W2003SRV / L2TP / Zertifikat

[honkman16 10]

Hallo zusammen,

 

ich wollte mir gerade mit Hilfe der Anleitung auf Windows Server How-To Guides: Home - ServerHowTo.de ein VPN mittels L2TP einrichten (PPTP habe ich bereits, wollte das Ganze aber sicherer machen).

 

Mein Problem: Ich habe den Zertifikatdienst installier und dieser dürfte auch funktionieren. Allerdings kann ich nicht wie in der Anleitung beschrieben ein Zertifikat anfordern bzw. erstellen. Jedoch sieht bei mir die Eingabemaske gänzlich anders aus und habe ich auch nicht die Möglichkeit "IPsec Zertifikat" auszuwählen.

 

Eines ist mir jedoch aufgefallen: Als Wert bei "Schlüsselverwendung" ist Exchange vorausgewählt und kann nicht geändert werden (ist auch die einzige Option). Kann das damit zusammenhängen, dass ich Exchnage 2003 ebenfalls auf dem Server installiert habe?

 

Kann mir jemand weiterhelfen?

Besten Dank

[Hr_Rossi 10]

hi

 

probiers mal am client über den Zertifikats Snap-in, dort wählst du computerkonto,

dann gehts du auf zertifikate re. maustaste --> alle tasks -> zert. anfordern...

 

probier das mal...

 

wenn du bei der auth EAP nutzen willst musst du ein benutzerzert, anfordern für den jeweiligen benutzer !

 

lg

 

edit: du brauchst für ipsec nicht zwingend ein ipsec zert es genügt auch ein computerzert !

[honkman16 10]

danke erstmal.

 

ich bin jetzt so vorgegangen:

 

1) da stammzertifikat vom server habe ich am client abgespeichert und es in die liste der vertrauenswürdigen zert.stellen aufgenommen.

2) ich habe jeweils für den client und den server ein zertifikat erstellt. das server zertifikat habe ich am server, das client zertifikat habe ich am client erstellt. Beide für "IP-Sicherheits-IKE". Die beiden Client Zertifikate habe ich unter den "Eigenen Zertifikaten" abgelegt bzw. diese dorthin importiert. Ich finde jetzt also am Server unter den EZ das Server Zertifikat und am Client das Client Zertifikat.

3) PPTP habe ich deaktiviert.

4) Wenn ich nun versuche mich einzuwählen, sehe ich das Fenster mit der Einwahlnummer und nach Ablauf des Timeouts erscheint die Fehlermeldung das keine Verbindung aufgebaut werden konnte (Remotecomputer anwortet nicht). In den Ereignislogs kann ich aber sehen, dass die beiden eine Verbindung hatten und dann wieder abgebrochen haben.

 

Kann mir da jemand weiterhelfen?

Ist es auch möglich Benutzerzertifikate zu verwenden und jedem Benutzer der sich einwählen möchte ein Benutzerzertifikat zu geben? Wie wäre da vorzugehen?

 

Danke

[Hr_Rossi 10]

hi,

 

jetzt braüchte ich ein wenig mehr infos...

 

hast du eine domain ?

wie hast du die computerzertifikate insta. ?

 

was hast du für eine zertifizierungsstelle ?

 

ist der user einwahlberechtigt ?

 

lösch nochmal beide computerzertifikate und forder sie unter Alle TAsks --> Zert anfordern nochmals an !

Dei müssenautom. kommen !

 

lg

[honkman16 10]

ja, ich habe eine domain. active directory und der ganze schmus funktionieren aber.

 

die computerzertifikate habe ich installiert indem ich in der mmc / zertifikate modul auf importieren gegangen bin und die zertifikate unter "eigene zertifikate" abgelegt.

 

zertifizierungsstelle habe ich eine neue root erstellt mit dem zert.dienst von windows.

 

user ist einwahlberechtigt. pptp geht.

 

was meinst du mit "die müssen automat. kommen"? ich werde sie jetzt noch einmal löschen und neu importieren. zum verständnis: das client zertifikat muss auf den server und das vom server auf den client oder umgekehrt?

 

was mich stutzig macht ist, dass ich keine fehlermeldung betr. der zertifikate bekomme sondern die meldung "remotecomp. antowrtet nicht"

 

danke für deine hilfe

[Hr_Rossi 10]

zum verständnis: das client zertifikat muss auf den server und das vom server auf den client oder umgekehrt?

 

hi

 

das ist nicht so... sie müssen nur der selben CA vertrauen sprich deiner Domain CA

jeder client behält das computerzertifikat welches er angefordert hat...

 

der server braucht das IPSEC Zertifikat und das Computer Zertifikat welches für ihn ausgestellt wurde...

 

der client braucht das computerzertifikat welches für ihn ausgestellt wurde....

 

EAP:

wenn du mit EAP arbeiten möchtetst muss du ein Benutzer zertifikat beantragen mit dem user der dies nutzen soll,

dann musst du bei sicherheitsoptionen beim vpn-client unter sicherheit erweitert und dann bei anmeldesicherheit EAP wählen und dann zertifikat auf diesem computer verwenden drücken !

 

noch etwas machst du das im lan oder was für ein netz liegt zwischen client un server ?

 

lg

rossi

[honkman16 10]

zum üben momentan noch im lan. es ist dann aber natürlich für die verwendung über das wan gedacht. ich spreche den server monetan über seine interne ip an (einwahlnummer).

 

spiele mich noch ein wenig und gebe dann bescheid, ob es geklappt hat.

 

danke aber für die hilfe.

[Hr_Rossi 10]

nochwas,

 

du musst beim client und beim server unter snapin zertifikate --> eigene zertifikate

richtigerweise ( aber nicht zwigend notwendig) 2 Zertifiakte haben.

 

Am Client:

 

Ausgestellt für Client 1

Zweck: IP-Sicherheits-IKE... & Clientauth.

 

Am Server:

 

Ausgestellt für server1

Zweck: IP-Sicherheits-IKE... & Clientauth.

 

 

Alle zertifikate müssen gültig sein is klar !

 

 

funktioniert IPSec mit Pre-shared Key ?

 

lg

rossi

[honkman16 10]

zertifikate habe ich überprüft. die sollten so stimmen.

 

ipsec mit pre-shared key geht leider auch nicht. es liegt also wahrsch. nicht an den zertifikaten. wie gesagt, die fehlermeldung lautet: remoteserver nicht verfügbar. pptp get aber bzw. reagiert der server darauf. firewall gibt es keine.

 

irgendeine ahnung woran das liegen könnte?

[honkman16 10]

serverlog chronologisch:

 

Der Benutzer "DOMÄNE\USER" hat eine Verbindung mit Port VPN4-127 hergestellt und wurde authentifiziert. Über diese Verbindung gesendete bzw. empfangene Daten werden stark verschlüsselt.

 

Dem mit Port VPN4-127 verbundenen Benutzer "DOMÄNE\USER" wurde die Adresse 192.168.18.110 zugewiesen.

 

Der Benutzer "DOMÄNE\USER" hat eine Verbindung mit Port VPN4-127 am 23.01.2007 um 21:49 hergestellt und diese am 23.01.2007 um 21:49 getrennt. Verbindungszeit: 0 Min. 17 Sek., 3593 Bytes wurden gesendet und 6626 Bytes empfangen. Der Grund für das Trennen war: Benutzeranforderung.

 

Der Benutzer mit der IP-Adresse 192.168.18.110 wurde getrennt.

 

Es sieht also so aus, daß die Zertifikate ok sind. Weswegen die Verbindung auf Grund einer Benutzeranforderung getrennt wird, ist mir immer noch noch nicht klar.

[Hr_Rossi 10]

hi,

 

lass mir mal ipconfig /all ansehen vom client und vom server !

 

wie siehts mit den WAN-Miniports (L2TP) am RAS aus sind die vorhanden ?

 

lg

[honkman16 10]

Vom Client:

 

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : XrechnerX

Primäres DNS-Suffix . . . . . . . : XdomainX.com

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : XdomainX.com

 

Ethernetadapter LAN:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Intel® PRO/100 VE Network Connection

Physikalische Adresse . . . . . . : 00-13-A9-05-29-E3

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.18.101

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.18.1

DHCP-Server . . . . . . . . . . . : 192.168.18.11

DNS-Server. . . . . . . . . . . . : 192.168.18.11

192.168.18.1

Primärer WINS-Server. . . . . . . : 192.168.18.11

Lease erhalten. . . . . . . . . . : Mittwoch, 24. Jänner 2007 10:00:14

Lease läuft ab. . . . . . . . . . : Donnerstag, 25. Jänner 2007 10:00:14

 

vom Server:

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : XservernameX

Primäres DNS-Suffix . . . . . . . : XdomainX.com

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : stranto.com

 

Ethernet-Adapter LAN:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-15-C5-F6-86-70

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.18.11

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.18.1

DNS-Server . . . . . . . . . . . : 127.0.0.1

Primärer WINS-Server . . . . . . : 127.0.0.1

 

PPP-Adapter RAS-Server-(Einwähl-)Schnittstelle:

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : WAN (PPP/SLIP) Interface

Physikalische Adresse . . . . . . : 00-53-45-00-00-00

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.18.112

Subnetzmaske . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . :

 

Danke

[Hr_Rossi 10]

hi

 

zu welcher ip stellst du die verb. her ?

 

definier einmal einen stat. adresspool für die clients !

 

lg

[honkman16 10]

zur 192.168.18.11 . die verwende ich auch für PPTP.

[honkman16 10]

nachtrag: wenn ich die 192.168.18.112 verwende geht es auch nicht (macht aus meiner sicht aber auch keinen Sinn; habe es nur zur Sicherheit ausprobiert).