Radius-server + WLan + L2TP

[Martin Klinkigt 10]

Hallo alle miteinander,

 

Also, mein kabelgebundenes Netzwerk ist soweit komplett und funktioniert. Nun wollte ich mich an das Wlan setzten.

Derzeit ist es noch so, dass Wlan mittels WPA-PSK angesichert ist. Dies sagt mir aber nicht besonders zu, weshalb ich das ganz ändern wollte und zwar wie folgt:

 

Im Wlan-Access-Point kann die ich die Autorisierung durch einen RADIUS-Server realisieren lassen. 2K3-Server liefert ja mit IAS einen RADIUS-Server mit, doch irgendwie komme ich damit nicht ganz klar. Muss ich da nochmal jeden Computer/Benutzer einzeln freischalten, oder kann ich das nicht mittels einer zusätzlichen Benutzergruppe realisieren?

 

So und nun zum eigentlichen Teil. Ich wollte dann den ganzen Traffic des WLan mittels VPN und L2TP umsetzen. Nun VPN habe ich auch schon zum laufen bekommen, aber immer nur mit PPTP. Sobald ich L2TP auswähle, kommt dass ich kein Zertifikat hätte. Nun dass kann aber eigentlich nicht sein, da ich meinen Zertifikat-Server schon angesteuert habe und ein Zertifikat bekommen habe und es installiert wurde. Habe ich etwas übersehen?

 

Danke

Martin Klinkigt

[Velius 10]

Hi und willkommen

 

Ich blicke da nicht ganz durch, wo jetzt welches Problem ist, aber vielleicht helfen dir folgende Artikel:

 

http://support.microsoft.com/default.aspx?scid=kb;de;317589

http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_ias_how.asp

 

 

Gruss

Velius

[Martin Klinkigt 10]

hi,

 

der erste Link hilft mal überhaupt nicht weiter. das was ich von dem schlechten deutsch verstehe, habe ich schon gemacht.

bei dem zweiten muss ich mich erstmal hinsetzen und alles durchlesen.

 

das Problem mit RADIUS ist, dass der AP die Autentifizierung nicht macht, also er werkelt ne weile rum und dann ist nichts passiert. Deswegen wollte ich wissen, wie ich den IAS einrichten muss, dass das ganze klappt.

 

cu

Martin Klinkigt

[Velius 10]

Tja, gegen das Deutsch kann ich auch nichts machen ;)

 

Abgesehendavon, dass du nicht schilderst, was du für AP's hast, musst du diese als RADIUS Clients einrichten und ein Shared Secret verteilen, dass das funktioniert.

 

 

http://www.msisafaq.de/Anleitungen/2004/Konfiguration/ISAIAS.htm

 

Dieser Artikle könnte auch etwas Licht zu Tage führen. Er handelt zwar von ISA 2004 als IAS/RADIUS Client, aber das Prinzip ist das selbe.

[Martin Klinkigt 10]

beim AP handelt es sich um einen T-Sinus 154 DSL Basic SE. Ist zwar eigentlich ein Router nur der Router wird nicht genutzt, weil ich das mittels RAS löse (habe ich mehr Kontrolle).

 

Der Artikel scheint aber zumindest mal weiter zu helfen. Ich werde es probieren und mich nochmal melden.

 

Danke

Martin

[grizzly999 11]

Wenn er sagt, du habest kein zertifikat, dann hat er meistens recht. Was hast du denn für ein Zertifikat (Zweck, für wen)?

Und es brauchen beide Seiten ein Zertifikat, natürlich nebst dem Zertifikat der Root-CA.

 

 

grizzly999

[Martin Klinkigt 10]

Ich habe nichts anderes gemacht, als mich mittels ie auf dem Zertifizierungsserver gemeldet (certsrv) und dann gemacht, was er wollte.

 

Das ganze habe ich sogar in verschienden optionen durchgegangen. Auf dem client sind ein benutzer und ein basis-efs zertifikat installiert.

 

Gruß

Martin

[grizzly999 11]

Für L2TP brauchts aber auf den beteiligten Computern IPSec-Zertifikate oder Clientzertifikate, ist egal, aber für den Computer!

 

grizzly999

[Martin Klinkigt 10]

Wie bekomme ich das Zertifikat vom meinem Clienten auf den Server?

muss ich dieses umständlich einspielen, oder geht das auch über die http-Seite?

[Martin Klinkigt 10]

Als die ISA Seite hat nur bedingt weitergeholfen. zumindest meldet sich jetzt mal der AP beim Server.

anbei hänge ich zwei Bilder. das eine ist die alte Konfiguration mit WPA-PSK und das zweite ist so, wie ich es gerne hätte. (Die Qualität ist sehr schlecht, aber größere Dateien sind hier nicht erlaubt)

 

Der client Computer verbindet sich jetzt zumindest mal mit dem AP, bekommt aber keine IP. Die Meldung auf dem Server ist die folgende:

Benutzer "Martin Klinkigt" wurde Zugriff verweigert.

Vollqualifizierter Benutzername = informatik.us.to/Users/Martin Klinkigt

NAS-IP-Adresse = 0.0.0.0

NAS-Kennung = SERVER

Kennung der Anrufstation = MAC-Adresse des AP:INFORMATIK

Kennung der Empfängerstation = MAC-Adresse des Clients (Wlan)

Clientanzeigename = WLan-AccessPoint

Client-IP-Adresse = IP des AccessPoints

NAS-Porttyp = Wireless - IEEE 802.11

NAS-Port = 29

Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden

Authentifizierungsanbieter = Windows

Authentifizierungsserver = <unbestimmt>

Richtlinien-Name = AccessPoint Zugriff gestatten

Authentifizierungstyp = EAP

EAP-Typ = <unbestimmt>

Code = 66

Ursache = Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden RAS-Richtlinie nicht aktiviert wurde.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

[Velius 10]

Steht doch da....

 

Ursache = Der Benutzer hat versucht, eine Authentifizierungsmethode zu verwenden, die in der entsprechenden RAS-Richtlinie nicht aktiviert wurde.

 

Du hast auf dem RADIUS keine Zugriffsrichtlinie gesetzt. Wie das geht findest du auch im Link ;)

[Martin Klinkigt 10]

Link wäre ja schön und gut, aber da kommt einfach nur:

Bitte entschuldigen sie die Unannehmlichkeiten

 

Es gibt keine weiteren Informationen ....

 

Kannst du mir vielleicht erklären, wie ich die zugriffsrechte auf der RADIUS server setze?

Das Problem ist, in dem Link von IAS komme ich nicht weiter, weil ich etwas machen muss, dass eben IAS spezifisch ist (NAS-IP-Adress stimmen überein mit...)

soll ich das einfach trotzdem machen?

 

der Rest des Dokumentes bezieht sich auf Firewalleinstellungen, die ich ja so in meinem AP nicht machen kann.

 

Gruß

Martin

[Martin Klinkigt 10]

falls ihr den link noch nicht kanntet, aber hier ist eine sehr gute anleitung zu finden.

Hat mir sehr weitergeholfen.

http://www.gruppenrichtlinien.de/

 

Gruß

Martin

[Martin Klinkigt 10]

Also,

 

bei VPN bin ich mittlerweile soweit, dass sich auf dem Client-computer ein Bentzer-zertifikat befindet. Dies ist auch fehlerfrei, mittels PPTP wird sich auch eingeloggt. Nun das ganze mit L2TP. ich habe mittels konsole ein computer-zertifikat und ein ipSec-zertifikat angefordert, bei werden mir auch als gültig angezeigt.

 

Wenn ich jedoch jetzt die Verbidnung mittels L2TP herstellen will, bekomme ich die fehlermeldung: http://home.vr-web.de/vrweb-hilfe/Vorlagen/DFUEFehler/Fehler787.html

 

Mit den Lösungsvorschlägen kann ich nichts anfangen, da Passwort stimmen (bzw wird ja über zertifikate gemacht und die sind gültig, siehe PPTP), das Computerzertifikat ist auch gültig und das Server-Zertifikat?? Ich haben den Zertifikat-Server vor 24 Stunden neu aufgesetzt.

 

Stehe ich einfach nur auf dem Schlauch?

 

Gruß

Martin

[Martin Klinkigt 10]

hallo,

 

kann mir wirklich keiner helfen?

Finde im Internet zu diesem Fehler nur sperrlich oder überhaupt keine Informationen. Wäre über jegliche Art von Hilfe dankbar.

 

Gruß Martin