locked
Win7-Client * L2TP/IPSec-VPN zu TMG 2010 * Fehler 835 RRS feed

  • Frage

  • habe auf der einen seite einen 2008r2-server mit installiertem tmg 2010. es soll nun erst einmal von einem win7-client aus ein l2tp/ipsec-vpn zu diesem server aufgebaut werden.

    • pptp funktioniert ohne probleme
    • l2tp/ipsec ohne "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen funktioniert ohne probleme
    • l2tp/ipsec mit "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" in den erweiterten Sicherheitsoptionen ergibt immer den fehler 835

    Fehler 835: Die L2TP-Verbindung konnte nicht hergestellt werden, da der Remotecomputer von der Sicherheitsstufe nicht authentifiziert werden konnte. ...

    Wo könnte da der Hund begraben liegen bzw. muss ich forschen und etwas ändern?

    Donnerstag, 3. März 2011 14:06

Antworten

  • Also - Problem gelöst.

    Mein Fehler war wohl, dass in der für meine IPSec-Zertifikate verwendeten Vorlage in der "Key Use" die "Digitale Signatur" fehlte (vgl. http://blogs.technet.com/b/rrasblog/archive/2009/06/10/what-type-of-certificate-to-install-on-the-vpn-server.aspx ).

    Habe das korrigiert, neue Zertifikate erzeugt und danach klappte die L2TP/IPSec-Verbindung auch mit Überprüfung.

    Da nun die Verbindung in allen Varianten (PPTP, L2TP/IPSec mit/ohne Überprüfung bzw. mit PSK, SSTP) klappt werde ich als nächstes mal die Quarantänefunktion (NAP, ... ?) evaluieren. Habt ihr da irgendwelche nützlichen Links für mich?

    Freitag, 11. März 2011 13:29

Alle Antworten

  • moin scholle,

    wie bist du bei der konfig vorgegangen? pptp geht sagst du prima. hast du zuerst mal l2tp/ipsec mit psk ausprobiert? falls das klappt, dann willst du anstelle des psk zertifikate verwenden? falls ja, dann müssen deine externen 7ner die ca kennen und ein computerzertifikat vorweisen können sowie dein tmg auch.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 3. März 2011 14:44
  • Hi,

    http://support.microsoft.com/kb/926179 ?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. März 2011 17:43
  • habe der reihe nach getestet (vom w7-client zu w2k8r2/tmg2010):

    • pptp funktioniert
    • l2tp/ipsec ohne "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" funktioniert
    • l2tp/ipsec mit "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" funktioniert nicht
    • l2tp/ipsec mit psk funktioniert
    • sstp funktioniert

    sowohl mein w7-client als auch der tmg haben ein computerzertifikat und vertrauen der ca.

    der registry-eintrag aus der ms-kb hatte keinen effekt.

    es tritt immer noch der fehler 835 beim verbindungsversuch (l2tp/ipsec mit überprüfung) auf.

    ???

    Donnerstag, 10. März 2011 13:33
  • Hi,

    wenn "Namen- und Verwendungsattribute des Serverzertifikats überprüfen" das nicht geht, vermute ich mal, dass es am Zertifikatstemplate der CA liegt und / oder an dem Verwendungszweck des Zertifikats. Kannst Du mal die OID und die Extended Attributes des Zertiifkats posten, dann vergleich eich das mal mit einem Zertifikat wo das geht. Was fuer eine Version ist die ausstellende CA? CNG wird nicht verwendet? Welches Certificate Template wird verwendet?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 10. März 2011 13:47
  • Jetzt wird's für mich langsam schwierig - na mal sehen (habe mich im Rahmen des VPN-Projekts bei uns nämlich erst in die ganze Zertifikatsproblematik versucht einzuarbeiten):

    • Vorlage=firma IPSec (Offlineanforderung)(1.3.6.1.4.1.311.21.8.7480041.3887681.10241703.6310431.294502.194.1104325.581711)
      Höhere Versionsnummer=100
      Niedrigere Versionsnummer=7
    • Version CA = V3
    • CNG?
    • Wo bekomme ich die OID? Zertifikat -> Zertifikateigenschaften -> erweiterte Überpfüfung? Dort sind keine OIDs angegeben.
    • Extended Attribute? Die Erweiterungen im Zertifikat?
    • EKU: Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
      IP-Sicherheits-IKE, dazwischenliegend (1.3.6.1.5.5.8.2.2)
    Donnerstag, 10. März 2011 14:31
  • Also - Problem gelöst.

    Mein Fehler war wohl, dass in der für meine IPSec-Zertifikate verwendeten Vorlage in der "Key Use" die "Digitale Signatur" fehlte (vgl. http://blogs.technet.com/b/rrasblog/archive/2009/06/10/what-type-of-certificate-to-install-on-the-vpn-server.aspx ).

    Habe das korrigiert, neue Zertifikate erzeugt und danach klappte die L2TP/IPSec-Verbindung auch mit Überprüfung.

    Da nun die Verbindung in allen Varianten (PPTP, L2TP/IPSec mit/ohne Überprüfung bzw. mit PSK, SSTP) klappt werde ich als nächstes mal die Quarantänefunktion (NAP, ... ?) evaluieren. Habt ihr da irgendwelche nützlichen Links für mich?

    Freitag, 11. März 2011 13:29
  • Hi,

    perfekt. So etwas in der Richtung hatte ich vermutet. Die Meldung die Dein Client bekommt war recht eindeutig :-)
    Wegen NAP: Ich habe mal 5 Sekunden fuer Dich gesucht und die ersten drei Links des Suchergebnisses von Google, aeeh Bing fuer Dich heir eingefuegt
    http://blogs.technet.com/b/yuridiogenes/archive/2008/09/29/configuring-vpn-client-access-on-forefront-tmg-with-nap-integration.aspx
    http://technet.microsoft.com/en-us/library/dd440978.aspx
    http://technet.microsoft.com/de-de/library/dd441017.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 11. März 2011 18:57