jeevan 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Hallo, ich möchte ein Site-2-Site VPN aufbauen. Dabei soll L2TP/IPSec zum Einsatz kommen. Da der Tunnel mit EAP-TLS und Zertifikaten aufgebaut werden soll, benötige ich Benutzer und Computer Zertifikate. Dafür habe ich eine Standalone CA eingerichtet, da kein ADS im LAN existiert. Aber irgendwie funktioniert des (dot)net. "Kein passendes Zert. gefunden". Hat jemand eine Idee wie ich das hinbekommen kann, oder einen netten Link für mich? Habe schon gegoogelt, aber jedes HowTo geht von einem AD aus. Danke Jeevan Zitieren Link zu diesem Kommentar
pillendreher 10 Geschrieben 3. Mai 2006 Melden Teilen Geschrieben 3. Mai 2006 Hi, ich hatte das Problem auch erst. Mein Fehler war, dass ich kein IPSec Zertifikat für den Computer ausgestellt habe. Vielleicht ist das ja auch dein Problem! Schau mal da: http://www.qitcon.de/index.php?id=61 Gruß Pille Zitieren Link zu diesem Kommentar
jeevan 10 Geschrieben 5. Mai 2006 Autor Melden Teilen Geschrieben 5. Mai 2006 Hi, leider kommt es ja nicht zum IPSec, da "L2TP" auf dem Client schon meckert, dass ihm für eap-tls ein Cert fehlt. Die IPSec Certs sind alle korrekt installiert. Die Frage ist nun, ob ich einen ADS benötige um mit eap-tls zu arbeiten, oder ob das auch "harmloser" geht. (?) Gruß Jeevan Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Mai 2006 Melden Teilen Geschrieben 5. Mai 2006 Das geht mit einem VPN Server in einer Arbeitsgruppe nicht, weil dem ´Benutzer kein Zertifikat hinterlegt werden kann. Siehe auch: EAP-TLS is supported only on servers that are running Routing and Remote Access, that are configured to use Windows Authentication or RADIUS, and that are members of a domain. A remote access server running as a stand-alone server or a member of a workgroup does not support EAP-TLS. Quelle: http://technet2.microsoft.com/WindowsServer/en/Library/ad57fa1c-b393-4d15-9fff-40130f96b26f1033.mspx grizzly999 Zitieren Link zu diesem Kommentar
jeevan 10 Geschrieben 5. Mai 2006 Autor Melden Teilen Geschrieben 5. Mai 2006 Vielen Dank für den Link. Ist es dann möglich einen reinen IPSec Link zu realisieren und über IKE die Benutzerauthentifizierung laufen zu lassen? Nach meiner Erkenntnis gibt es "nur" die Möglichkeit entweder einen PPTP oder L2TP/IPSec Tunnel in Windows zu implementieren. Oder liege ich da falsch? Gruß Jeevan Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. Mai 2006 Melden Teilen Geschrieben 5. Mai 2006 Das kommt darauf an. erzähle doch ein bischen was über den Netzwerkaufbau zwischen den Standorten, wie wird die Verbindung gemacht, wer macht den Tunnel, usw. Dann schauen wir mal ..... ;) grizzly999 Zitieren Link zu diesem Kommentar
jeevan 10 Geschrieben 8. Mai 2006 Autor Melden Teilen Geschrieben 8. Mai 2006 Also, ich möchte ein site-2-site Netz über das Internet aufbauen. Der "Dialer" hat eine dynamische IP, das "Master" eine feste. Habe nun mal eine kleine Domäne eingerichtet. Ich habe das mit L2TP/IPSec nun soweit, dass IKE nicht mehr meckert. Bei dem Aufbau der L2TP Verbindung bricht der Client mit Error-Code 691 (invalid user/password) ab. Nur ist der User in der Domäne eingerichtet. Dazu muss ich sagen, das der angemeldete Client-User (Dialer) nicht identisch dem Domänen User ist. Allerdings ist das Zertifikat korrekt auf den Domänen User ausgestellt und in seinem Namen wird auch die Verbindung aufgebaut. Kann es sein, dass beim L2TP Aufbau der User wieder um.switched? Gruß jeevan Zitieren Link zu diesem Kommentar
jeevan 10 Geschrieben 9. Mai 2006 Autor Melden Teilen Geschrieben 9. Mai 2006 erfolgreich gelöst. Konfigurationsfehler... Zitieren Link zu diesem Kommentar
Lian 2.338 Geschrieben 9. Mai 2006 Melden Teilen Geschrieben 9. Mai 2006 Woran lag es genau? Zitieren Link zu diesem Kommentar
jeevan 10 Geschrieben 10. Mai 2006 Autor Melden Teilen Geschrieben 10. Mai 2006 Ich denke es lag an der Konfiguration des VPN Users im AD. Aber sicher bin ich mir da auch nicht. Ich hatte das System neu aufgesetzt und alles wie gehabt aingerichtet. Und zwar in der Reihenfolge: 1. ADS 2. IIS 3. CA + certsrv 4. im ADS die OU VPN mit der Gruppe VPNUser mit einem User VPNUser1 angelegt. 5. User und Computer Cert für den Client unter dem Namen VPNUser1 erstellt. 6. RAS installiert und eine Einwahl Policy definiert: - NAS-Typ = VPN - Gruppe = VPNUser - Tunnel-Typ = L2TP Benutzerauth. mit EAP (Certification) 7. Einwahl auf dem Client konfiguriert. fertig. Ich war etwas verwundert, als es dann ohne Probleme funktionierte, da ich vorher nur eine andere Reihenfolge hatte. Die Tücke liegt wohl im Detail. Danke für die Tipps und hints. Wenn jemand jetzt noch einen Hinweis hat, wie man erreichen kann, dass bei IP Paketen an ein gewisses Subnetz der Tunnel automatisch aufgebaut und nach einem Timeout wieder abgebaut wird, wäre ich (fast) wunschlos glücklich. Gruß Jeevan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.