DannyWood 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 Hallo ihr! Ich darf gerade ein VPN auf einem ISA 2004 (auf Win2003 Server) einrichten. Hierbei steht der ISA als Edge-Firewall direkt hinter einem AVM-Router (Fritz!Box SL WLAN) und ist kein Domänen-Mitglied (damit kein AD etc). Momentan teste ich das Ganze noch von Intern, da ich nur hier im Büro sitze. Habe auf unserem SBS2003 DC eine Zertifizierungsstelle eingerichtet und entsprechende IPSec-Zertifikate für den ISA und den Client ausgestellt so wie ich es in einem Whitepaper gefunden hatte. Bei einem Versuch mich zu verbinden (XP Client) heißt es jedoch es wäre kein korrektes Zertifikat auf dem Client installiert. Mit PPTP klappt alles problemlos. Kann mir vielleicht nochmal jemand die Schritte für die Zertifikatseinrichtung für mein Szenario erläutern? Nur falls es wichtig ist: Auf dem ISA laufen auch schon Webdav/OWA-Freigaben, die per https-zu-https auf unseren SBS weitergeleitet werden. Hier fünktioniert alles wunderbar... :( Ich wäre euch für jeden Tipp dankbar... Gruß, Daniel Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 http://www.tippex.net/anleitung/ Dort wird ipsec mit zertifikaten schritt für schritt erklärt. Zitieren Link zu diesem Kommentar
DannyWood 10 Geschrieben 7. Juni 2005 Autor Melden Teilen Geschrieben 7. Juni 2005 Oh mann, manchmal bin ich auch ****... Kaum hab ich die Frage geschrieben, da finde ich den Fehler selbst: Auf dem Client war die Serverzertifizierungsstelle nicht als Vertrauenswürdige Stammzertifizierungsstelle eingetragen, jetzt geht alles (intern). Da bliebe nur noch zwei Fragen: 1. Welche Ports muss ich auf dem Router weiterleiten lassen (zum ISA), damit L2TP von außen funktioniert? 2. Was gibt es bei L2TP ansonsten noch zu beachten, um es möglichst sicher zu gestalten? Ich habe jetzt auf Client und Server lediglich ein IPSec-zertifikat installiert und melde mich mit lokalen Anmeldeinformationen (am ISA lokal eingetragen, er ist ja kein Domänen-Mitglied). Gibt es da auch "schönere" konfigurationen, so dass sich die User direkt mit Domänen-Accounts anmelden können, obwohl der ISA nicht in der Domäne ist? Oder muss ich ihn dazu zum Memberserver machen? Danke schonmal im voraus, Daniel Edit: Danke für den schnellen Tipp, werde mir die Seite trotzdem nochmal durchlesen... :) Zitieren Link zu diesem Kommentar
alexstarke 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 ports für den Router: Port 1701/UDP, Port 500/UDP und das GRE Protokoll Die Anmeldung kann meines wissens nur mit einem Domänenuser erfolgen, wenn der ISA Member der Domäne ist. Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 L2TP/IPsec mit NAT-T (NAT-T ist mit Windows Server 2003/ISA Server 2004 moeglich) geht ueber UDP 500, UDP 1701 und UDP 4500. L2TP/IPsec ohne NAT-T geht ueber UDP 500, UDP 1701 sowie ESP+AH (Protokollnummern 50+51). PPTP geht ueber TCP 1723 und GRE (Protokollnummer 47). Zitieren Link zu diesem Kommentar
DannyWood 10 Geschrieben 7. Juni 2005 Autor Melden Teilen Geschrieben 7. Juni 2005 Danke für die zahlreichen Infos. Hast du spontan 'nen guten Link zum Thema Radius-Server? Sowas hab ich bisher noch nie aufgesetzt... Was NAT-T angeht, das kommt bei uns eher auf den Router an, der das schließlich zuerst durchleiten muss, bevor man überhaupt beim Server landet. Aber ich schätze mal nicht, dass die Fritz!Box sowas kann. Aber wenn ich mich nicht irre kann ich sie auch gezielt als DSL-Modem laufen lassen, dann müsste das eigentlich wieder funktionieren... Dank nochmals und gute Nacht! Daniel Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 RADIUS und ISA Server 2004: siehe http://www.msisafaq.de/Anleitungen/2004/Konfiguration/ISAIAS.htm Was NAT-T angeht, das kommt bei uns eher auf den Router an Du verwechselt NAT mit NAT-T.;) NAT-Traversal (NAT-T) wurde entwickelt, weil das originale L2TP/IPsec ueber NAT (Network Address Translation) nicht moeglich ist. Mit NAT werden die zusaetzlichen ESP-Pakete veraendert und damit sind diese nicht mehr nutzbar. Bei NAT-T werden die ESP-Pakete in UDP-Pakete gekapselt und auf dem UDP-Port 4500 uebertragen. D.h. nur die beiden VPN-Endpunkte muessen NAT-T-faehig sein. Die dazwischenliegenden Systeme muessen nur die o.g. UDP-Ports durchleiten. Beim ISA Server ist NAT-T nur mit der Kombination ISA Server 2004 auf Windows Server 2003 moeglich. Zitieren Link zu diesem Kommentar
DannyWood 10 Geschrieben 8. Juni 2005 Autor Melden Teilen Geschrieben 8. Juni 2005 Naja, insofern muß der Router ja zumindest UDP-Ports forwarden können, was meine alte Fritz!Box zuhause auch nicht kann. Aber du hast Recht, ich hab die beiden "NATs" zwar nicht verwechselt, mich bisher aber noch nicht sonderlich in NAT-traversal eingelesen... Danke für deine Hilfe, das mit dem RADIUS werde ich mir durchlesen, sobald ich die Tage ein klein wenig Ruhe finde... :) Dank und Gruß, Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.