VPN Einwahl; Fehler 691

[Abaddonrz 10]

Hallo erstmal,

 

habe ein schwerwiegendes Problem, was bis zum 9. Mai gelöst sein sollte

 

mein Projekt ist die Fernwartung einer Außenstelle über VPN. Aber im Grunde genommen sind die Umstände unwichtig.

 

Mein Problem:

Ich habe ein Zertifikat auf meinem Server 2003 erstellt und das RAS konfiguriert. Nur Zertifikatgestüzte Einwahl ist möglich. Der Client (der Mitglied der Domäne ist) lädt sich das Zertifikat über das Webinterface und installiert es. Möchte er sich jetzt jedoch einwählen, bekomm ich die Fehlermeldung:

Benutzername und Kennwort werden verifiziert...

 

Fehler 691: Der Zugriff wurde verweigert, weil der Benutzername bzw. das Kennwort für die Domäne ungültig ist.

 

Was ich nicht verstehe ist, warum ein Benutzername und ein pass überhaupt abgefragt werden. Das Zertifikat alleine ist doch für die Authentifizierung zuständig?!?

Außerdem funktionierte das einwählen mit Domänenpasswort ohne Zertifikat per PPTP ohne Zertifikat wunderbar.

 

Wäre echt dankbar wenn mir jmd. helfen könnte.

 

Danke im Vorraus!

[grizzly999 11]

Hallo und willkommen im Board

 

Sind denn beim Server und vor allem beim Client als Authentifizierung EAP ausgewähhlt worden?

 

 

grizzly999

[Abaddonrz 10]

Habe explizit nur EAP angewählt. Eine andere Verbindung ist nicht möglich...

[Abaddonrz 10]

Also nochmal zur Situation:

Ich möchte, dass sich User per VPN ins Firmennetz einwählen können.

Dabei soll eine L2TP Verbindung verwendet werden. Als Authentifizierung soll nur EAP zum Einsatz kommen nicht mit Smartcard sondern zertifikatgestützt.

[grizzly999 11]

Na, wir fangen mal ganz unten an: Netzwerkumgebung (genau beschrieben, vor allem zum Internet hin), VPN-Server OS/SP? Client OS/SP? CA, welche?

 

Du willst eine PPTP-Verbindung mit EAP, korrekt? Du hast ein Benutzerzertifikat angefordert, von welcher CA (siehe Frage oben)? Ist das Zertifikat im AD am Benutzerkonto eingetragen?

 

grizzly999

[grizzly999 11]

/edit: Beiträge überschnitten :wink2:

 

L2TP? Du hattest vorher was geschrieben von PPTP. Witr sollten da systematisch vorgehen ....

 

 

grizzly999

[Abaddonrz 10]

Sorry! Komme selber durcheinander! Mir raucht der Kopf. Also es sollte mal eine L2TP werden, aber mir reicht es im Moment, wenn überhaupt mal eine Verbindung mit Zertifikaten zustande kommt...

Mein VPN Server ist ein Server 2003 und hängt im Firmennetz. Die Clients sind auch im Firmennetz (habe keinen extrernen Rechner zum testen, aber theoretisch wären sie direkt ins Internet eingewählt)

Weiß nicht was du noch wissen musst...

Hab gerade mal unter den Richtlinien bei der Auswahl des EAP Anbieters auf Bearbeiten von Smartcard oder anderes Zertifikat geklickt und er sagt:

Es konnte kein Zertifikat gefunden werden, dass mit dem EAP benutzt werden kann

[grizzly999 11]

Zunächst sollte erst einmal das mit dem L2TP klappen, ohne EAP, mit MS-CHAP-V2, dann wenn die Verbindung klappt, kann man EAP angehen.

 

Für L2TP brauchst du Computerzertifikate für den VPN-Server und den VPN-Client. eine Anleitung mit einer eigenständigen CA findest im HowTo Bereich auf unserer Hompage (siehe mein Profil).

Falls der VPN-Server oder der VPN-Client, oder gar beide, hinter einem NAT-Gerät sitzen, also nicht direkt mit dem Internet verbunden sind, ist im Tutorial der Teil 6 Abschnitt H zu beachten. Man braucht dann entweder den genannten Hotfix für 2000/XPSP1 oder den RegistryKey für XPSP2.

 

Wenn es eine Unternehmens-CA ist, dann die Computerzertifikate für den Server und den Client am besten über die MMC->SnapIn "Zertifikate-lokaler Computer" anfordern.

 

Auf dem VPN-Server und dem VPN-Client zunächst nur MS-CHAP V2 als Authentifizierungsmethode auswählen. Wenn die Verbindung klappt, dann kommt EAP dran ;)

 

grizzly999

[Abaddonrz 10]

Also...

Ich werde jetzt versuchen eine Verbindung per L2TP ohne EAP aufzubauen. Kein NAT bei uns vorhanden. D.H. ich richte eine Stammzertifizierungsstelle ein und installiere das Zertifikat auf dem Client, dass ich per /certsrv anfordere. Muß ich auch ein Stammzertifizierungsstellenzertifikat unter vertrauenswürdige Stammzertifizierungsstellen importieren?

[Abaddonrz 10]

Gleich noch eine Frage:

"Wichtig dagegen ist das Häkchen "Zertifikat im lokalen Zertifikatsspeicher aufbewahren" zu selektieren, denn sonst wird das Zertifikat nachher nicht für den Computer installiert, sondern für den Benutzer, womit unser IPSec nicht funktionieren würde."

Muß ich an der Domäne angemeldet sein oder reicht es, wenn der Rechner Mitglied ist. Wenn ich nämlich angemeldet bin, bekomm ich aus dem Grund (Zert. im lok. Zert.speicher aufbewahren) eine Fehlermeldung: Keine Berechtigung.

Bin ich lokal angemeldet geht es.

[grizzly999 11]

Wenn du eine eigenständige CA einrichtest, geht die Anforderung nur über die certsrv-Site auf der CA. Dann musst du auf dem VPN-Server und dem Client auch das Stammzertifizierungsstellenzertifikat in den Speicher der Vertrauenswürdigen Stammzertifizierungsstellen importieren, geht auch über diese Webseite. Das ist wichtig, sonst klappt schon L2TP nicht.

 

 

grizzly999

[Abaddonrz 10]

Fehler 792!!!!

Ich werd ****. Hab mich zwar gefreut mal eine andere Fehlermeldung zu bekommen, aber in deinem Tutorial steht ja drin, dass es jetzt wohl fast an allem leigen kann oder?!?

[grizzly999 11]

Ja, der Fehler kann viele Ursachen haben.

Hast du schon versucht, in den VPN-Clienteigenschaften unter Netzwerk den Verbindungstyp fest auf L2TP einzustellen (nicht automatisch erkennen).

Die Rootzertifikate sind drin in beiden Rechnern?

Es sollte was im Ereignislog zu finden sein. Schalte zum Troubleshooting auch mal die Fehlüberwachung für Anmeldeereignisse auf dem VPN-Server und Client ein.

 

Und du bist sicher, dass da nirgends NAt dazwischen ist? Wie geht der Client ins Internet?

 

grizzly999

[Abaddonrz 10]

Habe fest auf L2TP/IPSec getsellt. Zertifikate sind auf Server sowie Client in "Eigene Zertifikate" und in "Vertrauenswürdige Stammzertifizierungsstellen". Kein NAT! 100%!

Client und Server liegen im selben Netz! Haben ihren Gateway und eine statische IP!

 

Ich finds echt cool, dass du mir da wirklich probierst zu helfen, ist sehr wichtig für mich.

[grizzly999 11]

Ja, im selben Netz da sollte es auf jeden Fall funktionieren. Eigentlich kein Problem, kann nur eine Kleinigkeit sein.

 

Da ich aber nicht davor sitze, noch ein paar Fragen:

1)

Zertifikate sind auf Server sowie Client in "Eigene Zertifikate"

Liegen in "Eigene Zertifikate" unter Computer? (Habe es auch schon unter Benutzer gesehen, wo es natürlich nicht geht ;) )

 

2)

Der Client stellt die Verbindung zum VPN-Server über die IP her oder den Namen?

 

3)

Es sollte was im Ereignislog stehen ......... !!

 

4)

Ganz am Anfang oben, welcher Server, welches SP?

Zwei NICs oder eine?

Welcher Client, welches SP?

 

grizzly999