none
Не устанавливается VPN-связь по L2TP IPSec RRS feed

  • Вопрос

  • Не могу подсоединиться к серверу по L2TP IPSec. По PPTP соединение проходит нормально. Как только ставлю L2TP IPSec, вимит табличка соединения и связь не проходмит. Настраивал все по статьям Шиндлера.
    Потом выдается ошибка: 792 Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.

Все ответы

  • Убедитесь, что маршрутизатор, за которым находится VPN-клиент, обеспечивает NAT-T (NAT Traversal).

    Также убедитесь, что служба "IPSec Policy Agent" функционирует.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • вообще то nat-t и для pptp нужен
    Отвечающий
  • Немного не опнял какой маршрутизатор.

    Как проверить, что работает служба служба "IPSec Policy Agent"?

  • Goblany, что используете, "preshared key" или сертификаты?

    По поводу маршрутизатора и NAT-T. Как справедливо заметил Дмитрий Никитин, если VPN-клиент успешно соединялся с использованием PPTP, то проблемы с NAT у Вашего VPN-клиента скорее всего нет. Но, все же проверьте, если VPN-клиент находится "за NAT", то обеспечивает ли маршрутизатор клиента NAT Traversal.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Необходимо дополнительно настроить клиентский компьютер.

    добавить в раздел

    Для Windows XP: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
    Для Windows Vista: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    значение DWORD: AssumeUDPEncapsulationContextOnSendRule=2

    Перезагрузить коммпьютер.
    Пробуем подключиться к VPN серверу.

  • Использую сертификаты. Не работает именно с ними.

    Добавил десятичный параметр
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec

    Не помогло
  • А если с "preshared key" попробовать?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Если использовать предварительный ключ проверки, то подключиться удается.

  • Рассказывайте, как сертификаты ISA и клиентам выдавали.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий

  • Я так понимаю, что должен быть на клиенте запрошен сертификат пользователя, который мы выбираем при подключении, так же в настройках указать центры сертификации - сервера моей локальной сети.
    На сервере ISA я заросил через http://xxx.xxx.xxx.xxx/certsrv/ сертификат администратора (Запросил сертификат администратора. Его запрашивал от учетки Администратор). Затем его импортировал в доверенные центры сертификации.

    Может быть еще надо запрашивать каие? Вот только что нашел, что в mmc для локального компьютера-личные надо запростить какой-то сертификат дя компьютера, Но у мня он не запрашивается из-за фильтра RPC, как я понимаю, но отключение RPC недоступно у меня.
  • Еще хочу добавить (если это имеет значение), что на ISA в мониоринге показывается соединенеи по протоклолу ike-клиент порт 500. Так и должно быть?

  • Да, IKE используется для установления IPSec-соединения.

    По поводу сертификатов. Необходимо обеспечить сертификатом компьютера сервер ISA. Также необходимо обеспечить сертификатом компьютера, не пользователя, компьютеры клиентов. Далее. Важно, чтобы к этим сертификатам было доверие с обеих сторон, т.е. чтобы они были выпущены доверенным удостоверяющим центром. Сертификат на компьютере ISA можно запросить с помощью утилиты "certreq", сохранив запрос в файл. Сертификаты клиентских компьютеров можно запросить через узел "\certsrv", разрешив пользователям запрашивать сертификаты на основе шаблона "IPSec offline request". при этом убедитесь, что сертификаты для пользовательких компьютеров Вы получаете с закрытым ключом ("allow private key to be exported" в шаблоне и "store certificate in computer store" - когда получаете).

    В общем, вот статья:
    http://support.microsoft.com/default.aspx/kb/555281
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Хочу немного уточнить.
    1) Значит нам на компьютере пользователя и VPN-сервере и сервера нужно, чобы в доверенных центрах сертификации был сертификат сервера сертификации моей сети. Например, если мой сервер сертификации Sert Aut Center, то его сертификат лежит в доверительных корневых центрах сервера и клиента БЕЗ ключа. Импортировать его можно с диска C:\ сервера сертификатов.

    2) На СЕРВЕРЕ через http://ИмяСервера/cert запрашиваем сертификат шаблона Администратор, который устанавливается в локальное храилище компьютера и является проверочным сертификатом сервера. (есть закрытый ключ)

    3) На КЛИЕНТЕ через
    http://ИмяСервера/cert запрашиваем сертификат шаблона Администратор, который устанавливается в локальное храилище компьютера и является проверочным сертификатом клиентсокго компьютера. (есть закрытый ключ)

    4) На клиенте запрашиваем сертификат пользоваля, который выдается каждому пользователю для VPN-подключения (с ключем).

    5) На клиенте получил сертификат IKE-посредник IP-безопасности при помощи
    http://ИмяСервера/cert (IPSEC(автонмный запрос)).

    6) На Сервере получил сертификат IKE-посредник IP-безопасности при помощи
    http://ИмяСервера/cert (IPSEC(автонмный запрос)).


    Я не понимаю, какие еще сертияикаты мне нужно получить. Почему по PPTP соединение с сертификатами идет, а L2Tp нет.
    Где еще можно покопать?

  • 1. Да.
    2. Нет. Запрашивать нужно сетификат на основе шаблона "компьютер" или сертифкат на основе шаблона "IPSec Offline Request" с контейнером закрытого ключа, который Вы размещаете в хранилище сертификатов компьютера. 
    3. Нет. см. п. 2.
    4. То, как будут аутентифицироваться пользователи - решать Вам. Сертификатами - запрашивайте сертификат.
    5. Да, хорошо. Проверьте, что с закрытым ключом и в хранилище компьютера.
    6. Да. см. п. 5.

    Для L2TP нужны сертификаты компьютеров!
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • 5. и 6. - да, сертияикаты с закрытым ключем.

    2. и 3. Если на клиенте запрашивать mmc-сертияикаты (ликальный компьтер) - личные - сертияикат.. правой кнопкрй - Все задачи - запросить сертияикат-выбрать Компьютер, то "Не удалось запросить сертияикат по одной из следующих причин: - Запрос сертияиката был выбран к центру ЦС, который не был запущен, -  у вас нет разрешения запроса серттияикатов с серера ЦС".

    Если запрашивать на вервере так же, то пишет, что RPC-сервер недоступен.

    Не пойму в чем проблема, через WEB-интерейс все запрашивается нормально же.

  • Ну хорошо, давайте по порядку разберемся. Тестового клиента и ISA обеспечили сертификатами на основе шаблона "IPSec Ofline Request"? С сертификатами связан закрытый ключ, находится в хранилище компьютра? Пробовали подключаться?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Да, делал так
    http://XXXXX/certsrv
    Запрос сертияиката - расширенный запрос сертияиката - Создать и выдать запрос к жэтому ЦС
    Шаблон IPSec(автономныйрежим)
    Заполняю поля..

    1024
    Автоматическое имя контейнера ключа
    Использовать локальное хранилище компьютера для сертификата
    CMC

    Не знаю влияет на что или нет, но переключатель "Пометить ключ как экспортируемый" неактивен, он не отмечен и нельзя на нем щелкнуть.


    Далее выдать>>Установить...


    В Локальный компьютер-сертияикаты - личные аоявляется сертияикат IKE посредник IP-безопасности. ЗЩелкаю на нем (есть закрытый ключ, соответствующий этому сертияикату)


  • Ну, вроде бы, все нормально. И что подключение?


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Не проходит. Висит, потом пишет ошибку 792. Попытка L2TP-соединения не удалось. Истекло время согласовать режим безопасности.

    Так для проверки просто.
    1) В свойствах соединения я на вкладке Безопасность = парамерты IPSec ничего не ставлю (т. к. они нужны только для того, если мы ключи авторизацуии используем, а не сертификаты?).
    2) В параметраях Шифрование - обязательное,
    ЕАР - смарт карта или иной сетяификат,
    При подключении - использовать серт.ю на этом компьютере, использховать выбор простого сертияиката, проверка сертификата сервера, подключение к серверам (через точку с запятой перечислены - IP ISA-сервера и имя внутреннего домена). В списке отмечен галочкой сертификат центра сертификации.
  • А без сертификата пользователя, с "логином/паролем" подключается?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • На вкладке безопасности поставил параметры - обычные.
    Если ставить тип VPN L2TP IPSEC, то не подключаетс (((
    PPTP соединение проходит.

    А разве для L2TP IPSEC не обязательны сертификаты?
  • Возможно надо покопать что-то другое? Может дело не в сертификатах? Может надо чтото еще копать?
    Может должн быть сделаны какие то дополнительные настройки в Windows?

  • Я запустил netdiag /test:ipsec
    Я не очень знаком с этой утилитой, но она выводит
    Netcard queries test . . . . . . . : Passed
        GetStats failed for 'Прямой параллельный порт'. [ERROR_NOT_SUPPORTED]
        [WARNING] The net card 'Минипорт WAN (PPTP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (PPPoE)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (IP)' may not be working because it has not received any packets.
        [WARNING] The net card 'Минипорт WAN (Сетевой монитор)' may not be working because it has not received any packets.
        GetStats failed for 'Минипорт WAN (L2TP)'. [ERROR_NOT_SUPPORTED]

    Может проблема здесь?