Ich hab geweint vor Glück... IPSec mit Windows-Bordmitteln

omd · Beitrag von **omd** » 08 Jan 2006, 22:59

Hallo,

gerade habe ich dank der entsprechenden FAQ hier im Board (http://www.lancom-forum.de/topic,1507,- ... lient.html) eine VPN-Verbindung ohne separaten Client aufgebaut. Bisher hatte ich gewisse Zweifel, dass es wirklich funktioniert.

Zur Fehlersuche kann unter Windows eine Logdatei für IPSec aktiviert werden. Wie das geht, beschreibt Microsoft: http://support.microsoft.com/default.as ... US;q257225 "Obtaining an Oakley log" -- danach Windows neu starten.

Bei mir wurde demnach zunächst kein Zertifikat gefunden. Wie man ein solches unter Windows installiert, beschreibt diese Seite: http://www.natecarlson.com/linux/ipsec- ... ipsec-x509

Problem bei mir war offenbar, dass ich die Zertifikate in der Management-Konsole zunächst für das Benutzer-Konto abgelegt hatte und nicht für das Computerkonto. Außerdem muß Windows die Gültigkeit des Client-Zertifikats feststellen können. Dafür muß das CA-Zertifikat z.B. unter "vertrauenswürdige Stammzertifizierungsstellen" abgelegt sein. Falls das Client-Zertifikat aus einer .p12-Datei, welche auch das CA-Zertifikat enthält, nach "Eigene Zertifikate" importiert wird, das CA-Zertifikat anschließend manuell dorthin verschieben.

Meinen Dank an den FAQ-Schreiber

Gruß,
omd

eddia · Beitrag von **eddia** » 09 Jan 2006, 00:23

Hallo omd,

Bisher hatte ich gewisse Zweifel, dass es wirklich funktioniert.

Höh - so viel Misstrauen?

Problem bei mir war offenbar, dass ich die Zertifikate in der Management-Konsole zunächst für das Benutzer-Konto abgelegt hatte und nicht für das Computerkonto.

Deshalb sollte man ja auch die vorgefertigte MMC-Vorlage benutzen - oder bei eigener Auswahl des Zertifikat-SnapIn eben 'für diesen Computer' benutzen.

Falls das Client-Zertifikat aus einer .p12-Datei, welche auch das CA-Zertifikat enthält, nach "Eigene Zertifikate" importiert wird, das CA-Zertifikat anschließend manuell dorthin verschieben.

Deshalb sollte man (wie beschrieben) beim Import den Zertifikatsspeicher automatisch auswählen lassen. Dann liegen Client- und CA-Zertifikat auch an den richtigen Stellen.

Wobei das Client-Zertifikat erst mal nichts mit dem CA-Zertifikat zu tun hat. Letzteres dient ausschliesslich dazu, das eingehende Zertifikat vom Lancom auf Gültigkeit zu prüfen - und das kann eine ganz andere CA sein, als die des ausstellenden Clientzertifikates.

Gruß

Mario

omd · Beitrag von **omd** » 15 Jan 2006, 19:33

Hallo eddia,

Misstrauen... ich hatte den Eindruck, dass so gut wie niemand hier ernsthaft in Erwägung zieht, das eingebaute IPSec zu verwenden, weil es quasi nur mit Charakter einer 'Machbarkeitsstudie' eingerichtet werden könne. Tatsächlich ist die Einrichtung, jedenfalls für meinen Verwendungszweck, ziemlich harmlos. Wenn man denn das Logfile hat, sonst tappt man ggf. im Dunkeln.

Ein Problem hatte ich allerdings: Nach jeweils einiger Zeit brach die Verbindung zum entfernten LAN ab (Meldung von LANmonitor), stand dann wohl nach kurzer Zeit wieder. Hast Du schon derartige Unterbrechungen beobachtet?

Gruß,
omd

eddia · Beitrag von **eddia** » 15 Jan 2006, 23:12

Hallo omd,

Ein Problem hatte ich allerdings: Nach jeweils einiger Zeit brach die Verbindung zum entfernten LAN ab (Meldung von LANmonitor), stand dann wohl nach kurzer Zeit wieder. Hast Du schon derartige Unterbrechungen beobachtet?

Das ist für die Windows IPSec-Implementation leider normal. Falls für eine gewisse Zeit keine Daten übertragen werden (ich glaube so 3 min), werden die SAs deaktiviert und müssen dann erst wieder neu ausgehandelt werden.

Gruß

Mario

Maxxe · Beitrag von **Maxxe** » 03 Feb 2006, 18:14

Hallo omd,
hab eben deinen Beitrag mit Interesse gelesen und würde das auch gern
so ans Laufen bringen. Aber - die Geschichte mit dem generieren der
Zertifikate ist mir zu hoch. Habe nur Windows-Maschinen. Gibt es da auch
eine verfügbare Anleitung, wie ich das ganze mit OPENSSL bewerkstelligen kann?

Gruß
Maxxe

omd · Beitrag von **omd** » 03 Feb 2006, 18:32

Hallo Maxxe,

für die Erzeugung von CA und Zertifikaten mit OpenSSL würde ich die Beschreibung aus dem LANCOM OS 5 Referenzmanual hernehmen. Möchte empfehlen, die dort beschriebe Konfigurationsdatei nicht zu verwenden ('-extfile openssl.cnf'), dann ist die Geschichte unproblematisch. Besondere Verzeichnisse brauchst Du dann auch nicht anlegen - die Dateien werden im aktuellen Pfad abgelegt.

Aus dem oben verlinkten Dokument ist der Abschnitt "Client Setup: Windows 2000/XP", Schritte 4) und 5) interessant, um die erzeugten Zertifikate Windows bekannt zu machen.

Viel Erfolg soweit

Gruß
omd