Fehler bei sstp VPN

Mitglied: billy01

billy01 (Level 1) - Jetzt verbinden

02.04.2016 um 23:55 Uhr, 3719 Aufrufe, 5 Kommentare, 2 Danke

Hallo Community,

nochmal ich.

Ich hab mich die letzten Tage mit VPN gequält und bin schließlich bei sstp angekommen (l2tp geht nicht, trotz Portfreigaben).

Es sieht so aus: server1 (Windows Server 2012 r2 Datacenter mit Essentials Rolle) und server2 (auch 2013 R2 Datacenter). Ich hab durch die Essentials-Rolle ein Zertifikat bekommen und einen Domänennamen bei MS eingerichtet. Das Zertifikat ist von GoDaddy, gültig und funktioniert.
Nun möchte ich aber nicht, dass der DC als Einwählpunkt gilt sondern server2, also habe ich das Zertifikat exportiert, auf server2 in "eigene Zertifikate" importiert und mal dem IIS zugeordnet. Soweit klappt der Zugriff von extern.

Dann hab ich die Routing und RAS Rolle installiert, VPN mit dem Assistenten ausgewählt und dann unter den Servereigenschaften -> Sicherheit das GoDaddy Zertifikat ausgewählt.

Will ich jetzt von meinem Client (keine Domäne) eine VPN Verbindung aufbauen, kommt, dass der Server nicht überprüft werden kann, ich kann dann auswählen ob ich verbinden will oder nicht.

Wie kriege ich das weg und warum kommt das? Zugriff über den DynDNS Namen im Browser klappt doch ohne Fehler?

Ändere ich das Zertifikat am Server auf eines von der Domänen-CA (intern) kommt sofort beim Verbindungsaufbau, dass der CA nicht getraut wird.

Kann jemand helfen?

Billy

PS: per NPS Richtlinie wird nur "peap mschap" erlaubt hat das damit was zu tun?
Mitglied: 114757
114757 (Level 4)
03.04.2016, aktualisiert um 10:45 Uhr
Moin.
Zitat von @billy01:
Ich hab mich die letzten Tage mit VPN gequält und bin schließlich bei sstp angekommen (l2tp geht nicht, trotz Portfreigaben).
L2TP o. IPSec geht einwandfrei :-) face-smile wenn man denn alle Bedingungen kennt, und sich vernünftig darüber informiert!! Nur mit Ports öffnen ist es hier nicht getan. VPN-Technologien erfordern ein breites Verständnis verschiedenster Bereiche. Mit Tutorials auf Youtube schauen ist es da in keinem Fall getan. Nur wenn man sich mal die Zeit nimmt und alle Teilbereiche wirklich versteht ist man auch in der Lage solche Probleme erfolgreich zu beheben.

Mit "och bekomm ich damit jetzt nich hin, nehmen wir mal das nächste" so wie sich deine letzten Posts lesen, kommst du in der IT-Welt nicht weit. Nur die Harten kommen in den Garten :-) face-smile
Es sieht so aus: server1 (Windows Server 2012 r2 Datacenter mit Essentials Rolle) und server2 (auch 2013 R2 Datacenter). Ich hab durch die Essentials-Rolle ein Zertifikat bekommen und einen Domänennamen bei MS eingerichtet. Das Zertifikat ist von GoDaddy, gültig und funktioniert.
Nun möchte ich aber nicht, dass der DC als Einwählpunkt gilt sondern server2, also habe ich das Zertifikat exportiert, auf server2 in "eigene Zertifikate" importiert und mal dem IIS zugeordnet. Soweit klappt der Zugriff von extern.

Dann hab ich die Routing und RAS Rolle installiert, VPN mit dem Assistenten ausgewählt und dann unter den Servereigenschaften -> Sicherheit das GoDaddy Zertifikat ausgewählt.

Will ich jetzt von meinem Client (keine Domäne) eine VPN Verbindung aufbauen, kommt, dass der Server nicht überprüft werden kann, ich kann dann auswählen ob ich verbinden will oder nicht.
Wie kriege ich das weg und warum kommt das? Zugriff über den DynDNS Namen im Browser klappt doch ohne Fehler?
Bei SSTP ist zwingend zu prüfen ob im Zertifikat eine CRL-URL hinterlegt ist. Wenn das der Fall ist muss diese URL immer vom Client erreichbar und verfügbar sein, ansonsten verweigert Windows die Verbindung.

Ändere ich das Zertifikat am Server auf eines von der Domänen-CA (intern) kommt sofort beim Verbindungsaufbau, dass der CA nicht getraut wird.
Das ist erstens normal wenn man auf dem Client der nicht der Domäne angehört, das Stammzertifikat der CA nicht in die vertrauenswürdig Zertifizierungsstellen importiert hat, um zweitens gilt hier ebenfalls das was ich oben geschrieben habe. Wenn die Zertifikatskette eine OSCP oder CRL-URL hinterlegt hat muss diese für den Client abrufbar sein. Dort fragt der Client nämlich die gesperrten Zertifikate ab. Kann er das nicht, Ende Gelände = Keine Verbindung. SSTP ist hier sehr restriktiv! Da muss in der SSL-Kette alles stimmen.
https://technet.microsoft.com/de-de/library/cc731352(v=ws.10).aspx

Gruß jodel32
Bitte warten ..
Mitglied: billy01
03.04.2016 um 10:51 Uhr
Hallo Jodel,

danke für deine Antwort.

Wie und wo finde ich denn diese CRL-URL?

Wenn ich mir das Zertifikat anschaue und die URL da öffne, lädt er eine Datei runter - da kommt der Client doch ran?

unbenannt - Klicke auf das Bild, um es zu vergrößern

Schönen Sonntag,

Billy
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
LÖSUNG 03.04.2016, aktualisiert um 16:05 Uhr
Wenn ich mir das Zertifikat anschaue und die URL da öffne, lädt er eine Datei runter - da kommt der Client doch ran?
OK wenn das der Fall ist ist das in dieser Hinsicht OK.

Ich habe dir nochmal extra alle wichtigen Dinge aufgelistet.

Überprüfe folgende Einstellungen in der Verbindung auf dem Client:

screenshot - Klicke auf das Bild, um es zu vergrößern

Auf dem NPS-Server solltest du dann eine Netzwerkrichtlinie mit folgenden Einstellungen haben (Zusätzlich benötigst du natürlich eine passende Verbindungsanforderungsrichtlinie für die DFÜ Einwahl im NPS):

screenshot - Klicke auf das Bild, um es zu vergrößern

Eine Benutzergruppe die Einwahl gewähren und die jeweiligen User hinzufügen

screenshot - Klicke auf das Bild, um es zu vergrößern

Folgende Auth-Methode genügt vollkommen für den Zugriff via SSTP wenn Kennwörter statt Client-Zertifikaten bei der Einwahl genutzt werden.

screenshot - Klicke auf das Bild, um es zu vergrößern

Im Benutzerprofil der User sollte die Einwahloption so konfiguriert sein:

screenshot - Klicke auf das Bild, um es zu vergrößern

Dann sollten im RRAS die SSTP-Ports aktiviert sein

screenshot - Klicke auf das Bild, um es zu vergrößern

Und das richtige Zertifikat und IP-Einstellungen in den Eigenschaften des Servers hinterlegt sein:

777c8bbd6893dc59fe68101382ed00c6 - Klicke auf das Bild, um es zu vergrößern

Möchte man das der eigene DHCP im internen Netz die Verteilung der IP-Adressen der VPN-Clients übernimmt stellst man dies folgendermaßen ein:

screenshot - Klicke auf das Bild, um es zu vergrößern

Alternativ lässt sich hier auch ein fester Adresspol für die Clients vergeben.

Damit funktioniert hier die Einwahl bei korrektem Zertifikat und auch bei Computern die kein Mitglied der Domain sind auf einem SRV2012R2 mit SSTP einwandfrei ohne irgendwelche Nachfragen!

Ich mache das immer ohne jegliche Assistenten. Die Assis machen einen doch immer nur Blind und dann wissen die User noch nicht mal was eigentlich im Hintergrund passiert. Wenn man es manuell macht, hat man immer das Zepter selbst in der Hand wenn man weiß was man tut, gleichzeitig steht man so nicht gleich wie die Axt im Walde wenn mal was nicht funktioniert.

Gruß jodel32
Bitte warten ..
Mitglied: billy01
03.04.2016 um 13:15 Uhr
Wow, vielen Dank!

So klappt es jetzt, ich habe jetzt die Authentifiziernug auf "EAP-MSCHAP v2" geändert und siehe da: alles klappt :-) face-smile

Danke für deine Hilfe,

Billy
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
03.04.2016, aktualisiert um 13:17 Uhr
Zitat von @billy01:
So klappt es jetzt, ich habe jetzt die Authentifiziernug auf "EAP-MSCHAP v2" geändert und siehe da: alles klappt :-) face-smile
Das ist schön zu hören :-) face-smile
Danke für deine Hilfe,
Gern geschehen.

Schönen Sonntag noch
Gruß jodel
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 15 StundenAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 23 StundenFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server12 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...