Jump to content

L2tp-IpSec Presharred Key bei Windows 2000 eingeben ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo !

 

Habe einen VPN Server auf Windows2003 Basis laufen. Dort sind nur L2TP-IPSec Verbindungen erlaubt. In den Eigenschaften des RAS und Routings habe ich einen Preshared Key vergeben.

 

Wenn ich nun mich mit einem WinXP Client SP 1 + 818043 Hotfix

verbinde geht dieses, weil ich unter der VPN Verbindung bei Sicherheit den Preshared Key eingeben kann.

 

Bei Windows 2000 SP4 mit Hoffix 818043 finde ich keine Möglichkeit dieses einzugeben.

 

Wer weiß Rat ?

 

 

Mfg

 

Christian

Link zu diesem Kommentar

Den Artikel wollte ich auch gerade posten :D

Aber: als Argument, dass das nicht funktionieren wird, denn das ist nur für einen ganz bestimmten Fall gedacht: Gateway-Gateway-Tunnel, nicht für den Transportmodus. Allerdings muss man dazu den englischen Artikel lesen, im deutschen haben die das glatt unter den Tisch fallen lassen :rolleyes:

Da steht im englischen:

Although Microsoft does not support or recommend the use of a preshare key for IKE authentication on remote access L2TP/IPSec client connections (should be used for testing only), Windows 2000 is compliant with IKE RFC 2409 and provides a way to implement it. L2TP/IPSec gateway-to-gateway VPN implementations by using a preshare key for IKE authentication are supported.

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;240262

 

 

grizzly999

 

/edit: Ausserdem, würde ich folgenden Eingriff in die 2003 Registry nicht wagen, zumindest nicht beim produktiven System ohne vorherige Tests:

You must add the ProhibitIpSec registry value to both Windows 2000-based endpoint computers.

Link zu diesem Kommentar
Original geschrieben von Hr_Rossi

hiho

damit müsste es fnktionieren

 

http://support.microsoft.com/default.aspx?scid=kb;DE;240262

 

aber pass gut auf bei den einstellungen und vergiss nicht das win2000 3DES und die DH2 Group in phase 2 nicht unterstützt !!

 

mfg rossi

 

p.s.: sicherheitshalber mit des und ohne difie hellman group in phase 2

 

 

Wo hast du denn das mit dem 3DES her? :confused:

 

Klar kann Windows 2000 3DES:

 

http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/ipsec_sm_create.htm

 

 

IPSec policies allow the choice of a strong encryption algorithm, 3DES, that uses a longer key length than DES for higher security. This policy will be received by all computers to which the policy is assigned. However, Windows 2000-based computers must have the High Encryption Pack installed in order to perform the 3DES algorithm. If a Windows 2000-based computer receives a 3DES setting, but does not have the High Encryption Pack installed, then the 3DES setting in the security method is set to the weaker DES. If this system receives a true 3DES security method proposal, it will fail to find any matching security method and will continue to evaluate the next proposal in the initiator’s security method list. If only 3DES is contained in the initiator’s list, then this system, as responder, will fail the negotiatio

 

...neuere Servicepacks (ab SP1 glaube ich) haben den gleichen Efekt.

Link zu diesem Kommentar

@grizzly999

 

Hallo und danke für den Link ! Aber muss das mit der Registry nicht nur im Win2000 Prof rein ?

 

Der VPN Server ist ein Windows2003 Standard Server und mit einem XP Client komme ich mit einem Preshared Key ohne Probleme drauf ?

 

Das ganze ist immer noch für die gleiche Sache weswegen wir auch gemailt hatten :-(

 

Montag soll das ganze laufen. Die Chef´s stellen sich das immer so einfach vor :-))

 

Gruß

 

Christian

Link zu diesem Kommentar

@Hr_Rossi:

W2000 macht 3DES .....

 

@Crockett:

In der Anleitung steht ausdrücklich:

You must add the ProhibitIpSec registry value to both Windows 2000-based endpoint computers.

 

Aber: Mach's mal, und zwar nur! auf dem 2000 Client und teste es. Es sollte gehen. Ich habe es gerade im Lab angetestet und er verschlüsselt was, aber ich habe keinen Router dazwischen, beide Rechner sind im selben Netz, der VPN-Server hat nur eine NIC, und daher kann ich keine 100%ige Aussage treffen. Und die Aushandlungspakete konnte ich auch nie monitoren, aber er macht IPSec.

Wie gesagt: testen. Den 2000 Client kannst du ja verbiegen :D ;)

 

Aber mit den Zerts sollte es doch mit der Anleitung klappen, wo klemmt's ?

 

Gruß

 

grizzly999

Link zu diesem Kommentar

@zuschauer

 

ich schätze dein "grummel" bezieht sich drauf, das im meinem letzten Post stand das ich grizzly999 eine Email geschickt habe und mehr nicht.

 

sorry, sollte nicht böse gemeint sein. ich versuche das mit der Außenstellenanbindung im Moment 2 gleisig bzw jetzt nur noch eingleisig... Erst wollte ich es über Cert´s machen hatte da Probleme und stellte um auf Preshared Key. Dann erfuhr ich das in der Außenstelle nur W2K im Einsatz ist und nicht auf XP umgestiegen wird. Da ich keine Lust habe 250 km in die Außenstelle zu fahren um dort an der Registry von W2k auf verschiedenen PC´s rumzubasteln, bin ich dank grizzly´s Hilfe wieder auf die Variante mit den Zertifikaten zurück. Was jetzt auch größstenteils klappt.

 

Im Moment habe ich ein bissel viel um die Ohren, heute wieder ein 14 Stunden Tag hinter mir...

 

Also nochmal, sorry.....

 

 

Gruß

 

Christian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...