Evolution100 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Hi zusammen, ich hab einen Windows 2003 Server, bei dem ich VPN eingerichtet hab und mich auch über Kennwort einwählen kann. Nun möchte ich aber das ganze noch absichern und mit einem Zertifikat hinterlegen. Leider funktioniert das nicht... Kann mir da jemand helfen? mit der Anleitung von http://www.qitcon.com/ komm ich leider auch nicht weiter.. Danke schonmal Evo Quote Link to comment
hubivo 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Hier ist auch noch eine Seite, bei der das beschrieben wird: Gruppenrichtlinien.de best regards hubivo Quote Link to comment
IThome 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Hm, ich hatte das mal Schritt für Schritt nach Grizzlys Anleitung gemacht, da gab es keine Probleme ... Quote Link to comment
grizzly999 11 Posted April 6, 2006 Report Share Posted April 6, 2006 Hi zusammen, ich hab einen Windows 2003 Server, bei dem ich VPN eingerichtet hab und mich auch über Kennwort einwählen kann. Nun möchte ich aber das ganze noch absichern und mit einem Zertifikat hinterlegen. Leider funktioniert das nicht... Kann mir da jemand helfen? mit der Anleitung von http://www.qitcon.com/ komm ich leider auch nicht weiter.. Danke schonmal Evo @Evolution1000: Was meinst du mit "Zertifikat hinterlegen"? Ein Benutzerzertifikat? Dafür ist das HowTo nicht geschrieben. Das ist etwas aufwendiger zu erklären, aber erkläre doch zuerst was du genau möchtest bzw. wo das Problem liegt, dann kann dir geholfen werden ;) @hubivo: wenn du nicht genau DAS Problem von Evolution1000 hast, und davon gehe ich aus, dann mache einen Thread auf und erkläre dein Problem. A) keine Overtakes, so sehen das schon aus gutem Grunde die Boardregeln vor B) Mit dieser deiner "Fehlerbeschreibung" gibt's sowieso kein Hilfe grizzly999 Quote Link to comment
IThome 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Ähm , ja , stimmt, die Beschreibung bezieht sich auf ein Computerzertifikat, mit dem ein IPSEC-Tunnel authentifiziert wird ... Quote Link to comment
Evolution100 10 Posted April 6, 2006 Author Report Share Posted April 6, 2006 Hallo zusammen, jetzt sitz ich vor den Kisten und hab alles nochmal durchgespielt. Zertifikate sind drinnen ich hatte vorher schonmal eine Zertifizierungsstelle eingerichtet, diese hab ich deinstalliert und nochmal von vorne alles durchgespielt. der Ras war aber noch installiert. ich hab dann nachträglich unter sicherheit des ras servers auf EAP umgestellt und MS CHAP 2 deaktiviert, in der Richtlinie hab ich ebenfalls unter Authent. => profile bear. EAP den punkt smartcard oder zertif. hinzugefügt. wenn ich nun einen client einrichte, muss ich doch als verbindung sicherheit auch auf EAP umstellen oder? und was muss da aktiv sein? - zertif. auf diesem comp verwenden --einfach. zertauswahl verw (empf) -serverzert überprüfen - vertrauenswürdi stammzert meines ausgewählt Fehler 798 es konnte kein zert. gefunden werden das mit dem eap verwendet werden kann Was mach ich denn da falsch? Gruß Evo Quote Link to comment
holgi_man 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Hi @ all @ Evolution100 Hallo erstmal ... Ich glaube da fehlen noch ein paar ansätze die du mal genauer erläutern solltest ... bevor man da eine konkrete Aussage machen kann ... Was willst du denn machen ? VPN oder RAS Lokal anmelden oder per vpn wenn vpn hast du die sitzung mal ohne "sicherheit" hinbekommen? Woher holst du dir das Zertifikat? Für Wen ist das Zertifikat? Bitte mal genau beschreiben was du tun möchtest mit den freundlichsten holgi :) Quote Link to comment
Evolution100 10 Posted April 6, 2006 Author Report Share Posted April 6, 2006 Hallo Holgi, ich möchte mich von unterwegs aus, per vpn in die domäne (firmennetz) einloggen. Die möchte ich direkt über "über dfü einloggen" vornehmen (um auch netzlaufwerke usw. direkt zu bekommen) Das ganze geht auch schon über ms chap2 zertifikat hab ich auf dem client (welcher dabei in der domäne war) vom server abgeholt (genau wie auf der seite http://www.qitcon.com/ beschrieben) ich hoffe das ist alles (hab von vpn noch wenig ahnung..) Quote Link to comment
IThome 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Du hast also ein IPSEC-Zertifikat und möchtest zusätzlich noch die L2TP-Verbindung mit einem Benutzerzertifikat authentifizieren lassen und das alles schon bei der Anmeldung ? Das mit dem IPSEC-Zertifikat ist ja kein Problem, aktivierst Du aber EAP, benötigst Du auch ein Benutzerzertifikat, welches (meiner Meinung nach) zum Zeitpunkt der Anmeldung nicht lesbar ist. Wenn Du angemault wirst, dass EAP kein Zertifikat finden kann, dann hast Du kein Benutzerzertifikat ... Grizzly ist in solchen speziellen Fällen aber eher der Ansprechpartner, vielleicht weiss er ja noch was ... Quote Link to comment
Evolution100 10 Posted April 6, 2006 Author Report Share Posted April 6, 2006 ich schaffs ja leider nichmal mich nur mit ipsec einzuloggen... (bzw. wie weiss ich denn dass ich mit ipsec verbnden bin? weder beim anmelden, noch dann wenn ich angemeldet bin Quote Link to comment
grizzly999 11 Posted April 6, 2006 Report Share Posted April 6, 2006 Also, du hast die Computerzertifikate nach Anleitnug installiert? Du wählst auf dem RAS-Server im Profil der RAS-Richtlinie MS-CHAP V2 als authentifizeirungsmethode aus. Auf dem Client in den Eigenschaften der VPN Verbindung auch, dort unter SIcherheit (wäre allerdings sowieso Standard, bräuchte man also nicht zu tun). Dann sollte die Einwahl auf jeden Fall klappen. EAP kann man dann noch oben drauf setzen. grizzly999 Quote Link to comment
IThome 10 Posted April 6, 2006 Report Share Posted April 6, 2006 Also funktioiert EAP doch schon bei der Anmeldung ? Ich bekomme immer die Fehlermeldung (sinngemäss), dass dieser Typ nicht zulässig ist ... Quote Link to comment
grizzly999 11 Posted April 6, 2006 Report Share Posted April 6, 2006 Wie "Bei der Anmeldung"? grizzly999 Quote Link to comment
IThome 10 Posted April 6, 2006 Report Share Posted April 6, 2006 "Über das DFÜ-Netzwerk anmelden" , bei der interaktiven Anmeldung. Hab mir mal so eine Verbindung erstellt, die auch funktioniert, wenn ich angemeldet bin und mich dann mit dem VPN-Server verbinde. Versuche ich es schon während der interaktiven Anmeldung, bekomme ich obige Meldung ... edit: Ich hab es noch mal nachgebaut, hab eine Unternehmens-CA konfiguriert und will mich mit L2TP/IPSEC mit Zertifikaten verbinden. Die Verbindung funktioniert, wenn ich sie nach der Anmeldung des Users mit dem Benutzerzertifikat herstelle. Wenn ich sie bei der interaktiven Anmeldung herstellen möchte, bekomme ich folgenden Fehler: "Der Dialog kann nicht geladen werden Fehler 785: Sie können während der Anmeldung nicht über diese Verbindung wählen, da diese nicht für Smartcards konfiguriert ist. Sie müssen die Verbindungseigenschaften entsprechend ändern, falls Sie die Verbindung während der Anmeldung verwenden möchten." Das funktioniert nur mit Smartcards, weil das Zertifikat auf der Karte ist und nicht im Zertifikatspeicher des Benutzers ?! Quote Link to comment
grizzly999 11 Posted April 6, 2006 Report Share Posted April 6, 2006 Genau, er kann ja auf den Zertifikatsspeicher des Benutzers nicht zugreifen, wenn dieser noch nicht authentifiziert ist . Ausnahme: EAP-TLS mit 802.1x bei WLAN mit RADIUS, da meldet er den User wohl mit den cached credentials an, um das Zertifikat rauszuholen. grizzly999 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.