ich kämpfe hier mit dem Versuch, ein Windows 10-Client via Bordmitteln ein VPN anzulegen, der sich via IPSec und IKEv2 anhand Zertifikaten mit der UTM verbindet.
Mittlerweile sehe ich, dass mein W10-Roardwarrior im Windows-Eventlog folgenden Fehler ausspuckt:
„IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel“
Winevent 13801 RasClient
Nach Recherche im Netz scheint es wohl an den Zertifikaten zu liegen (oder an den Cipher-Suites)?
Was ich gemacht habe:
UTM:
- root-CA Zertifikat
- signiertes Server-Zert UTM (IPSec Server) CN = fqhn vom externen Anschluss (server.pubdomain.de)
- signiertes Client-zert Roadwarrior (kein bestimmer CN)
- Zertifikate importiert auf Computer-Ebene (vorheriger Export durch UTM Typ PKCS mit Export-Key) ->
Root-Zert > Vertrauenswürdige Stammzertifizierungsstellen
Server-Zert > " "
Client-Zert > Eigene Zertifikate
- VPN-Verbindung angelegt (Typ IKEv2; Anmeldeinformationstyp: Zertifikat) ->
Benutzername und Kennwort nicht angegeben
Fragen:
1. muss auch im Client-Zertifikat im CN der Computername stehen vom Client? (z.B. client.localdomain.local) ?
2. Muss ich den optionalen Benutzername und Kennwort auch angeben (quasi wie bei XAuth)? Verlangt das die UTM?
Hintergrund:
- wir suchen eine Lösung, bei der Windows-Clients nativ sich ins VPN einwählen können (pre-Login-VPN), damit sich der Roadwarrior ggf. via Benutzer-Wechsel am AD-Server authentifizieren kann;
Ja, ich weiß, dass ua. der NCP-Client dies kann (jedoch ist der recht teuer);
Der OpenVPN-Client der Community-Edition v2.x kann zumindest via CLI und Taskplaner sich via OpenVPN verbinden, jedoch habe ich hier nicht den Komfort, dass der W10-Client in der GUI in der Anmeldemaske das VPN verbinden kann...
Danke für Eure Tipps!