jeevan 10 Geschrieben 3. Mai 2006 Melden Geschrieben 3. Mai 2006 Hallo,  ich möchte ein Site-2-Site VPN aufbauen. Dabei soll L2TP/IPSec zum Einsatz kommen. Da der Tunnel mit EAP-TLS und Zertifikaten aufgebaut werden soll, benötige ich Benutzer und Computer Zertifikate. DafĂŒr habe ich eine Standalone CA eingerichtet, da kein ADS im LAN existiert. Aber irgendwie funktioniert des (dot)net. "Kein passendes Zert. gefunden".  Hat jemand eine Idee wie ich das hinbekommen kann, oder einen netten Link fĂŒr mich? Habe schon gegoogelt, aber jedes HowTo geht von einem AD aus.  Danke Jeevan
pillendreher 10 Geschrieben 3. Mai 2006 Melden Geschrieben 3. Mai 2006 Hi, Â ich hatte das Problem auch erst. Mein Fehler war, dass ich kein IPSec Zertifikat fĂŒr den Computer ausgestellt habe. Â Vielleicht ist das ja auch dein Problem! Â Schau mal da: http://www.qitcon.de/index.php?id=61 Â GruĂ Pille
jeevan 10 Geschrieben 5. Mai 2006 Autor Melden Geschrieben 5. Mai 2006 Hi,  leider kommt es ja nicht zum IPSec, da "L2TP" auf dem Client schon meckert, dass ihm fĂŒr eap-tls ein Cert fehlt. Die IPSec Certs sind alle korrekt installiert.  Die Frage ist nun, ob ich einen ADS benötige um mit eap-tls zu arbeiten, oder ob das auch "harmloser" geht. (?)  GruĂ Jeevan
grizzly999 11 Geschrieben 5. Mai 2006 Melden Geschrieben 5. Mai 2006 Das geht mit einem VPN Server in einer Arbeitsgruppe nicht, weil dem ŽBenutzer kein Zertifikat hinterlegt werden kann.  Siehe auch: EAP-TLS is supported only on servers that are running Routing and Remote Access, that are configured to use Windows Authentication or RADIUS, and that are members of a domain. A remote access server running as a stand-alone server or a member of a workgroup does not support EAP-TLS.  Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/ad57fa1c-b393-4d15-9fff-40130f96b26f1033.mspx   grizzly999
jeevan 10 Geschrieben 5. Mai 2006 Autor Melden Geschrieben 5. Mai 2006 Vielen Dank fĂŒr den Link.  Ist es dann möglich einen reinen IPSec Link zu realisieren und ĂŒber IKE die Benutzerauthentifizierung laufen zu lassen? Nach meiner Erkenntnis gibt es "nur" die Möglichkeit entweder einen PPTP oder L2TP/IPSec Tunnel in Windows zu implementieren. Oder liege ich da falsch?  GruĂ Jeevan
grizzly999 11 Geschrieben 5. Mai 2006 Melden Geschrieben 5. Mai 2006 Das kommt darauf an. erzĂ€hle doch ein bischen was ĂŒber den Netzwerkaufbau zwischen den Standorten, wie wird die Verbindung gemacht, wer macht den Tunnel, usw. Dann schauen wir mal ..... ;)   grizzly999
jeevan 10 Geschrieben 8. Mai 2006 Autor Melden Geschrieben 8. Mai 2006 Also, ich möchte ein site-2-site Netz ĂŒber das Internet aufbauen. Der "Dialer" hat eine dynamische IP, das "Master" eine feste.  Habe nun mal eine kleine DomĂ€ne eingerichtet. Ich habe das mit L2TP/IPSec nun soweit, dass IKE nicht mehr meckert. Bei dem Aufbau der L2TP Verbindung bricht der Client mit Error-Code 691 (invalid user/password) ab. Nur ist der User in der DomĂ€ne eingerichtet. Dazu muss ich sagen, das der angemeldete Client-User (Dialer) nicht identisch dem DomĂ€nen User ist. Allerdings ist das Zertifikat korrekt auf den DomĂ€nen User ausgestellt und in seinem Namen wird auch die Verbindung aufgebaut. Kann es sein, dass beim L2TP Aufbau der User wieder um.switched?  GruĂ jeevan
jeevan 10 Geschrieben 9. Mai 2006 Autor Melden Geschrieben 9. Mai 2006 erfolgreich gelöst. Konfigurationsfehler...
jeevan 10 Geschrieben 10. Mai 2006 Autor Melden Geschrieben 10. Mai 2006 Ich denke es lag an der Konfiguration des VPN Users im AD. Aber sicher bin ich mir da auch nicht. Ich hatte das System neu aufgesetzt und alles wie gehabt aingerichtet. Und zwar in der Reihenfolge: 1. ADS 2. IIS 3. CA + certsrv 4. im ADS die OU VPN mit der Gruppe VPNUser mit einem User VPNUser1 angelegt. 5. User und Computer Cert fĂŒr den Client unter dem Namen VPNUser1 erstellt. 6. RAS installiert und eine Einwahl Policy definiert: - NAS-Typ = VPN - Gruppe = VPNUser - Tunnel-Typ = L2TP Benutzerauth. mit EAP (Certification)  7. Einwahl auf dem Client konfiguriert.  fertig. Ich war etwas verwundert, als es dann ohne Probleme funktionierte, da ich vorher nur eine andere Reihenfolge hatte. Die TĂŒcke liegt wohl im Detail.  Danke fĂŒr die Tipps und hints.  Wenn jemand jetzt noch einen Hinweis hat, wie man erreichen kann, dass bei IP Paketen an ein gewisses Subnetz der Tunnel automatisch aufgebaut und nach einem Timeout wieder abgebaut wird, wĂ€re ich (fast) wunschlos glĂŒcklich.  GruĂ Jeevan
Empfohlene BeitrÀge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto fĂŒr unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden