sathees 10 Geschrieben 6. Januar 2004 Autor Melden Teilen Geschrieben 6. Januar 2004 Immernoch 792 error-meldung. Client->Internet->Router->ISA VPNServer->intenes Lan: so ist mein Netz aufgebaut. Da es mit PPTP funktioniert, habe ich das Gefühl, dass es doch nicht ein Zertifikatsproblem ist, sondern ein Routerproblem. Habe ich recht? Ich bin verzweifelt. Bitte Hilfe! Danke Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. Januar 2004 Melden Teilen Geschrieben 6. Januar 2004 Da es mit PPTP funktioniert, habe ich das Gefühl, dass es doch nicht ein Zertifikatsproblem ist, sondern ein Routerproblem. Habe ich recht? Das ist durchaus möglich. Hast aber auch ganz nett lange gebraucht ( 9 Tage ) um uns mitzuteilen, dass das ganze auf einem ISA-Server läuft, auf den über das Internet mit VPN zugegriffen werden soll. Selber schuld. Ist der Port 1701 und 500 nach innen offen? grizzly999 Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 6. Januar 2004 Autor Melden Teilen Geschrieben 6. Januar 2004 Ja, klar! Muss der CA auf dem Domain Controller sein? Würde es nicht funktionieren wenn ich CA auf ISA installiert ist? Danke Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 6. Januar 2004 Autor Melden Teilen Geschrieben 6. Januar 2004 Ich habe versucht vom internen Netz per VPN VPNServer zu erreichen, so den Router umzugehen. So erhalter ich immer noch den gleichen Fehlermeldung. Das heisst, dass die Zertifikate nicht in Ordnung sind. Zertifikate habe so erstellt: CA: Auf Domain Controller Certificates: auf ISA Server Clients: Sie haben die Certificates vom ISA Server bezogen, und dazu ein eigenes Zertifikat erstellt. Oder mussman was spezielles im ISA oder im RRAs einstellen? RRAS ist so konfiguriert, dass er PPTP erlaubt. Im ISA Server sind die UDP Ports 1701 und 500 frei gegeben. Danke Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. Januar 2004 Melden Teilen Geschrieben 6. Januar 2004 Nein, die CA muss nicht auf einem DC installiert sein, nur das Zertifikat. Aber das ist doch eine essentielle Info, die auch schon viel früher zu der Frage nach den Ports im Router geführt hätte. Die Paketfilter für L2TP sind da und aktiv? Hast du die ganze VPN-Geschichte (Paketfilter, RRAS) den ISA einrichten lassen? Sicher dass der Router alle erforderlichen Pakete durchlässt? Zur Überprüfung solltest du den Verbindungsaufbau mit dem Netzwerkmonitor capturen. Es fängt in der Regel mit ISAKMP Paketen auf den Port 500 UDP an. grizzly999 Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 7. Januar 2004 Autor Melden Teilen Geschrieben 7. Januar 2004 Guten Morgen Ja, ich hanze ganze VPN Paketfilter, RRAS den ISA einrichten lassen. Router lässt UDP Ports 1701 und 500 durch. Können Sie mir sagen, auf welchem rechner CA installiert sein muss und auf welchem Zertifikat erstellt werden muss? Ich habe auf ISAVPN das Zertifikat und CA auf DC. Ist das falsch? Danke Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 7. Januar 2004 Melden Teilen Geschrieben 7. Januar 2004 Hallo sathees soso also VPN-SRV = ISA-SRV, beachte Bitte wenn IPSec dann kein NAT sonst wird das sowieso nix. (nur PPTP) ... ... Mit den freundlichsten Holgi :) Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 7. Januar 2004 Autor Melden Teilen Geschrieben 7. Januar 2004 Hallo Holgi Wie kann man IPSec als NAT konfigurieren. Wie wird das im ISA Server konfiguriert. Das köntte wirklich die Lösung sein! Danke Sathees Zitieren Link zu diesem Kommentar
Red Sector 10 Geschrieben 7. Januar 2004 Melden Teilen Geschrieben 7. Januar 2004 Hallo sathees, unter Windows 2000 kann IPSec nicht über NAT. Dazu brauchst Du IPSEc NAT Traversal und das ist meines Wissens unter W2K nicht verfügbar. Gruß RS Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 7. Januar 2004 Autor Melden Teilen Geschrieben 7. Januar 2004 Ich verwende Windows 2003 Server Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 7. Januar 2004 Autor Melden Teilen Geschrieben 7. Januar 2004 Kann mir jemand sagen, wie es mit den Zertifikaten funktioniet? Ich verwende ISA Server = VPN Server. Wo muss das CA installiert werden und wo das Zertifkat,welches nacher der Client installieren muss. Muss man IPSec Zertifikat im ISA VPNServer installieren, wenn ja, dann wie? Brauche ich überhaupt IPsec, denn ich möchte nur über L2TP Protokoll VPN Authenticate durchführen. Wie funktionierten mit Preshared Key, wenn ich diese Methode verwende brauche ich doch gar keine Zertifikat mehr? Kann ich diese Preshared Key einfach selber eingeben oder muss man diese irgendwie generieren? Bitte Hilfe Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 8. Januar 2004 Melden Teilen Geschrieben 8. Januar 2004 Hallo sathees Punkt 1 : Habe leider überlesen das Du mit Windows 2003 Server arbeitest. Punkt 2 : ISA-SRV 2000 über Netzwerk config hat man die möglichkeit unter PPTP, PPTP durch ISA Firewall zu leiten! Wohlgemerkt nur Secure Nat Client. Punkt 3 : Es können keine L2TP Verbindungen über den ISA-SRV hinweg benutzt werden, nur als Endpunkt. Punkt 4 : Mit den Windows 2003 Server soll alles besser werden (da brauchst Du Unterlagen) Punkt 5 : Auch für die Einrichtung des ISA-SRV sollte man Unterlagen zur Hand haben (er hat doch einige wenige einstellungsmöglichkeiten ;) ) Punkt 6 : Zu deiner Frage Brauche ich überhaupt IPsec, denn ich möchte nur über L2TP Protokoll VPN Authenticate durchführen. L2TP ohne IPSec = keine Authentikation, keine Datenverschlüsselung ... ... dann doch lieber PPTP ... :o Punkt 6 : Pre Shared Key = gemeinsammer geheimer Schlüssel (bzw. Zeichenfolge) den man selber eingeben muß !!! Mit den freundlichsten Holgi :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2004 Melden Teilen Geschrieben 8. Januar 2004 Wo muss das CA installiert werden und wo das Zertifkat,welches nacher der Client installieren muss. Muss man IPSec Zertifikat im ISA VPNServer installieren, wenn ja, dann wie? Brauche ich überhaupt IPsec, denn ich möchte nur über L2TP Protokoll VPN Authenticate durchführen Da dein ISA die Verbindung terminieren soll - ich nehme doch an, dass du das ganze Netz dahinter erreichen willst und nicht nur einen Rechner - muss auf dem ISA-Server ein IPSec-taugliches Zertifikat installiert sein, und zwar ausgestellt von einer CA, der auch der Client vertraut. grizzly999 Zitieren Link zu diesem Kommentar
sathees 10 Geschrieben 8. Januar 2004 Autor Melden Teilen Geschrieben 8. Januar 2004 Hallo Zusammen Wie erstelle ich einen IPSec Zertifikat? Kann ich dies, wie gewönliche Zeritikate erstellen? Danke Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2004 Melden Teilen Geschrieben 8. Januar 2004 Was anderes: mir ist irgenwie entgangen, dass dein ISA auf einem Windows 2003 Server läuft. Bei 2003 kann man endlich mit L2TP und Preshared Keys arbeiten, wenn der Client XP heißt. Ist dies bei dir der Fall, dann findest du hier eine sehr gute Anleitung: Achtung der Link endet direkt beim Download und die Datei ca. 1MB Größehttp://www.milupanet.de/winupdate/Serve_2003_Help.chm Ansonsten kann man ein IPSEc-Zertifikat gem dieser Anleitung anfordern/erstellen: http://support.microsoft.com/default.aspx?scid=kb;de;253498&Product=WWin2000Ger Man kann aber auch PPTP benutzen, das ist am einfachsten, bedarf keiner weiteren Konfiguration. L2TP ist grundsätzlich sicherer, aber für die meisten Zwecke reicht auch PPTP. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.