Jump to content
Sign in to follow this  
-Silicon-

IPSec Hilfe

Recommended Posts

Hallo meine Frage bezieht sich eigendlich auf diesen Artikel:

 

http://www.mcseboard.de/showthread.php?s=&threadid=31873&highlight=Ipsec+mit+Zertifikate

 

Ich habe alles nach dieser Anleitung gemacht und eine VPN- Verbindung aufgebaut. Aber irgendwie glaube ich nicht das IPsec aktiv ist. Wenn ich den ipcecmon aufmache wird dort keine Verbindung angezeigt und bei dem Status der VPN Verbindung steht unter anderem folgendes.

 

Authentifizierung: MS-Chap V2

Verschlüsselung:MPPE 128

Komprimierung:MPPC

 

Müste bei Verschlüsselung nicht was von Ipsec ....3DES oder so stehen.

 

Vieleicht könnt sich grizzly999 hierzu äußern da er sich anscheind recht gut in dem anderen Artikel auskannte.

Share this post


Link to post

Hallo und willkommen im Board :)

 

könntest du genauer beschreiben, was du gemacht hast, bzw. was du genau erreichen willst (wichtig: Netzwerkaufbau auf beiden Seiten, etc).

 

Auf jeden Fall ist das, was da hergestellt wird eine PPTP-Verbindung.

 

 

grizzly999

Share this post


Link to post

Hi :)

 

Also erreichen will ich das eine VPN-Verbindung von außen per Internet auf einen VPN-Sever aufgebaut wird welcher an einem Lan hängt. Um die Sicherheit hoch zu halten will ich IPsec mit Zertifikaten benutzten, damit sich jeder Client anmelden muß und nur Besitzer mit den richtigen Zertifikaten zutritt haben.

 

 

Also fangen wir mal an. Zuerst habe ich eine Zertifizierungstelle auf dem VPN-Server installiert. Dann per Browser die Zertifizierungsstelle installiert und weitere Zertifikate angefordert. Also ein IPsec Zertifikat und ein Serverauthentifizierungszertifikat die lokal gespeichert wurden. Diese kann man in der mmc unter eigene Zertifikate und vertrauenswürde Stammzertifizierungsstellen finden. Das gleiche habe ich auf dem Client gemacht mit einem IPsec und einem Clientauthentifizierungszertifkat. Nun hab ich unter IP-Sicherheitsrichtlinien auf dem VPN-Server folgene Einstellungen vorgenommen. Ich weise die Richtlinie Sicherer Server erforderlich und aktiviere All ICMP-Verkehr und dort gebe ich als Authentifizierungsmethode die Zertifizierungsstelle an. Als Filter habe ich Sicherheit erforderlich gesetzt und dort unter bearbeiten, Sicherheit aushandeln und über Hinzufügen eine neue Sicherheitsmethode mit ESP und SHA1 sowie 3DES ausgewählt. Die gleiche Richtlinie erstelle ich auch auf dem Client. Auf dem VPN-Server läuft noch eine ISA-Firewall dort habe ich eingetragen das alle L2TP und PPTP Pakete mit ICMP durchgelassen werden. Nun erstelle ich auf dem Client mit dem Wizard eine VPN Verbindung, bei der ich die externe Server-IP eintrage. Unter Sicherheit geben ich Maximale Verschlüsselung an und aktiviere die Protokolle MS-CHAP und MS-CHAP V2. Es wird ein Benutzer gewählt welche VPN Rechte besitzt in der Domaine. Nun wird von dem Client eine Internetverbindung aufgebaut und ich starte die VPN-Verbindung welche auch aufgebaut wird. Ich kann auch auf dem VPN-Server zugreifen und Rechner aus dem Lan finde ich auch. Nur wird wie bereits gesagt wird keine Verbindung angezeigt unter ipsecmon und bei dem Status der VPN-Verbindung steht nichts von IPSEC oder 3DES nur Verschlüsselung:MPPE 128. Irgendwie wird kein IPsec und die Zertifikate benutzt benutzt denk ich. Aber wieso ???

Share this post


Link to post

Also zuerst:

Ist kein Schaden und frisst kein Heu, aber das Serverauthentifizierungszertifikat und das Clientauthentifizierungszertifikat sind überflüssig.

 

Zweitens:

Wie gehen der ISA-Server ins Internet, wie der VPN-Client

 

Drittens:

Schalte auch mal in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk um von Automatisch auf L2TP. Dann sollte statt PPTP zu nehmen, es

 

- entweder gehen

oder

- eine Fehlermeldung erscheinen

 

 

grizzly999

Share this post


Link to post

1. Hm naja wenn es heißt bau ein VPN mit IPsec auf und es steht nirgends was davon, bin ich der Esel der Heu frisst in dem Fall ;). Wieso werden die Server und Clientauthentifizierungszertifikate nicht gebraucht ? Rockafella hat es auch so beschrieben.

 

2. VPN-Server (ISA) hängt per Standleitung im Internet und per zweiter Netzwerkarte im Lan. Client soll sich per Dsl oder ISDN von außen einwählen und Daten aus dem Lan abrufen können.

 

 

3.Ich habe in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk von Automatisch auf L2TP umgestellt. Aber dann kommt die Fehlermeldung: L2TP Verbindung fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschritten hat. Wenn ich PPTP nehme funktioniert es. Irgend eine Idee :suspect:

 

 

Angedacht ist eigendlich das die Authentifizierung anhand von Zertifikaten geregelt werden. Also User 1 bekommt auf sein Rechner Zertifkat 1 und dieser darf sich dann über VPN einwählen und dort Daten anschauen. Wenn User 1 keine Berechtigung mehr haben darf soll einfach auf dem VPN-Server das Zertikat 1 gesperrt werden und gut ist. Tjo höhrt sich einfach an aber umsetzten ... bis jetzt kann sich jeder User einwählen der VPN Rechte besitzt.

Share this post


Link to post
Original geschrieben von -Silicon-

3.Ich habe in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk von Automatisch auf L2TP umgestellt. Aber dann kommt die Fehlermeldung: L2TP Verbindung fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschritten hat. Wenn ich PPTP nehme funktioniert es. Irgend eine Idee :suspect:

 

Das selbe Problem habe ich mit VPN-Server Netscreen (Firewall)und Win2k Client (Zertifikate eingerichtet und unter "Vertrauenswürdige Stammzertifizierungsstellen" (CA)sowie "Eigene Zertifikate" (Client) abgelegt. IPSEC Richtlinie steht auf "Client - nur Antwort". Wie müssen denn die Verbindungsparamter eingestellt sein (Clientseitig)??? EAP? Und Zertifikat auswählen? Da sagt mein Client "Es konnte kein Zertifikat für EAP ausgewählt werden." :suspect:

Share this post


Link to post

Für L2TP/IpSec benötigt man Computerzertifikate (IPSec oder Clientauthentifizierung) keine Benutzerzertifikate.

EAP ist nur für Benutzerauthentifizierung

 

grizzly999

Share this post


Link to post

Zum Thema EAP Benutzerzertifikate. Wie erstellt man diese unter win 2000 und noch wichtiger wie benutzt ich sie.

 

Ich habe versucht über die Zertifizierungstelle ein Benutzterzertifikat zu erstellen, aber es funktioniert nicht. Sobald ich EAP wähle und die VPN Verbindung starten will kommt die Meldung das ich kein EAP Zertifikat habe.

 

Ich bin wie folgt vorgegangen. Im Browser die Zertifizierungstelle aufgerufen.

 

- Zertifikat anfordern ausgewählt ....weiter

 

- bei Anforderungstyp den Punkt: erweiterte Anforderungen gewählt.

 

- bei den erweiterten Zertifikatanforderungen: Zertifikatsanforderungsformular an diese Zertifizierungstelle senden gewählt.

 

-Zertifikatsforlage : Benutzer

 

Alles auf Standart gelassen nur bei Schlüsselgröße 1024 eingetragen. Neuen Schlüsselsatz erstellen und lokalen Speicherplatz verwenden. Zertifikat wird ausgestell und installiert. Diese steht nun in der mmc unter eigene Zertifikate mit meinem Namen. Jetzt müst ich diese Zertifikat doch bei der Einwahl also als EAP benutzten können. Ich trage bei der VPN Verbindung also EAP und den Punkt eigene Zertifikate verwenden angehackt doch leider kommt immer die Meldung das ich kein EAP Zertifikat besitze wenn ich mich einwählen will.

 

Hm :confused:

Share this post


Link to post

Hallo Silicon,

 

Hast Du das Zertifikat unter Benutzer oder Computer - Zertifikaten? Es muss meines Wissens im Benutzer stehen. Und in der Verbindung selbst muss das Zertifikat unter Reiter Sicherheit EAP hinterlegt und angehakt sein...

 

Gruss Lander

Share this post


Link to post

Hallo

 

ähm wo steht den in der mmc Benutzer wo das Zertifikat hinsoll ?

 

Bei mir steht es unter lokale Computer... Eigene Zertifikate und dort steht das Zertifikat mit meinen Namen drin.

 

:suspect:

Share this post


Link to post

hmm, jetzt muss man entscheiden, WAS du mit dem Zertifikat machen willst. IPSec bzw. L2TP/IPSec, da wäre es richtig aufgehoben bei 'Lokaler Computer', aber der zweck sollte dann auch richtig sein. Der müsste dann lauten auf IPSecurity bzw. Clientauthentifizeirung.

Ein Benutzerzertifikat für EAP sollte unter 'Benutzer' liegen und richtig lauten und Clientauthentifizierung als Zweck haben.

 

 

grizzly999

Share this post


Link to post

- Kommandozeile öffnen

- mmc <ENTER>

- In der Konsole Datei - Snap In Hinzufügen

- Button "Hinzufügen"

- "Zertifikate" auswählen Button "Hinzufügen"

- "Eigenes Benutzerkonto" !!!

- Fertig

- Schliessen

- OK

 

So und nun das Zertifikat noch in die vertrauenswürdigen Stammzertifizierungsstellen der Konsole aufnehmen und es müsste gehen.

Share this post


Link to post

Danke Lander mal probieren :)

 

 

@grizzly999 dich such ich eigendlich nur darf ich keine PN oder Mail an dich schreiben habe dafür zu wenig Beträge.

 

 

Du kennst dich mit dem Thema gut aus :)

 

 

Ich will ein VPN mit IPsec + Benutzerauthentifizierung per Zertifikat realisieren. Also muß ich soweit ich ich das verstanden habe erstmal ein Benutzerzertifikat und dann noch ein IPsec Zertifikat erstellen und dann noch an die richtige Stelle in der MMC eintragen und hoffen das es klappt :)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...