Windows Vista und IPSec Einwahl

Ein Forum für Leitfäden rund um Securepoint und verwandte Themen. Beachten Sie, dass dies kein Support-Forum ist.

Moderator: Securepoint

Antworten
LP81
Beiträge: 18
Registriert: Mi 14.05.2008, 12:08

Windows Vista und IPSec Einwahl

Beitrag von LP81 »

Hallo zusammen,

da ich mir gestern einen Wolf gesucht habe und mindestens ein Büschel Haare weniger auf dem Kopf habe, habe ich hier ein paar nette Tips zum Einrichten einer L2TP Verbindung (mit X509 Zertifikat) von einem Vista - Roadwarrior zu einer 2007nxR3.

Grundkonfiguration der Appliance sollte klar sein, wie im Handbuch beschrieben. Zertifikate bauen und auf dem Roadwarrior installieren (die MMC sieht zwar ein wenig anders aus, funktioniert ab gleich).
Jetzt kommt aber die Stelle zum Aufmerken:

In den Sicherheitseinstellungen der Verbindung muss zwingend MS-CHAPv2 abgeschaltet werden!!
Also Sicherheit --> Erweitert --> Einstellungen
Dann die Verschlüsselung auf "Optional (Verbindung auch ohne Verschlüsselung)" einstellen und bei "folgende Protokolle zulassen" die Haken setzten bei PAP und CHAP. MS-CHAPv2 NICHT anhaken. Ansonsten kommt Vista bei der Einwahl mit dem Fehler 741 (Der Client unterstütz die Verschlüsselung nicht). Damit ist nicht der Algorithmus gemeint, sondern das aktivierte MS-CHAPv2 was von Vista bevorzugt wird.
Dann wechselt man zum Register "Netzwerk", dort als Typ L2TP IPSec auswählen und in die IPSec - Einstellungen gehen. Dort muss der Haken bei "Die Namen- und Verwendungsattribute des Serverzertifikats prüfen" entfernt werden. Ist der Haken drin, fängt Vista fürchterlich an zu heulen, da das Zertifikat nicht von VeriSign o.ä. signiert ist. Ausserdem stellt man auf diesem Weg gleich mit ein, dass Vista das Zertifikat verwenden soll. In selbigen Fenster kann dann auch ein PreShared - Key angegeben werden, was wir aber bei zertifikatsbasierender Authentifikation nicht brauchen.

Dieser Fehler wird im Log der Firewall gut sichtbar, wenn die 2007nxR3 auf ein AD zugreift, um Benutznamen und Einwahlberechtigungen zu prüfen. Wenn diese Schritte berücksichtigt werden, steht einer VPN - Verbindung mit X509 - Zertifikat von einer Vista Maschine nichts mehr im Weg.

Have a lot of fun! 8)

Antworten