2K3 - Site to Site VPN mit L2TP/IPSec und Zertifikaten

12/06/2008 - 14:10 von Ewald Bracko | Report spam
Hallo,

ich habe versucht, in einer Testumgebung mit zwei W2k3 Servern gemàß den
Anleitungen von MS
(http://technet2.microsoft.com/windo...x?mfr=true) ein Site-to-Site VPN einzurichten.

Die Server besitzen 2 NICs für LAN und Internet und sind als
Domànencontroller einer jeweils eigenen Domàne (= zwei voneinander
unabhàngige Domànen) mit entsprechenden Enterprise-Root-CAs eingerichtet.
RRAS wurde konfiguriert für RAS, NAT und Routing (LAN & Dial-on-demand),
statische IP-Adresspools sowie Authentifizierung EAP wurden konfiguriert und
RAS-Richtlinien wurden konfiguriert.
Alle benötigten Zertifikate wurden gemàß der Anleitung erstellt und
eingespielt. (automatisch zugeteilte Domanencontrollerzertifikate,
Root-Zertifikate, angepasste Router-Zertifikate)
Die Dial-on-demand Schnittstellen wurden konfiguriert und eingerichtet, die
Zertifikate an die Benutzerkonten der Schnittstellen gemappt.
NAT-Schnittstellen wurden eingerichtet (extern & intern), allerdings zum
Testen erstmal ohne Firewall.

Kurz gesagt, ich bin ziemlich genau nach der Anleitung vorgegangen.

Bei dem Versuch, eine Verbindung zwischen dein Dial-on-demand Schnittstellen
herzustellen, bekomme ich folgende Fehlermeldung:
"Die Verbindung mit der Schnittstelle wurde getrennt."
"Der folgende Fehler ist aufgetreten: Die Schnittstelleninformationen wurden
nicht festgelegt."

Merkwürdig ist folgendes: Ich habe die Authentifizierung testhalber von
Zertifikaten (EAP) auf MS-CHAP-V2 umgestellt (Schnittstellen,
RAS-Richtlinien, Servereigenschaften). Nun konnte ich die Verbindung ohne
Fehlermeldung problemlos herstellen.

Ich habe testhalber auf beiden Servern jeweils eine RAS-VPN-Verbindung nach
den Vorgaben der Dial-on-demand Schnittstellen konfiguriert (jetzt wieder mit
Authentifizierung per Zertifikat, auch mit Verifizierrung des
Serverzertifikats) und zum Verbinden das jeweilige Zertifikat für die
Dial-on-demand Schnittstelle verwendet. Auch hier konnte ich problemlos eine
Verbindung herstellen und die Dial-on-demand Schnittstelle des gerufenen
Servers zeigte "Verbindung hergestellt" an.

Das Problem tritt nur auf, wenn ich versuche, über die Netzwerkschnitstellen
mittels der Dial-on-demand Schnittstellen im RRAS die Verbindung aufzubauen.

Verwende ich für die Dial-on-demand Schnittstelle die RAS-Wàhlfunktion via
router.pbk (c:\windows\system32as, enthàlt die Konfiguration für die
Dial-on-demand Schnittstellen), làsst sich die Verbindung problemlos aufbauen.

Das Problem scheint direkt mit dem Initiieren der Verbindung der
Dial-on-demand Schnittstellen zusammenzuhàngen - allerdings nur, wenn zum
Authentifizieren EAP mit Zertifikaten verwendet werden. Das trifft übrigens
auch bei PPTP-Verbindungen zu.

Kann mir jemand bitte dabei helfen, herauszufinden, warum die Verbindung
zwischen den Diel-on-demand Schnittstellen mit der obigen Fehlermeldung
abbricht?

Vielen Dank schon im Voraus!

Zur Info:
Die Tests habe ich mit der Evaluierungsversion von MS Windows 2003 Server
Enterprise Edition (SP1 & SP2) durchgeführt.
 

Lesen sie die antworten

#1 Texnuk
13/06/2008 - 16:39 | Warnen spam
Hallo,

Was haben Sie in Event Viewer.
Das hier:

Event Type: Error
Event Source: RemoteAccess
Event ID: 20138
Computer: GATE
Description:
A Demand Dial connection to the remote interface VPN-NCZ failed to be
initated
succesfully. The following error occurred: Die Schnittstelleninformationen
wurden
nicht festgelegt.
Data:
0000: 0000038d ==> ERROR_NO_INTERFACE_CREDENTIALS_SET

wenn das der Fall ist
dann pruefen Sie das:
- Go to Administrative Tools/Routing and Remote Access MMC
- Expand Server tree and click on Routing Interfaces, right click
"Demand-dial" Interface (this was created during the ISA/VPN Wizard Set-up)
and set to disable.
- Go to "Ports"/properties then configure "WAN miniport (L2TP)" and unclick
"Demand-dial routing connections", set "Maximum ports" to 0
- Go to WAN miniport (PPTP)" - unclick "Demand-dial routing connections"
and set "Maximum ports" to 5 or as many as you need.

MfG
Texnuk

"Ewald Bracko" wrote in message
news:
Hallo,

ich habe versucht, in einer Testumgebung mit zwei W2k3 Servern gemàß den
Anleitungen von MS
(http://technet2.microsoft.com/windo...x?mfr=true)
ein Site-to-Site VPN einzurichten.

Die Server besitzen 2 NICs für LAN und Internet und sind als
Domànencontroller einer jeweils eigenen Domàne (= zwei voneinander
unabhàngige Domànen) mit entsprechenden Enterprise-Root-CAs eingerichtet.
RRAS wurde konfiguriert für RAS, NAT und Routing (LAN & Dial-on-demand),
statische IP-Adresspools sowie Authentifizierung EAP wurden konfiguriert
und
RAS-Richtlinien wurden konfiguriert.
Alle benötigten Zertifikate wurden gemàß der Anleitung erstellt und
eingespielt. (automatisch zugeteilte Domanencontrollerzertifikate,
Root-Zertifikate, angepasste Router-Zertifikate)
Die Dial-on-demand Schnittstellen wurden konfiguriert und eingerichtet,
die
Zertifikate an die Benutzerkonten der Schnittstellen gemappt.
NAT-Schnittstellen wurden eingerichtet (extern & intern), allerdings zum
Testen erstmal ohne Firewall.

Kurz gesagt, ich bin ziemlich genau nach der Anleitung vorgegangen.

Bei dem Versuch, eine Verbindung zwischen dein Dial-on-demand
Schnittstellen
herzustellen, bekomme ich folgende Fehlermeldung:
"Die Verbindung mit der Schnittstelle wurde getrennt."
"Der folgende Fehler ist aufgetreten: Die Schnittstelleninformationen
wurden
nicht festgelegt."

Merkwürdig ist folgendes: Ich habe die Authentifizierung testhalber von
Zertifikaten (EAP) auf MS-CHAP-V2 umgestellt (Schnittstellen,
RAS-Richtlinien, Servereigenschaften). Nun konnte ich die Verbindung ohne
Fehlermeldung problemlos herstellen.

Ich habe testhalber auf beiden Servern jeweils eine RAS-VPN-Verbindung
nach
den Vorgaben der Dial-on-demand Schnittstellen konfiguriert (jetzt wieder
mit
Authentifizierung per Zertifikat, auch mit Verifizierrung des
Serverzertifikats) und zum Verbinden das jeweilige Zertifikat für die
Dial-on-demand Schnittstelle verwendet. Auch hier konnte ich problemlos
eine
Verbindung herstellen und die Dial-on-demand Schnittstelle des gerufenen
Servers zeigte "Verbindung hergestellt" an.

Das Problem tritt nur auf, wenn ich versuche, über die
Netzwerkschnitstellen
mittels der Dial-on-demand Schnittstellen im RRAS die Verbindung
aufzubauen.

Verwende ich für die Dial-on-demand Schnittstelle die RAS-Wàhlfunktion via
router.pbk (c:\windows\system32as, enthàlt die Konfiguration für die
Dial-on-demand Schnittstellen), làsst sich die Verbindung problemlos
aufbauen.

Das Problem scheint direkt mit dem Initiieren der Verbindung der
Dial-on-demand Schnittstellen zusammenzuhàngen - allerdings nur, wenn zum
Authentifizieren EAP mit Zertifikaten verwendet werden. Das trifft
übrigens
auch bei PPTP-Verbindungen zu.

Kann mir jemand bitte dabei helfen, herauszufinden, warum die Verbindung
zwischen den Diel-on-demand Schnittstellen mit der obigen Fehlermeldung
abbricht?

Vielen Dank schon im Voraus!

Zur Info:
Die Tests habe ich mit der Evaluierungsversion von MS Windows 2003 Server
Enterprise Edition (SP1 & SP2) durchgeführt.


Ähnliche fragen