none
Проблема с VPN client access L2TP RRS feed

  • Вопрос

  •  

    Приветствую.

    Пытаюсь перевести всех клиентов с PPTP на L2TP.

    Настроил. Работает почти всё. Т.е. доменные ПК (ноутбуки) прекрасно коннектяться (извне конечно) и всё у них хорошо. А вот ПК чьих учёток нет в домене - нивкакую.

    Выдаёт Error 786

    http://s61.radikal.ru/i174/0901/2c/216628bb40ec.png

     

    Что было сделано:

     

    Для ПК с доменного CA полученны сертификаты по шаблонам:

    1.Administrator

    2.IPSEC (offline request) - в сертификате имя компа

    http://i071.radikal.ru/0901/4c/10e6651570f4.jpg

     

    (ещё пробовал шаблон Web-server - тоже не помогло)

     

    Для локального пользователя

    1.Administrator

    Клиент - Windows XP SP2

    ISA 2006 St SP1 на Win2k3 EE SP2

    DC, CA, Radius - Win2k3 EE SP2

     

     Сертификат CA ессно в трастах у клиентского ПК

     

    Не подскажите куда копать? 

    19 января 2009 г. 11:25

Все ответы

  •  KIRIFAN написано:

     

    Приветствую.

    Пытаюсь перевести всех клиентов с PPTP на L2TP.

    Настроил. Работает почти всё. Т.е. доменные ПК (ноутбуки) прекрасно коннектяться (извне конечно) и всё у них хорошо. А вот ПК чьих учёток нет в домене - нивкакую.

    Выдаёт Error 786

    http://s61.radikal.ru/i174/0901/2c/216628bb40ec.png

     

    Что было сделано:

     

    Для ПК с доменного CA полученны сертификаты по шаблонам:

    1.Administrator

    2.IPSEC (offline request) - в сертификате имя компа

    http://i071.radikal.ru/0901/4c/10e6651570f4.jpg

     

    (ещё пробовал шаблон Web-server - тоже не помогло)

     

    Для локального пользователя

    1.Administrator

    Клиент - Windows XP SP2

    ISA 2006 St SP1 на Win2k3 EE SP2

    DC, CA, Radius - Win2k3 EE SP2

     

     Сертификат CA ессно в трастах у клиентского ПК

     

    Не подскажите куда копать? 



    Это читали ?

    DNS какие используются ?
    19 января 2009 г. 11:29
  • Читал. Только не понял как это ко мне относиться. У меня иса и есть VPN сервер.

    Сетка тестовая/виртуальная, домен вида:

    1.DC, CAent (c web интерфейсом), IAS (Radius), DNS, DHCP

    2.ISA 2006 ST SP1 - член домена

    3.Win XP SP2 - имитирует ноут. Т.е. то в домене "физически", то нет Smile

     

    И типа внешняя Win XP SP2 - не в домене (не физически, ни логически)

    Вот как бы и всё.

     

     

    19 января 2009 г. 11:58
  •  KIRIFAN написано:

    Читал. Только не понял как это ко мне относиться. У меня иса и есть VPN сервер.

    Сетка тестовая/виртуальная, домен вида:

    1.DC, CAent (c web интерфейсом), IAS (Radius), DNS, DHCP

    2.ISA 2006 ST SP1 - член домена

    3.Win XP SP2 - имитирует ноут. Т.е. то в домене "физически", то нет

     

    И типа внешняя Win XP SP2 - не в домене (не физически, ни логически)

    Вот как бы и всё.

     

     



    Ошибка 796
    The Service Type RADIUS attribute for this user is neither Framed nor Callback Framed.



    The Service Type RADIUS attribute for this user is neither Framed nor Callback Framed.

    Explanation:

    The Service-Type attribute for your dial-in profile (in Advanced settings) must be set to Framed or Callback Framed .


    19 января 2009 г. 12:13
  • У меня Ошибка 786

     

    The L2TP connection attempt failed because there is no
    valid machine certificate on your computer for security authentication
    19 января 2009 г. 12:32
  •  KIRIFAN написано:
    У меня Ошибка 786

     

    The L2TP connection attempt failed because there is no
    valid machine certificate on your computer for security authentication


    786

    Contact the administrator of the remote network. Your connection may be failing for one or more of the following reasons:


    • Your computer’s certificate is invalid, is expired, or lacks the preshared key that it needs.

    • None of your computer’s certificates are trusted by the server.

    • Your computer is using a preshared key that is not valid. Try using another pre-shared key.

    If you are a member of an Active Directory domain and need to request a certificate, see Request a certificate. If you are not a member of an Active Directory domain or you need to request a certificate from the Internet, see Submit a user certificate request via the Web. For more information about remote access security, see How security works at connection.


    19 января 2009 г. 12:39
  • Базовые навыки гугления у меня тоже есть. Спасибо.

    19 января 2009 г. 12:46
  •  KIRIFAN написано:

    Базовые навыки гугления у меня тоже есть. Спасибо.



    Вы заходили с машины, которая не в домена на сервер сертификации и получали сертификат ?
    19 января 2009 г. 12:48
  •  

    Да. Причём 2мя способами.

    1. По PPTP всё работает

    2. Web интерфейс CA опубликован на исе.

    19 января 2009 г. 13:25
  •  KIRIFAN написано:

     

    Да. Причём 2мя способами.

    1. По PPTP всё работает

    2. Web интерфейс CA опубликован на исе.



    И сертификат у Вас есть как корневой так и дочерний ?
    19 января 2009 г. 13:36
  • CA всего один

     

    19 января 2009 г. 14:52
  •  KIRIFAN написано:
    CA всего один

     



    А какое имя прописано в сертификате и к какому имени подсоединяется клиент ?
    19 января 2009 г. 14:55
  • Для L2TP/IPSec необходимо устанfdkbdfnm сертификат компьютера (с ключом) в хранилище личных сертификатов компьютера, а сертификат CA - в хранилище доверенных корневых центров сертификации тоже компьютера.

    Вы сертификаты туда установили?

    Проверить это можно, добавив оснастку Сертификаты в mmc и настроив ее на хранилище компьютера.

    При необходимости сертификаты можно импортировать из той же оснастки.

     

    19 января 2009 г. 15:49
  •  

    Я даже скриншоты в первом сообщении выложил.

    В том-то и дело что сертификаты есть. Трасты есть. Перепроверил всё, до чего дотянулся, а не соединяет Sad(((

    19 января 2009 г. 20:04
  •  

    Хм. Пропатчил XP до SP3 - сразу всё взлетело.

    Взял чистый образ XP SP2, сменил sid, выдал сертификаты - тоже всё сразу завелось. Чего первая XP не работала - я хз.

    Огромное спасибо всем откликнувшимся. Тему можно закрывать.

    19 января 2009 г. 21:32