none
L2TP/IPSEC VPN mit PreShared Key funktioniert, Clientzertifikat Error 789 RRS feed

  • Frage

  • Hallo zusammen,

    ich habe ein Problem bei der Implementierung der zertifikatsbasierten L2TP-VPN. Wenn ich hier auf Server und Client einen Preshared-Key verwende funktioniert die Einwahl, beim der Authentifizierung über das Clientszertifikat bekomme ich quasi 'n Timeout mit dem Error 789 (Fehler bei Aushandlung während der ersten Phase...)

    Leider wird der Fehler 789 recht großzügig verwendet, sodass mir das nicht wirklich weiterhilft.

    Server: Server 2012 R2
    Clients: Windows 8.1
    Clientzertifikat: Enhält Clientauthentifizierung und Serverauthentifizierung

    ClientRegistriy: AssumeUDPEncapsulationOnSendRule ist auf 2, CRL-Checking ist auf 1 (CRLs sind nicht aus dem Internet erreichbar, interne CA)

    Hat hier vielleicht irgendjemand noch n Tip für mich? Ein vermeintliches IPSEC-Trace habe ich bereits gemacht, allerdigs sehe ich aus dem Ergebnis nicht wirklich was da schief läuft:

    IPSEC-Trace: https://technet.microsoft.com/de-de/library/ff428146%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    LG,

    Tom

    Dienstag, 12. Mai 2015 09:52

Antworten

Alle Antworten

  • Hallo Tom,

    schauen Sie sich das an:

    Windows 7 IPSec/L2TP VPN connection Problem

    Troubleshooting common VPN related errors

    Gruß,

    Teodora


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 13. Mai 2015 07:15
    Moderator
  • Hallo,

    noch ist das Problem nicht gelöst, ich konnte es jedoch auf Probleme mit dem Zertifikat auf Serverseiten eingrenzen. Der Server hat hier mehrere Zertifikate im lokalen Speicher, unter anderem zwei Zertifikate mit demselben CN. Dieses ist notwendig, weil unterschiedliche Dienste mit unterschiedlichen Nutzerkreisen Dienste nutzen.

    Eine Analyse durch den Premier-Support sagt aus, dass Server und Client nicht über Zertifikate von derselben CA verfügen. Dieses stimmt allerdings so nicht. Der Kunde hat eine zweistufige CA mit intakter Zertifikatskette. Server und Clients haben Zertifikate von derselben Issuing-CA.

    In einem Wiresharkstrace sieht es so aus, als wenn das relevante Zertifikat nicht an den Clients übertragen wird, andere Zertifikate jedoch schon.


    • Bearbeitet Tommey82 Mittwoch, 20. Mai 2015 09:43
    Mittwoch, 20. Mai 2015 09:42
  • Hallo Tom,

    sind Sie inzwischen weitergekommen? Wenn Sie eine Lösung gefunden haben, teilen Sie sie bitte der Community mit, so dass auch andere Benutzer davon profitieren können.

    Bitte beachten Sie, dass ich wegen keiner weiteren Aktivitäten das Thema als Diskussion verschieben werde.

    Mit freundlichen Grüßen,

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 8. Juni 2015 09:50
    Moderator
  • Hallo zusammen,

    hierbei handelt es sich um einen BUG in Server 2012 R2. Wenn zwei unterschiedliche Zertifikate für L2TP und DirectAccess verwendet werden, schreibt das DirectAccess-Setup einen Reg-Key, welcher den Thumbprint des für DirectAccess-konfigurierten Zertifikats enthält. Dieser Reg-Key beeinflusst die globale IPSEC-Richtline und sorgt dafür, dass niemals das richtige Zertifikat für L2TP/IPSEC-VPN verwendet wird.

    Aktuell prüft die Produktgruppe ob hierfür ein Patch geschrieben wird.

    Gruß,

    Tom

    Montag, 13. Juli 2015 17:33
  • Laut meinem Stand bringt Microsoft Corp zu diesem Thema am 15.10.15 einen Patch heraus. Das Thema kann als gelöst gekennzeichnet werden. Leider kann ich meinen eigenen Beitrag nicht als Lösung kennzeichnen.
    Freitag, 21. August 2015 07:12