PPTP-Tunnel mit EAP

[vicharee 10]

Hallo,

 

habe in der letzten Zeit viel googeln müssen und bin dabei immer öfter auf dieses Forum gestoßen, so dass ich hoffe, dass mir hier weitergeholfen werden kann.

 

Folgendes Problem:

Windows 2003-Domäne, VPN-RAS-Server hinter Linux Susefirewall als NAT-Router.

 

VPN läuft als PPTP-Tunnel, da L2TP wegen NAT nicht möglich ist.

Kann die PPTP-Verbindung durch die Firewall tunneln, funktioniert alles wunderbar.

Um die Sicherheit zu erhöhen, habe ich eine PKI aufgesetzt, Benutzerzertifikate für die VPN-Verbindung ausgestellt und auf den Stationen installiert. Im LAN funktioniert VPN mit EAP fehlerfrei. Sobald ich mich von extern einwählen will, also über die Firewall/Router komme, schlägt die Anmeldung fehl, Fehler 619. Im Netzwerkmonitor ist zu erkennen, dass Verbindung über EAP aufgebaut werden soll, aber der Client bricht die Verbindung ab.

 

Habe schon eine ganze Weile gesucht, finde aber nichts was mich weiterbringen würde.

 

Hat jemand eine Idee oder einen Ansatzpunkt, wo der Fehler liegen kann?

 

Dank im voraus

vicharee

[holgi_man 10]

Hallo erstmal

 

"Benutzerzertifikate für die VPN-Verbindung "

 

CA`s werden auf allen beteidigten Maschinen installiert aber von der selben CA stelle.

 

Mit den freundlichsten

 

holgi :)

[vicharee 10]

Zunächst erst mal vielen Dank für deine schnelle Antwort.

 

Was du mir sagst, höre ich zum ersten mal.

 

Ich habe eine Stammzertifizierungsstelle (CA), welche die Benutzerzertifikate ausstellt und signiert.

 

Habe noch nie gehört, dass eine CA auf allen Maschinen installiert sein muss!??

 

Gruß vicharee

[grizzly999 11]

Muss man auch nicht ;)

 

Aber es sind zu wenig Informationen über die ganze Sache, welcher Client, was für eien Authentifizierungsmethoden sind eingestellt, ist der IAS erreichbar, was für Einträge im Ereignislog des VPN-Server und des Clients?

 

grizzly999

 

BTW: NAT ist kein Problem mehr für L2TP/IPSec. 2003 kanns von Haus aus und für 2000- und XP-Clients gibts einen Patch, mit dem das geht: http://support.microsoft.com/default.aspx?scid=kb;en-us;818043

;)

[vicharee 10]

Als Clients habe ich zwei Testmaschinen: Windows 2000 Server und Windows 2000 Professional.

Clients können beim Server Zertifikate anfordern und installieren - wie gesagt, es funktioniert im LAN.

Den VPN-Server habe ich so konfiguriert, dass z.Z. sowohl Authentifizierung über MS-Chap u. MS-Chap V2 als auch über EAP (Smartcard oder anderes Zertifikat)möglich ist, Benutzerauthentifizierung über MS-Chap u. MS-Chap V2 funzt ohne Probleme.

Die Log-Datei des RAS-Servers ist für mich sehr unübersichtlich, so dass ich das Geschehen mit dem Netzwerkmonitor verfolgt habe. Darin sehe ich, dass eine Verbindung besteht, diese aber dann abgebrochen wird mit dem Hinweis, dass der Server auf diesem Port nicht erreichbar ist.

Hierzu finde ich trotz langen Suchens im Internet und in der Literatur keine Hinweise.

 

Dass L2TP und NAT inzwischen möglich ist (NAT-Traversal) weiß ich, traue mich aber nicht daran, da ich es mit der Susefirewall2 zu tun habe. Die hat sich schon bei PPTP wirklich quer gestellt, so dass ich von L2TP zunächst mal Abstand nehmen will. Das kommt später, wenn ich so ein richtiger iptables-Profi bin, lächel.

 

Gruß vicharee

[grizzly999 11]

Clients können beim Server Zertifikate anfordern und installieren

Das sind aber Computerzertifikate, keine Benutzerzertifikate, die man für EAP benötigt. Und wie du gesagt hast, MS-CHAP V2 funktioniert, aber solte nicht nur im LAN gehen, sondern auch im WAN.

 

EAP-TLS benötigt Benutzerzertifikate auf eienr Smartcard, kann jetzt nicht herauslesen, das du das hast.

PEAP mit MS-CHAP V2 braucht ebenfalls Benutzerzertifikate, aber wird von 2000 nicht unterstützt.

 

Also, entweder du besorgst dir einen Smartcard-Writer/Reader mit pasenden SCs, machst dir Smartcards, was zum einen nicht ganz billig und auch aufwendig ist, oder bleibst bei MS-CHAP V2.

Es gäbe noch EAP-MD5, aber da muss man Kennwörter mit reversibler Verschlüsselung speichern, da wäre dann die vermeintliche Sicherheit ad absurdum geführt ;)

 

grizzly999

[vicharee 10]

Danke dir für deine Antwort.

Ich habe mich undeutlich ausgedrückt. Die Clients fordern Benutzerzertifikate an, keine Computerzertifikate.

Ich habe kein EAP-TLS gewählt, sondern als Authentifizierung EAP und dann Smartcard oder anderes Zertifikat im RAS-Server ausgewählt. Nach der Anleitung bei

http://www.gruppenrichtlinien.de/HowTo/VPN_Remote_Einwahl.htm

sollte es so funktionieren, hört sich alles ganz logisch an. Warum sollte es sonst im LAN funktionieren??

 

vicharee

[holgi_man 10]

Hallo erstmal

 

Ich habe eine Stammzertifizierungsstelle (CA), welche die Benutzerzertifikate ausstellt und signiert.

 

Habe noch nie gehört, dass eine CA auf allen Maschinen installiert sein muss!??

 

war wohl ein missverständnis eine Zertifizierungsstelle aber ein Zertifikat pro Client.

 

PKI läuft eigentlich über Port 500

 

Ist es denn eine Domäne?

 

Mit den freundlichsten

 

holgi :)

[vicharee 10]

ne, holgi,

 

schon wieder ein mißverständnis. PKI läuft nicht über 500.

Port 500, udp, benötigst du nur für VPN über L2TP, darüber läuft IKE.

Bei mir funzt es inzwischen einigermaßen. Kann PPTP-Tunnel mit EAP-Authentifizierung aufbauen (dafür musst du nur Port 1723,tcp, freigeben und zusehen, dass Protokoll 47, gre, durch den Router, die Firewall, geschleust wird).

 

Gruß

vicharee