scope für die DHCP Clients ist 192.168.3.1 - 151, 24er Maske.

Ich hab zwei physikalische Interfaces. LAN und WAN. Ich habe bis jetzt folgendes getestet:

1. DHCP lauscht auf LAN und RRAS stellt darüber Anfragen an DNS und DHCP.

2. DHCP auf Loopback und RRAS darf sich die Schnittstelle selber aussuchen.

Den Relay Agent hab ich auch beide Interfaces bekannt gemacht, und die DHCP Server IPs entsprechend eingetragen. Im Event Viewer bekomme ich jedoch immer die Meldung, das RAS keinen DHCP Server ereichen konnte.

jeevan

Hallo,

ich habe folgendes Problem: Mein RRAS Server (L2TP/IPSec) hat bis jetzt die IP-Adr. der Remote-Clients statisch zugeordnet. Nun wollte ich auf DHCP umstellen, und habe dazu nen DHCP Server auf dem VPN Gate eingerichtet (was natürlich nicht optimal ist, aber zu Testzwecken ...). Nun kann der RRAS Dienst aber anscheinend nicht den DHCP Service ansprechen, denn die Tunnnelendpunkte bekommen eine APIPA Adresse zugewiesen bzw. brechen den Login mit einer Fehlermeldung ab...

Den Relay Agent habe ich die lokale IP des DHCP Servers mitgeteilt.

Sehr merkwürdig, wie ich finde. Ist das normal, oder "sollte" es eigentlich auch mit einem lokal DHCP funktionieren?

Grüße

Jeevan

Moin,

es kommt darauf an, was Du machen möchtest, bzw. wie auf den Storage (ob nun NAS oder DAS) zugegriffen werden soll.

Wenn es mehrere Clients sein sollen, die auf einen gemeinsamen Speicher zurück greifen, ist die Frage, wie sie das machen sollen. Wenn schon ein Server bereitsteht, ist die Frage, wie hoch seine Auslastung schon ist und was er kann (Filesysteme, RAID, CIFS, iSCSI, usw.).

Bevor hier ein FlameWar ausbricht, gibt lieber ein paar mehr Infos zu den Anforderungen :)

Grüße

Jeevan

Ich denke es lag an der Konfiguration des VPN Users im AD.

Aber sicher bin ich mir da auch nicht. Ich hatte das System neu aufgesetzt und alles wie gehabt aingerichtet. Und zwar in der Reihenfolge:

1. ADS

2. IIS

3. CA + certsrv

4. im ADS die OU VPN mit der Gruppe VPNUser mit einem User VPNUser1 angelegt.

5. User und Computer Cert für den Client unter dem Namen VPNUser1 erstellt.

6. RAS installiert und eine Einwahl Policy definiert:

- NAS-Typ = VPN

- Gruppe = VPNUser

- Tunnel-Typ = L2TP

Benutzerauth. mit EAP (Certification)

7. Einwahl auf dem Client konfiguriert.

fertig. Ich war etwas verwundert, als es dann ohne Probleme funktionierte, da ich vorher nur eine andere Reihenfolge hatte. Die Tücke liegt wohl im Detail.

Danke für die Tipps und hints.

Wenn jemand jetzt noch einen Hinweis hat, wie man erreichen kann, dass bei IP Paketen an ein gewisses Subnetz der Tunnel automatisch aufgebaut und nach einem Timeout wieder abgebaut wird, wäre ich (fast) wunschlos glücklich.

Gruß

Jeevan

erfolgreich gelöst. Konfigurationsfehler...

Also, ich möchte ein site-2-site Netz über das Internet aufbauen. Der "Dialer" hat eine dynamische IP, das "Master" eine feste.

Habe nun mal eine kleine Domäne eingerichtet.

Ich habe das mit L2TP/IPSec nun soweit, dass IKE nicht mehr meckert. Bei dem Aufbau der L2TP Verbindung bricht der Client mit Error-Code 691 (invalid user/password) ab. Nur ist der User in der Domäne eingerichtet. Dazu muss ich sagen, das der angemeldete Client-User (Dialer) nicht identisch dem Domänen User ist. Allerdings ist das Zertifikat korrekt auf den Domänen User ausgestellt und in seinem Namen wird auch die Verbindung aufgebaut.

Kann es sein, dass beim L2TP Aufbau der User wieder um.switched?

Gruß

jeevan

Vielen Dank für den Link.

Ist es dann möglich einen reinen IPSec Link zu realisieren und über IKE die Benutzerauthentifizierung laufen zu lassen?

Nach meiner Erkenntnis gibt es "nur" die Möglichkeit entweder einen PPTP oder L2TP/IPSec Tunnel in Windows zu implementieren. Oder liege ich da falsch?

Gruß

Jeevan

Hi,

leider kommt es ja nicht zum IPSec, da "L2TP" auf dem Client schon meckert, dass ihm für eap-tls ein Cert fehlt. Die IPSec Certs sind alle korrekt installiert.

Die Frage ist nun, ob ich einen ADS benötige um mit eap-tls zu arbeiten, oder ob das auch "harmloser" geht. (?)

Gruß

Jeevan

Hallo,

ich möchte ein Site-2-Site VPN aufbauen. Dabei soll L2TP/IPSec zum Einsatz kommen.

Da der Tunnel mit EAP-TLS und Zertifikaten aufgebaut werden soll, benötige ich Benutzer und Computer Zertifikate. Dafür habe ich eine Standalone CA eingerichtet, da kein ADS

im LAN existiert. Aber irgendwie funktioniert des (dot)net. "Kein passendes Zert. gefunden".

Hat jemand eine Idee wie ich das hinbekommen kann, oder einen netten Link für mich?

Habe schon gegoogelt, aber jedes HowTo geht von einem AD aus.

Danke

Jeevan