Jump to content

IPSec Hilfe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo meine Frage bezieht sich eigendlich auf diesen Artikel:

 

http://www.mcseboard.de/showthread.php?s=&threadid=31873&highlight=Ipsec+mit+Zertifikate

 

Ich habe alles nach dieser Anleitung gemacht und eine VPN- Verbindung aufgebaut. Aber irgendwie glaube ich nicht das IPsec aktiv ist. Wenn ich den ipcecmon aufmache wird dort keine Verbindung angezeigt und bei dem Status der VPN Verbindung steht unter anderem folgendes.

 

Authentifizierung: MS-Chap V2

Verschlüsselung:MPPE 128

Komprimierung:MPPC

 

Müste bei Verschlüsselung nicht was von Ipsec ....3DES oder so stehen.

 

Vieleicht könnt sich grizzly999 hierzu äußern da er sich anscheind recht gut in dem anderen Artikel auskannte.

Link zu diesem Kommentar

Hi :)

 

Also erreichen will ich das eine VPN-Verbindung von außen per Internet auf einen VPN-Sever aufgebaut wird welcher an einem Lan hängt. Um die Sicherheit hoch zu halten will ich IPsec mit Zertifikaten benutzten, damit sich jeder Client anmelden muß und nur Besitzer mit den richtigen Zertifikaten zutritt haben.

 

 

Also fangen wir mal an. Zuerst habe ich eine Zertifizierungstelle auf dem VPN-Server installiert. Dann per Browser die Zertifizierungsstelle installiert und weitere Zertifikate angefordert. Also ein IPsec Zertifikat und ein Serverauthentifizierungszertifikat die lokal gespeichert wurden. Diese kann man in der mmc unter eigene Zertifikate und vertrauenswürde Stammzertifizierungsstellen finden. Das gleiche habe ich auf dem Client gemacht mit einem IPsec und einem Clientauthentifizierungszertifkat. Nun hab ich unter IP-Sicherheitsrichtlinien auf dem VPN-Server folgene Einstellungen vorgenommen. Ich weise die Richtlinie Sicherer Server erforderlich und aktiviere All ICMP-Verkehr und dort gebe ich als Authentifizierungsmethode die Zertifizierungsstelle an. Als Filter habe ich Sicherheit erforderlich gesetzt und dort unter bearbeiten, Sicherheit aushandeln und über Hinzufügen eine neue Sicherheitsmethode mit ESP und SHA1 sowie 3DES ausgewählt. Die gleiche Richtlinie erstelle ich auch auf dem Client. Auf dem VPN-Server läuft noch eine ISA-Firewall dort habe ich eingetragen das alle L2TP und PPTP Pakete mit ICMP durchgelassen werden. Nun erstelle ich auf dem Client mit dem Wizard eine VPN Verbindung, bei der ich die externe Server-IP eintrage. Unter Sicherheit geben ich Maximale Verschlüsselung an und aktiviere die Protokolle MS-CHAP und MS-CHAP V2. Es wird ein Benutzer gewählt welche VPN Rechte besitzt in der Domaine. Nun wird von dem Client eine Internetverbindung aufgebaut und ich starte die VPN-Verbindung welche auch aufgebaut wird. Ich kann auch auf dem VPN-Server zugreifen und Rechner aus dem Lan finde ich auch. Nur wird wie bereits gesagt wird keine Verbindung angezeigt unter ipsecmon und bei dem Status der VPN-Verbindung steht nichts von IPSEC oder 3DES nur Verschlüsselung:MPPE 128. Irgendwie wird kein IPsec und die Zertifikate benutzt benutzt denk ich. Aber wieso ???

Link zu diesem Kommentar

Also zuerst:

Ist kein Schaden und frisst kein Heu, aber das Serverauthentifizierungszertifikat und das Clientauthentifizierungszertifikat sind überflüssig.

 

Zweitens:

Wie gehen der ISA-Server ins Internet, wie der VPN-Client

 

Drittens:

Schalte auch mal in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk um von Automatisch auf L2TP. Dann sollte statt PPTP zu nehmen, es

 

- entweder gehen

oder

- eine Fehlermeldung erscheinen

 

 

grizzly999

Link zu diesem Kommentar

1. Hm naja wenn es heißt bau ein VPN mit IPsec auf und es steht nirgends was davon, bin ich der Esel der Heu frisst in dem Fall ;). Wieso werden die Server und Clientauthentifizierungszertifikate nicht gebraucht ? Rockafella hat es auch so beschrieben.

 

2. VPN-Server (ISA) hängt per Standleitung im Internet und per zweiter Netzwerkarte im Lan. Client soll sich per Dsl oder ISDN von außen einwählen und Daten aus dem Lan abrufen können.

 

 

3.Ich habe in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk von Automatisch auf L2TP umgestellt. Aber dann kommt die Fehlermeldung: L2TP Verbindung fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschritten hat. Wenn ich PPTP nehme funktioniert es. Irgend eine Idee :suspect:

 

 

Angedacht ist eigendlich das die Authentifizierung anhand von Zertifikaten geregelt werden. Also User 1 bekommt auf sein Rechner Zertifkat 1 und dieser darf sich dann über VPN einwählen und dort Daten anschauen. Wenn User 1 keine Berechtigung mehr haben darf soll einfach auf dem VPN-Server das Zertikat 1 gesperrt werden und gut ist. Tjo höhrt sich einfach an aber umsetzten ... bis jetzt kann sich jeder User einwählen der VPN Rechte besitzt.

Link zu diesem Kommentar
  • 2 Monate später...
Original geschrieben von -Silicon-

3.Ich habe in den Eigenschaften des VPN-Client unter dem Reiter Netzwerk von Automatisch auf L2TP umgestellt. Aber dann kommt die Fehlermeldung: L2TP Verbindung fehlgeschlagen da die Sicherheitsaushandlung das Zeitlimit überschritten hat. Wenn ich PPTP nehme funktioniert es. Irgend eine Idee :suspect:

 

Das selbe Problem habe ich mit VPN-Server Netscreen (Firewall)und Win2k Client (Zertifikate eingerichtet und unter "Vertrauenswürdige Stammzertifizierungsstellen" (CA)sowie "Eigene Zertifikate" (Client) abgelegt. IPSEC Richtlinie steht auf "Client - nur Antwort". Wie müssen denn die Verbindungsparamter eingestellt sein (Clientseitig)??? EAP? Und Zertifikat auswählen? Da sagt mein Client "Es konnte kein Zertifikat für EAP ausgewählt werden." :suspect:

Link zu diesem Kommentar

Zum Thema EAP Benutzerzertifikate. Wie erstellt man diese unter win 2000 und noch wichtiger wie benutzt ich sie.

 

Ich habe versucht über die Zertifizierungstelle ein Benutzterzertifikat zu erstellen, aber es funktioniert nicht. Sobald ich EAP wähle und die VPN Verbindung starten will kommt die Meldung das ich kein EAP Zertifikat habe.

 

Ich bin wie folgt vorgegangen. Im Browser die Zertifizierungstelle aufgerufen.

 

- Zertifikat anfordern ausgewählt ....weiter

 

- bei Anforderungstyp den Punkt: erweiterte Anforderungen gewählt.

 

- bei den erweiterten Zertifikatanforderungen: Zertifikatsanforderungsformular an diese Zertifizierungstelle senden gewählt.

 

-Zertifikatsforlage : Benutzer

 

Alles auf Standart gelassen nur bei Schlüsselgröße 1024 eingetragen. Neuen Schlüsselsatz erstellen und lokalen Speicherplatz verwenden. Zertifikat wird ausgestell und installiert. Diese steht nun in der mmc unter eigene Zertifikate mit meinem Namen. Jetzt müst ich diese Zertifikat doch bei der Einwahl also als EAP benutzten können. Ich trage bei der VPN Verbindung also EAP und den Punkt eigene Zertifikate verwenden angehackt doch leider kommt immer die Meldung das ich kein EAP Zertifikat besitze wenn ich mich einwählen will.

 

Hm :confused:

Link zu diesem Kommentar

hmm, jetzt muss man entscheiden, WAS du mit dem Zertifikat machen willst. IPSec bzw. L2TP/IPSec, da wäre es richtig aufgehoben bei 'Lokaler Computer', aber der zweck sollte dann auch richtig sein. Der müsste dann lauten auf IPSecurity bzw. Clientauthentifizeirung.

Ein Benutzerzertifikat für EAP sollte unter 'Benutzer' liegen und richtig lauten und Clientauthentifizierung als Zweck haben.

 

 

grizzly999

Link zu diesem Kommentar

Danke Lander mal probieren :)

 

 

@grizzly999 dich such ich eigendlich nur darf ich keine PN oder Mail an dich schreiben habe dafür zu wenig Beträge.

 

 

Du kennst dich mit dem Thema gut aus :)

 

 

Ich will ein VPN mit IPsec + Benutzerauthentifizierung per Zertifikat realisieren. Also muß ich soweit ich ich das verstanden habe erstmal ein Benutzerzertifikat und dann noch ein IPsec Zertifikat erstellen und dann noch an die richtige Stelle in der MMC eintragen und hoffen das es klappt :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...