Problem mit PPTP und Zertifikat

[halber-mcse 10]

Hallo ich habe folgende Fehlermeldung wenn ich versuche mit meinem Client eine Verbindung zu meinem VPN Server aufzubauen. Client und VPN Server stehen momentan im gleichen Netz.. Erst wenn diese Verbindung funktioniert will ich es über das WAN testen.

 

Die Fehlermeldung ist folgende:

 

Der Benutzer "xxx", der eine Verbindung mit xxx.xxx.xxx.xxx hergestellt hat, hat sich aus folgendem Grund nicht authentifiziert. Der Client konnt nicht authentifiziert werden, da der angegebene EAP Typ vom Server nicht verarbeitet werden kann.

 

 

Dazu muss ich noch sagen der der Client sich über ein Zertifikat authentfizieren soll. Mache ich es ohne zertifikat funkioniert es wunderbar. Habe das Howto von der Seite http://www.gruppenrichtlinien.de genommen. Der VPN Server steht nicht in einer Domäne. Auf dem Server ist ein lokaler Benutzer angelegt der Berechtigung hat sich einzuwählen.

 

Wisst ihr vielleicht woran das liegen kann. Bin für jede Hilfe dankbar.

 

PS: Ereigniskennung ist 20189 und 20014.

 

Danke

[zuschauer 10]

Hi !

Deine Problembeschreibung ist echt zu vage !

 

In der Threadüberschrift steht "PPTP und Zertifikate". Wenn Du also eine PPTP-Verbindung aufbauen möchtest - dies geschieht immer ohne einen Zertifikats-Austausch, Username + Passwort reicht - was auch gleich den Nachteil dieser Verbindung beschreibt.

 

Wenn Du eine Zertifikats-gebundendene VPN-Verbindung aufbauen möchtest, ist nicht PPTP Dein Freund, sondern L2TP. Stichwort dabei ist "IPSec". ;)

[halber-mcse 10]

mh,

 

aber laut http://www.gruppenrichlinien.de kann man auch pptp mit Zertifikat einsetzten. da steht das es 5 verschiedene Methoden gibt:

 

- PPTP und "normale" Benutzeranmeldung (MS-CHAP v2)

- PPTP und Benutzeranmeldung mit Zertifikat

- L2TP/IPSec + Preshared Key

- L2TP/IPSec + Zertifikat

- L2TP/IPSec + Zertifikat + Benutzeranmeldung mit Zertifikat

 

und ich würde gerne die zweite nehmen.

[IThome 10]

Ich habe dieses Szenario mit einer Unternehmen-Zertifizierungsstammstelle und einem RRAS, der Domänenmitglied ist, aufgebaut. Ich habe aber Computerzertifikate benutzt. Was für eine PKI hast Du denn bei Dir, woher bekommst Du Deine Zertifikate usw.

edit: auf dem Client existiert ein Benutzerzertifikat, ohne das es zum oben genannten Fehler kommt. Der RRAS hat das Computerzertifikat (ich habe auf dem Client eingestellt, dass das Serverzertifikat überprüft werden soll). Auf dem Client muss kein Benutzername angegeben werden, die Authentifizierung erfolgt über das Benutzerzertifikat (aber wie gesagt, mit einer Unternehmens-CA, RRAS und Client sind Member, alle Geräte sind 2003 Server (1*DC,1*RRAS/CA,1*Member))

Noch was :D

Die Fehlermeldung lautet:

Der Dialog kann nicht geladen werden

Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll verwendet werden kann.

.. wenn kein Benutzerzertifikat für den angemeldeten Benutzer existiert

Huch, schon so spät ? :shock:

[halber-mcse 10]

Danke erstmal für die zahlreichen antworten.

 

@ithome: Ich habe eine Eigenständige CA erstellt. Ich habe keine Domäne. Der client hat sein Zertifikat über die CA website bekommen. Muss auf dem Server das Client Zertifikat auch installiert sein?

 

Der Server hat momentan ein Serverauthentifierungszertifikat und das CA Zertifikat.

[IThome 10]

Nein, aber beide müssen der Stammstelle vertrauen ...

In Deiner Konfiguration habe ich es noch nicht probiert, grundsätzlich ist PPTP mit Benutzerzertifikat aber möglich. Hier brauche ich das Serverzertifikat nur, wenn ich am Client konfiguriere, dass das Serverzertifikat abgefragt werden soll.

Was für eine EAP-Methode hast Du konfiguriert ?

[halber-mcse 10]

auf dem RAS Server habe ich eine Richtlinien erstellt wo ich als Authentifizierung Geschütztes EAp drin steht. und wenn ich dort auf bearbeiten klicke sehe ich mein Stammzertifikat für der Server und als EAP Typ steht Sicheres Kennwort (EAP-MSCHAP v2) drin.

 

sowohl auf dem RAS Server als auch auf dem Client ist die CA als vertrauende CA drin.

[IThome 10]

Ich habe mir den Artikel bei gruppenrichtlinien.de mal durchgelesen. Dort steht, dass es mit einer Standalone-CA nicht möglich ist, Smartcard- oder Benutzerzertifikate zur Authentfizierung zu benutzen ...

So wie Du es machen willst, wird es nicht funktionieren ...

Mit einer Domäne und einer Unternehmens-CA ist es dagegen kein Problem ...

[halber-mcse 10]

Mh,

 

hatte diesen Satz woll überlesen. Danke dir trotzdem für deine nette Hilfe und Unterstützung. Da mein router nicht L2TP unterstützt und PPTP mit Zertifikat nicht funktioniert mss ich wohl auf pptp mit MS-Chap v2 zurückgreifen.

 

Ist es denn einigermaßen sicher oder bekommt man das ganze schnell geknackt????

 

Da ich über diesen Tunnel sehr vertraute Sachen übertragen muss. Danke

 

MIt freundlichem Gruß

[IThome 10]

Wenn es, wie Du sagst, um äußerst vertrauliche Daten geht, würde ich sowas nur mit einem hochverschlüsselten IPSec-Tunnel machen. Ich bin kein Hacker und weiss daher nicht, wie lange es dauert oder wie aufwändig es ist, einen Tunnel zu knacken oder wie in Deinem Falle den Benutzernamen und das Kennwort. Die Fachliteratur spricht im Allgemeinen davon, dass IPSec die wesentlich sicherere Methode ist.