2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten
- From: Ewald Bracko <EwaldBracko@xxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Thu, 12 Jun 2008 05:10:00 -0700
Hallo,
ich habe versucht, in einer Testumgebung mit zwei W2k3 Servern gemäß den
Anleitungen von MS
(http://technet2.microsoft.com/windowsserver/de/library/f903c25c-f1db-4358-8143-f71eec911b6a1031.mspx?mfr=true) ein Site-to-Site VPN einzurichten.
Die Server besitzen 2 NICs für LAN und Internet und sind als
Domänencontroller einer jeweils eigenen Domäne (= zwei voneinander
unabhängige Domänen) mit entsprechenden Enterprise-Root-CAs eingerichtet.
RRAS wurde konfiguriert für RAS, NAT und Routing (LAN & Dial-on-demand),
statische IP-Adresspools sowie Authentifizierung EAP wurden konfiguriert und
RAS-Richtlinien wurden konfiguriert.
Alle benötigten Zertifikate wurden gemäß der Anleitung erstellt und
eingespielt. (automatisch zugeteilte Domanencontrollerzertifikate,
Root-Zertifikate, angepasste Router-Zertifikate)
Die Dial-on-demand Schnittstellen wurden konfiguriert und eingerichtet, die
Zertifikate an die Benutzerkonten der Schnittstellen gemappt.
NAT-Schnittstellen wurden eingerichtet (extern & intern), allerdings zum
Testen erstmal ohne Firewall.
Kurz gesagt, ich bin ziemlich genau nach der Anleitung vorgegangen.
Bei dem Versuch, eine Verbindung zwischen dein Dial-on-demand Schnittstellen
herzustellen, bekomme ich folgende Fehlermeldung:
"Die Verbindung mit der Schnittstelle wurde getrennt."
"Der folgende Fehler ist aufgetreten: Die Schnittstelleninformationen wurden
nicht festgelegt."
Merkwürdig ist folgendes: Ich habe die Authentifizierung testhalber von
Zertifikaten (EAP) auf MS-CHAP-V2 umgestellt (Schnittstellen,
RAS-Richtlinien, Servereigenschaften). Nun konnte ich die Verbindung ohne
Fehlermeldung problemlos herstellen.
Ich habe testhalber auf beiden Servern jeweils eine RAS-VPN-Verbindung nach
den Vorgaben der Dial-on-demand Schnittstellen konfiguriert (jetzt wieder mit
Authentifizierung per Zertifikat, auch mit Verifizierrung des
Serverzertifikats) und zum Verbinden das jeweilige Zertifikat für die
Dial-on-demand Schnittstelle verwendet. Auch hier konnte ich problemlos eine
Verbindung herstellen und die Dial-on-demand Schnittstelle des gerufenen
Servers zeigte "Verbindung hergestellt" an.
Das Problem tritt nur auf, wenn ich versuche, über die Netzwerkschnitstellen
mittels der Dial-on-demand Schnittstellen im RRAS die Verbindung aufzubauen.
Verwende ich für die Dial-on-demand Schnittstelle die RAS-Wählfunktion via
router.pbk (c:\windows\system32\ras, enthält die Konfiguration für die
Dial-on-demand Schnittstellen), lässt sich die Verbindung problemlos aufbauen.
Das Problem scheint direkt mit dem Initiieren der Verbindung der
Dial-on-demand Schnittstellen zusammenzuhängen - allerdings nur, wenn zum
Authentifizieren EAP mit Zertifikaten verwendet werden. Das trifft übrigens
auch bei PPTP-Verbindungen zu.
Kann mir jemand bitte dabei helfen, herauszufinden, warum die Verbindung
zwischen den Diel-on-demand Schnittstellen mit der obigen Fehlermeldung
abbricht?
Vielen Dank schon im Voraus!
Zur Info:
Die Tests habe ich mit der Evaluierungsversion von MS Windows 2003 Server
Enterprise Edition (SP1 & SP2) durchgeführt.
.
- Follow-Ups:
- Prev by Date: Re: Remotezugriff auf MMC "Routing und Ras"
- Next by Date: Re: Remotezugriff auf MMC "Routing und Ras"
- Previous by thread: Re: PC im Netzwerk sperren
- Next by thread: Re: 2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten
- Index(es):
Relevant Pages
|
