Hallo,
ich habe die Zertifikate auf der Firewall angelegt, wie in der Anleitung beschreiben. Ebenso wurden auf einem WIN-7 Rechner die Zertifikate importiert (Computerkonto, lokaler Computer).
Die VPN-Verbindung habe ich auf IKEv2 gestellt, Computerzertifikate verwenden.
Die EInwahl bringt folgenden Fehler:
Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
Wenn ich die VPN-Verbindung auf L2TP/IPSec umstelle und ebenfalls das Zertifikat angebe, kommt auch keine Verbindung zustande.
Hat jemand von Ihnen eine Idee, wo der Fehler liegen könnte?
VPN L2TP mit Zertifikaten
Moderator: Securepoint
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
Hallo,
oft wird vergessen dem Zertifikat der FW eine DNS-Name zu geben. Im Anschluss ist auch zwingend ein Aufbau (Win 7 /IKEv2) auf den DNS-Namen erforderlich.
oft wird vergessen dem Zertifikat der FW eine DNS-Name zu geben. Im Anschluss ist auch zwingend ein Aufbau (Win 7 /IKEv2) auf den DNS-Namen erforderlich.
There are 10 types of people in the world... those who understand binary and those who don\'t.
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
...das klingt plausibel, leider ist dieser punkt in den "how-to-s" nicht vermerkt.
den dns-namen gebe ich dann aber nur dem serverzertifikat mit, oder muss ich den dns-namen auch in den userzertifikaten einstellen?
den dns-namen gebe ich dann aber nur dem serverzertifikat mit, oder muss ich den dns-namen auch in den userzertifikaten einstellen?
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
soo, ich habe dem server-zertifikat den dns-namen hinzugefügt, alles gespeichert, dienste neu gestartet, benutzerzertifikat neu exportiert und eingebunden. beim aufbau der verbindung heißt es nach wie vor:
Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
hmm...leider funktioniert das vpn mit zertifikaten nicht wie erwünscht. die FW nochmal "jungfräulich" gemacht und neu eingerichtet, dem l2tp-server wurde der dns-name zugewiesen, über den auch die einwahl stattfindet, die zertifikate noch einmal exportiert und auf dem win7-client importiert...vpn-verbindung unter win7 eingerichtet, sicherheit auf ikev2 gesetzt und computerzertifikate ausgewählt...alles ohne erfolg, die fehlermeldung bleibt weiterhin...also leider weiter mit PSK...;(
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
Hallo!
hat jemand sonst noch eine Idee, warum hier das VPN mit Zertifikaten nicht funktioniert? Die Fehlermeldung bleibt:
Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
Danke!
hat jemand sonst noch eine Idee, warum hier das VPN mit Zertifikaten nicht funktioniert? Die Fehlermeldung bleibt:
Fehler 13801: IKE-Authentifizierung-Anmeldeinformationen sind nicht akzeptabel.
Danke!
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
Hallo,
ich hoffe, diese Angaben aus dem Livelog helfen bei der Fehlersuche:
Aug 17 15:06:29 charon: 11[IKE] configuration payload negotation failed, no CHILD_SA built
Aug 17 15:06:29 charon: 11[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Aug 17 15:06:29 charon: 11[IKE] peer requested virtual IP %any6
Aug 17 15:06:29 charon: 11[IKE] IKE_SA firewall.topconcepts.local__GT__VPN-Kaisereichen_0[38] established between 80.228.xx.x[80.228.xx.x]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] IKE_SA firewall.topconcepts.local__GT__VPN-Kaisereichen_0[38] established between 80.228.xx.x[80.228.xx.x]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] maximum IKE_SA lifetime 3112s
Aug 17 15:06:29 charon: 11[IKE] scheduling reauthentication in 2572s
Aug 17 15:06:29 charon: 11[IKE] deleting duplicate IKE_SA for peer 'C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de' due to uniqueness policy
Aug 17 15:06:29 charon: 11[IKE] authentication of '80.228.xx.x' (myself) with pre-shared key
Aug 17 15:06:29 charon: 11[IKE] peer supports MOBIKE
Aug 17 15:06:29 charon: 11[IKE] authentication of 'C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de' with RSA signature successful
Aug 17 15:06:29 charon: 11[CFG] certificate status is not available
Aug 17 15:06:29 charon: 11[CFG] checking certificate status of "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] using trusted ca certificate "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] using certificate "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] selected peer config 'firewall.topconcepts.local__GT__VPN-Kaisereichen_0'
Aug 17 15:06:29 charon: 11[CFG] looking for peer configs matching 80.228.xx.x[%any]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] received end entity cert "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 07:15:28:6d:70:73:aa:b2:8a:7c:0f:86:ce:38:93:00:38:05:8a:b1
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff
d3
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid be:a8:a0:74:72:50:6b:44:b7:c9:23:d8:fb:a8:ff:b3:57:6b:68:6c
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 1a:21:b4:95:2b:62:93:ce:18:b3:65:ec:9c:0e:93:4c:b3:81:e6:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 59:79:1261:75:d6:6f:c4:23:b7:77:13:74:c7:966f:88:72
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 1a:21:b4:95:2b:62:93:ce:18:b3:65:ec:9c:0e:93:4c:b3:81:e6:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid f0:17:62:13:55:3d:b3:ff:0a:00:6b:fb:50:84:97:f3:ed:62:d0:1a
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 87:db:d4:5f:b0:92:8d:4e:1d:f8:15:67:e7:f2
af:d6:2b:67:75
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 48:e6:68:f9:2b:d2:b2:95:d7:47:d8:23:20:10:4f:33:98:90:9f:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4a:78:32:52:11:db:59:16:36:5e:df:c1:14:36:40:6a:47:7c:4c:a1
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid da:ed:64:74:14:9c:14:3cdd:99:a9:bd:5b:28:4d:8b:3c:c9:d8
Aug 17 15:06:29 charon: 11[IKE] received cert request for "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 3e:df:29:0c:c1:f5:cc:73:2c:eb:3d:24:e1:7e:52:da:bd:27:e2:f0
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 34:4f:30:2d:25:69:31:91:ea:f7:73:5cf5:86:8d:37:82:40:ec
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a943:bc:02:7d:57:09:33:fb
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid dd:bc:bd:86:9c:3f:07:ed:40:e3:1b:08:ef:ce:c4:d1:88
3b:15
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 0e:ac:82:60:40:56:27:97:e5:25:13:fc:2a:e1:0a:53:95:59:e4:a4
Aug 17 15:06:29 charon: 08[IKE] sending cert request for "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 08[IKE] remote host is behind NAT
Aug 17 15:06:29 charon: 08[IKE] 80.187.108.1 is initiating an IKE_SA
Aug 17 15:06:29 charon: 08[IKE] 80.187.108.1 is initiating an IKE_SA
ich hoffe, diese Angaben aus dem Livelog helfen bei der Fehlersuche:
Aug 17 15:06:29 charon: 11[IKE] configuration payload negotation failed, no CHILD_SA built
Aug 17 15:06:29 charon: 11[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
Aug 17 15:06:29 charon: 11[IKE] peer requested virtual IP %any6
Aug 17 15:06:29 charon: 11[IKE] IKE_SA firewall.topconcepts.local__GT__VPN-Kaisereichen_0[38] established between 80.228.xx.x[80.228.xx.x]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] IKE_SA firewall.topconcepts.local__GT__VPN-Kaisereichen_0[38] established between 80.228.xx.x[80.228.xx.x]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] maximum IKE_SA lifetime 3112s
Aug 17 15:06:29 charon: 11[IKE] scheduling reauthentication in 2572s
Aug 17 15:06:29 charon: 11[IKE] deleting duplicate IKE_SA for peer 'C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de' due to uniqueness policy
Aug 17 15:06:29 charon: 11[IKE] authentication of '80.228.xx.x' (myself) with pre-shared key
Aug 17 15:06:29 charon: 11[IKE] peer supports MOBIKE
Aug 17 15:06:29 charon: 11[IKE] authentication of 'C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de' with RSA signature successful
Aug 17 15:06:29 charon: 11[CFG] certificate status is not available
Aug 17 15:06:29 charon: 11[CFG] checking certificate status of "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] using trusted ca certificate "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] using certificate "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[CFG] selected peer config 'firewall.topconcepts.local__GT__VPN-Kaisereichen_0'
Aug 17 15:06:29 charon: 11[CFG] looking for peer configs matching 80.228.xx.x[%any]...80.187.xx.x[C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de]
Aug 17 15:06:29 charon: 11[IKE] received end entity cert "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=Arthur Dam, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 07:15:28:6d:70:73:aa:b2:8a:7c:0f:86:ce:38:93:00:38:05:8a:b1
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 6d:aa:9b:09:87:c4:d0:d4:22:ed:40:07:37:4d:19:f1:91:ff
d3Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 5f:f3:24:6c:8f:91:24:af:9b:5f:3e:b0:34:6a:f4:2d:5c:a8:5d:cc
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid e2:7f:7b:d8:77:d5:df:9e:0a:3f:9e:b4:cb:0e:2e:a9:ef:db:69:77
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid be:a8:a0:74:72:50:6b:44:b7:c9:23:d8:fb:a8:ff:b3:57:6b:68:6c
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 1a:21:b4:95:2b:62:93:ce:18:b3:65:ec:9c:0e:93:4c:b3:81:e6:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 59:79:12
61:75:d6:6f:c4:23:b7:77:13:74:c7:966f:88:72Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 1a:21:b4:95:2b:62:93:ce:18:b3:65:ec:9c:0e:93:4c:b3:81:e6:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid f0:17:62:13:55:3d:b3:ff:0a:00:6b:fb:50:84:97:f3:ed:62:d0:1a
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 87:db:d4:5f:b0:92:8d:4e:1d:f8:15:67:e7:f2
af:d6:2b:67:75Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 48:e6:68:f9:2b:d2:b2:95:d7:47:d8:23:20:10:4f:33:98:90:9f:d4
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4a:78:32:52:11:db:59:16:36:5e:df:c1:14:36:40:6a:47:7c:4c:a1
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid da:ed:64:74:14:9c:14:3c
dd:99:a9:bd:5b:28:4d:8b:3c:c9:d8Aug 17 15:06:29 charon: 11[IKE] received cert request for "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 3e:df:29:0c:c1:f5:cc:73:2c:eb:3d:24:e1:7e:52:da:bd:27:e2:f0
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 34:4f:30:2d:25:69:31:91:ea:f7:73:5c
f5:86:8d:37:82:40:ecAug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 01:f0:33:4c:1a:a1:d9:ee:5b:7b:a9
43:bc:02:7d:57:09:33:fbAug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 4a:5c:75:22:aa:46:bf:a4:08:9d:39:97:4e:bd:b4:a3:60:f7:a0:1d
Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid dd:bc:bd:86:9c:3f:07:ed:40:e3:1b:08:ef:ce:c4:d1:88
3b:15Aug 17 15:06:29 charon: 11[IKE] received cert request for unknown ca with keyid 0e:ac:82:60:40:56:27:97:e5:25:13:fc:2a:e1:0a:53:95:59:e4:a4
Aug 17 15:06:29 charon: 08[IKE] sending cert request for "C=DE, ST=Niedersachsen, L=Stade, O=city-map Stade GmbH, OU=Support, CN=CA_L2TP, E=cm_sp_admin@xxx.de"
Aug 17 15:06:29 charon: 08[IKE] remote host is behind NAT
Aug 17 15:06:29 charon: 08[IKE] 80.187.108.1 is initiating an IKE_SA
Aug 17 15:06:29 charon: 08[IKE] 80.187.108.1 is initiating an IKE_SA
-
Arthur Dam
- Beiträge: 22
- Registriert: Do 24.06.2010, 20:32
- Wohnort: Stade
- Kontaktdaten:
Hallo,
die Zertifikat-Geschichte lasse ich erstmal sein, denn sie funktioniert einfach nicht. in den anleitungen sieht alles immer soo einfach, doch die praxis sieht anders aus. z.b. wird in keiner anleitung erwähnt, dass man dem server-zertifikat auch einen dns-alias mitgeben muss, über den man sich auch einwählt..
Wir bleiben vorerst bei PSK, vielleicht versuchen wir auch mal SSL-VPN, vielleicht funktioniert diese variante...
die Zertifikat-Geschichte lasse ich erstmal sein, denn sie funktioniert einfach nicht. in den anleitungen sieht alles immer soo einfach, doch die praxis sieht anders aus. z.b. wird in keiner anleitung erwähnt, dass man dem server-zertifikat auch einen dns-alias mitgeben muss, über den man sich auch einwählt..
Wir bleiben vorerst bei PSK, vielleicht versuchen wir auch mal SSL-VPN, vielleicht funktioniert diese variante...