 |
|
|
|
| Autor |
Nachricht |
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
 Verfasst am:
So 08 Jan, 2006 23:59 |
  |
|
Hallo,
gerade habe ich dank der entsprechenden FAQ hier im Board (http://www.lancom-forum.de/topic,1507,-VPN+Windows+-%26gt%3B+Lancom+ohne+Zusatzclient.html) eine VPN-Verbindung ohne separaten Client aufgebaut. Bisher hatte ich gewisse Zweifel, dass es wirklich funktioniert. 
Zur Fehlersuche kann unter Windows eine Logdatei für IPSec aktiviert werden. Wie das geht, beschreibt Microsoft: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q257225 "Obtaining an Oakley log" -- danach Windows neu starten.
Bei mir wurde demnach zunächst kein Zertifikat gefunden. Wie man ein solches unter Windows installiert, beschreibt diese Seite: http://www.natecarlson.com/linux/ipsec-x50...ipsec-x509
Problem bei mir war offenbar, dass ich die Zertifikate in der Management-Konsole zunächst für das Benutzer-Konto abgelegt hatte und nicht für das Computerkonto. Außerdem muß Windows die Gültigkeit des Client-Zertifikats feststellen können. Dafür muß das CA-Zertifikat z.B. unter "vertrauenswürdige Stammzertifizierungsstellen" abgelegt sein. Falls das Client-Zertifikat aus einer .p12-Datei, welche auch das CA-Zertifikat enthält, nach "Eigene Zertifikate" importiert wird, das CA-Zertifikat anschließend manuell dorthin verschieben.
Meinen Dank an den FAQ-Schreiber
Gruß,
omd |
_________________
LC 1811 / LCOS 5.08 |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mo 09 Jan, 2006 01:23 |
|
|
Hallo omd,
| Zitat:
|
|
Bisher hatte ich gewisse Zweifel, dass es wirklich funktioniert.
|
Höh - so viel Misstrauen?
| Zitat:
|
|
Problem bei mir war offenbar, dass ich die Zertifikate in der Management-Konsole zunächst für das Benutzer-Konto abgelegt hatte und nicht für das Computerkonto.
|
Deshalb sollte man ja auch die vorgefertigte MMC-Vorlage benutzen - oder bei eigener Auswahl des Zertifikat-SnapIn eben 'für diesen Computer' benutzen.
| Zitat:
|
|
Falls das Client-Zertifikat aus einer .p12-Datei, welche auch das CA-Zertifikat enthält, nach "Eigene Zertifikate" importiert wird, das CA-Zertifikat anschließend manuell dorthin verschieben.
|
Deshalb sollte man (wie beschrieben) beim Import den Zertifikatsspeicher automatisch auswählen lassen. Dann liegen Client- und CA-Zertifikat auch an den richtigen Stellen.
Wobei das Client-Zertifikat erst mal nichts mit dem CA-Zertifikat zu tun hat. Letzteres dient ausschliesslich dazu, das eingehende Zertifikat vom Lancom auf Gültigkeit zu prüfen - und das kann eine ganz andere CA sein, als die des ausstellenden Clientzertifikates.
Gruß
Mario |
|
|
 |
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
So 15 Jan, 2006 20:33 |
|
|
Hallo eddia,
Misstrauen... ich hatte den Eindruck, dass so gut wie niemand hier ernsthaft in Erwägung zieht, das eingebaute IPSec zu verwenden, weil es quasi nur mit Charakter einer 'Machbarkeitsstudie' eingerichtet werden könne. Tatsächlich ist die Einrichtung, jedenfalls für meinen Verwendungszweck, ziemlich harmlos. Wenn man denn das Logfile hat, sonst tappt man ggf. im Dunkeln.
Ein Problem hatte ich allerdings: Nach jeweils einiger Zeit brach die Verbindung zum entfernten LAN ab (Meldung von LANmonitor), stand dann wohl nach kurzer Zeit wieder. Hast Du schon derartige Unterbrechungen beobachtet?
Gruß,
omd |
_________________
LC 1811 / LCOS 5.08 |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mo 16 Jan, 2006 00:12 |
|
|
Hallo omd,
| Zitat:
|
|
Ein Problem hatte ich allerdings: Nach jeweils einiger Zeit brach die Verbindung zum entfernten LAN ab (Meldung von LANmonitor), stand dann wohl nach kurzer Zeit wieder. Hast Du schon derartige Unterbrechungen beobachtet?
|
Das ist für die Windows IPSec-Implementation leider normal. Falls für eine gewisse Zeit keine Daten übertragen werden (ich glaube so 3 min), werden die SAs deaktiviert und müssen dann erst wieder neu ausgehandelt werden.
Gruß
Mario |
|
|
|
|
Maxxe
Anmeldungsdatum: 03.02.2006
Beiträge: 1
|
| Verfasst am:
Fr 03 Feb, 2006 19:14 |
|
|
Hallo omd,
hab eben deinen Beitrag mit Interesse gelesen und würde das auch gern
so ans Laufen bringen. Aber - die Geschichte mit dem generieren der
Zertifikate ist mir zu hoch. Habe nur Windows-Maschinen. Gibt es da auch
eine verfügbare Anleitung, wie ich das ganze mit OPENSSL bewerkstelligen kann?
Gruß
Maxxe |
|
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Fr 03 Feb, 2006 19:32 |
|
|
Hallo Maxxe,
für die Erzeugung von CA und Zertifikaten mit OpenSSL würde ich die Beschreibung aus dem LANCOM OS 5 Referenzmanual hernehmen. Möchte empfehlen, die dort beschriebe Konfigurationsdatei nicht zu verwenden ('-extfile openssl.cnf'), dann ist die Geschichte unproblematisch. Besondere Verzeichnisse brauchst Du dann auch nicht anlegen - die Dateien werden im aktuellen Pfad abgelegt.
Aus dem oben verlinkten Dokument ist der Abschnitt "Client Setup: Windows 2000/XP", Schritte 4) und 5) interessant, um die erzeugten Zertifikate Windows bekannt zu machen.
Viel Erfolg soweit
Gruß
omd |
_________________
LC 1811 / LCOS 5.08 |
|
|
|
|
|
|
|
| |
|
|
