IPSec IKEv2 mit Zertifikaten

LSassl · Beitrag von **LSassl** » Mi 28.11.2012, 19:28

Hier mal ein Log vom NCP Client. IPSec mit Zertifikaten und IKEv2 (identische Konfiguration funktioniert bei einer v10):

28.11.2012 18:14:49 IPSec: Start building connection
28.11.2012 18:14:49 IPSec: DNSREQ: resolving GW= over lan:
28.11.2012 18:14:49 IPSec: DNSREQ: resolved ipadr: 123.123.123.123
28.11.2012 18:14:49 Ikev2: Outgoing connect request MAIN mode - gateway=123.123.123.123 : Companyname
28.11.2012 18:14:49 Ikev2: XMIT_MSG1_INIT - Companyname
28.11.2012 18:14:49 Ikev2: RECV_MSG2_INIT - Companyname
28.11.2012 18:14:49 Ikev2: Conref=7,Received notify messages -
28.11.2012 18:14:49 Ikev2: Notifymsg=
28.11.2012 18:14:49 Ikev2: Notifymsg=
28.11.2012 18:14:49 Ikev2: Notifymsg=
28.11.2012 18:14:49 Ikev2: Turning on NATD mode - Companyname - 1
28.11.2012 18:14:49 IPSec: Final Tunnel EndPoint is:123.123.123.123
28.11.2012 18:14:49 IKESA2_INIT: - ConRef=7, protection suite:
28.11.2012 18:14:49 PID=1,#ENCR=12,KEYLEN=256,INTEG=2,PRF=2,DHGRP=2,AUTHM=1,CERTON=1
28.11.2012 18:14:49 INSPIL=0,INSPI=00000000,OUTSPIL=0,OUTSPI=00000000,LifeType=1,LifeSec=28800,LifeKb=0
28.11.2012 18:14:49 Ikev2: XMIT_MSG1_AUTH - Companyname
28.11.2012 18:14:49 IPSec: Phase1 is Ready,AdapterIndex=203,IkeIndex=7,LocTepIpAdr=172.20.10.5,AltRekey=1
28.11.2012 18:14:49 Ikev2: XMIT_MSG1_AUTH_RESUME0 - Companyname
28.11.2012 18:14:50 Ikev2: XMIT_MSG1_AUTH_RESUME1 - Companyname
28.11.2012 18:14:50 Ikev2: RECV_MSG2_AUTH -
28.11.2012 18:14:50 Ikev2: Conref=7,Received notify messages -
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:50 Ikev2: Conref=7,Received notify ERROR message -
28.11.2012 18:14:50 Ikev2: Notifymsg=
28.11.2012 18:14:51 IPSec: Disconnected from Companyname on channel 1.

Die in Windows 7/8 eingebaute VPN-Funktion liefert folgenden Fehler:

Error 13801 occurs on the client when:

The certificate is expired.

The trusted root for the certificate is not present on the client.

The subject name of the certificate does not match the remote computer.

The certificate does not have the required Enhanced Key Usage (EKU) values assigned.

Also: Punkt 1-3 kann ich für mich ausschließen (Zertifikate waren im Computerspeicher - sowohl root als auch user), sn=Zugangspunkt URL. Bleibt also nur noch Punkt 4.

Nachfolgender Eintrag ist ganz interessant: http://www.securepoint.de/support/topic ... 2#post6952
Habt ihr noch weitere Ideen wie man die Problematik weiter eingrenzen kann?

dirk · Beitrag von **dirk** » Do 29.11.2012, 10:00

Hallo LSassl,

nutzen Sie neu erstellte Zertifikate mit der v11? Wenn ja dann liegt das Probelm darin das die Checkbox beim Firewallzertifikat "Serverautentifizierung" fehlt. Am besten die neue CA auf eine v10 importieren und dann damit das Serverzertifikat erstellen mit dem Haken drin. Serverzertifikat wieder in die v11 importieren und alles klappt.

Ich hoffe da wird noch nachgebessert...

MfG

LSassl · Beitrag von **LSassl** » Do 29.11.2012, 10:24

Hallo Dirk,

vielen Dank für die Info. Das war auch meine Vermutung und Erik hier aus dem Forum hat auch darauf getippt. Schön zu hören, dass es wohl wirklich am Verwendungszweck liegt.

Lt. Erik soll wohl in Version 11.1 die entsprechende Checkbox wieder zur Verfügung stehen.

Viele Grüße