L2tp-IpSec Presharred Key bei Windows 2000 eingeben ?

[Crockett 10]

Hallo !

 

Habe einen VPN Server auf Windows2003 Basis laufen. Dort sind nur L2TP-IPSec Verbindungen erlaubt. In den Eigenschaften des RAS und Routings habe ich einen Preshared Key vergeben.

 

Wenn ich nun mich mit einem WinXP Client SP 1 + 818043 Hotfix

verbinde geht dieses, weil ich unter der VPN Verbindung bei Sicherheit den Preshared Key eingeben kann.

 

Bei Windows 2000 SP4 mit Hoffix 818043 finde ich keine Möglichkeit dieses einzugeben.

 

Wer weiß Rat ?

 

 

Mfg

 

Christian

[Hr_Rossi 10]

hi

 

bei win2k musst du eine ip-si-richtlinie erstellen

dann kannst du einen vorinst. schlüssel definieren !!

 

vergiss aber nicht das du die richtlinie in beide richtungen machst

 

ip-si-richtlinien erstellen ist nicht ganz einfach man muss wissen was man tut...

 

mfg rossi

[Crockett 10]

@Hr_Rossi

 

Danke für die schnelle Antwort. Ich werde es morgen mal auf einem Test System probieren. Hast du vielleicht ein Link zu MS wo dieses beschreiben steht ? Am besten auf deutsch.

 

 

Mfg

 

Christian

[Hr_Rossi 10]

hiho

damit müsste es fnktionieren

 

http://support.microsoft.com/default.aspx?scid=kb;DE;240262

 

aber pass gut auf bei den einstellungen und vergiss nicht das win2000 3DES und die DH2 Group in phase 2 nicht unterstützt !!

 

mfg rossi

 

p.s.: sicherheitshalber mit des und ohne difie hellman group in phase 2

[grizzly999 11]

Den Artikel wollte ich auch gerade posten :D

Aber: als Argument, dass das nicht funktionieren wird, denn das ist nur für einen ganz bestimmten Fall gedacht: Gateway-Gateway-Tunnel, nicht für den Transportmodus. Allerdings muss man dazu den englischen Artikel lesen, im deutschen haben die das glatt unter den Tisch fallen lassen :rolleyes:

Da steht im englischen:

Although Microsoft does not support or recommend the use of a preshare key for IKE authentication on remote access L2TP/IPSec client connections (should be used for testing only), Windows 2000 is compliant with IKE RFC 2409 and provides a way to implement it. L2TP/IPSec gateway-to-gateway VPN implementations by using a preshare key for IKE authentication are supported.

 

http://support.microsoft.com/default.aspx?scid=kb;en-us;240262

 

 

grizzly999

 

/edit: Ausserdem, würde ich folgenden Eingriff in die 2003 Registry nicht wagen, zumindest nicht beim produktiven System ohne vorherige Tests:

You must add the ProhibitIpSec registry value to both Windows 2000-based endpoint computers.

[Hr_Rossi 10]

hehe

 

hi grizzly

 

alter ipsec experte :D

gruss rossi

[Velius 10]

Original geschrieben von Hr_Rossi

hiho

damit müsste es fnktionieren

 

http://support.microsoft.com/default.aspx?scid=kb;DE;240262

 

aber pass gut auf bei den einstellungen und vergiss nicht das win2000 3DES und die DH2 Group in phase 2 nicht unterstützt !!

 

mfg rossi

 

p.s.: sicherheitshalber mit des und ohne difie hellman group in phase 2

 

 

Wo hast du denn das mit dem 3DES her?

 

Klar kann Windows 2000 3DES:

 

http://www.microsoft.com/windows2000/en/advanced/help/default.asp?url=/windows2000/en/advanced/help/ipsec_sm_create.htm

 

 

IPSec policies allow the choice of a strong encryption algorithm, 3DES, that uses a longer key length than DES for higher security. This policy will be received by all computers to which the policy is assigned. However, Windows 2000-based computers must have the High Encryption Pack installed in order to perform the 3DES algorithm. If a Windows 2000-based computer receives a 3DES setting, but does not have the High Encryption Pack installed, then the 3DES setting in the security method is set to the weaker DES. If this system receives a true 3DES security method proposal, it will fail to find any matching security method and will continue to evaluate the next proposal in the initiator’s security method list. If only 3DES is contained in the initiator’s list, then this system, as responder, will fail the negotiatio

 

...neuere Servicepacks (ab SP1 glaube ich) haben den gleichen Efekt.

[Hr_Rossi 10]

jo in phase 1 zum aushandeln desIKE sicherlich

 

aber wie gesagt in phase 2 bin ich mir echt nicht sicher

 

ich sagte nicht sicher

 

aber wo ich mir sicher bin is die DH-group in phase 2

 

mfg rossi

[Crockett 10]

@grizzly999

 

Hallo und danke für den Link ! Aber muss das mit der Registry nicht nur im Win2000 Prof rein ?

 

Der VPN Server ist ein Windows2003 Standard Server und mit einem XP Client komme ich mit einem Preshared Key ohne Probleme drauf ?

 

Das ganze ist immer noch für die gleiche Sache weswegen wir auch gemailt hatten :-(

 

Montag soll das ganze laufen. Die Chef´s stellen sich das immer so einfach vor :-))

 

Gruß

 

Christian

[grizzly999 11]

@Hr_Rossi:

W2000 macht 3DES .....

 

@Crockett:

In der Anleitung steht ausdrücklich:

You must add the ProhibitIpSec registry value to both Windows 2000-based endpoint computers.

 

Aber: Mach's mal, und zwar nur! auf dem 2000 Client und teste es. Es sollte gehen. Ich habe es gerade im Lab angetestet und er verschlüsselt was, aber ich habe keinen Router dazwischen, beide Rechner sind im selben Netz, der VPN-Server hat nur eine NIC, und daher kann ich keine 100%ige Aussage treffen. Und die Aushandlungspakete konnte ich auch nie monitoren, aber er macht IPSec.

Wie gesagt: testen. Den 2000 Client kannst du ja verbiegen :D ;)

 

Aber mit den Zerts sollte es doch mit der Anleitung klappen, wo klemmt's ?

 

Gruß

 

grizzly999

[Crockett 10]

@grizzly999

 

ich habe dir eine Email geschickt.

 

Gruß

 

Christian

[zuschauer 10]

*Grumml*

Das ist ein Board, wo jeder seine Probleme reinstellen kann und jeder, der mitliest, eventuell am Ende mehr weiß als am Anfang.

 

@Crockett:

Ich hoffe, Du gibst uns dann noch ein Feedback, wenn Dir Dein Chef nicht mehr so im Nacken sitzt wie derzeit !

[Crockett 10]

@zuschauer

 

ich schätze dein "grummel" bezieht sich drauf, das im meinem letzten Post stand das ich grizzly999 eine Email geschickt habe und mehr nicht.

 

sorry, sollte nicht böse gemeint sein. ich versuche das mit der Außenstellenanbindung im Moment 2 gleisig bzw jetzt nur noch eingleisig... Erst wollte ich es über Cert´s machen hatte da Probleme und stellte um auf Preshared Key. Dann erfuhr ich das in der Außenstelle nur W2K im Einsatz ist und nicht auf XP umgestiegen wird. Da ich keine Lust habe 250 km in die Außenstelle zu fahren um dort an der Registry von W2k auf verschiedenen PC´s rumzubasteln, bin ich dank grizzly´s Hilfe wieder auf die Variante mit den Zertifikaten zurück. Was jetzt auch größstenteils klappt.

 

Im Moment habe ich ein bissel viel um die Ohren, heute wieder ein 14 Stunden Tag hinter mir...

 

Also nochmal, sorry.....

 

 

Gruß

 

Christian

[zuschauer 10]

Danke für Deine Rückmeldung ! :)

[Crockett 10]

@zuschauer

 

Kein Problem, das war das mindeste . :)