Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789

Mitglied: carstensk

carstensk (Level 1) - Jetzt verbinden

29.10.2007, aktualisiert 30.10.2007, 10063 Aufrufe, 10 Kommentare

Wir haben einen Windows Server 2003 SP2 und ISA 2006 und wollen mit der Gegenstelle via Zertifikat eine L2TP Verbindung aufbauen. Unser Server wurde vor der Einrichtung der VPN und des einspielen der Zertifikate umbenannt und nachträglich Service Pack 2 installiert. Datenpakete sind schon hin und her gegangen aber die VPN schlägt immer fehl.
Hab auch in der Regedit folgende Eintragung gemacht aber auch ohne Erfolg:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Unser Server hat 2 Netzwerkkarten. Eine ist direkt mit dem Internet verbunden, die andere mit dem lokalen Lan. Wonach kann ich noch suchen? Bisher habe ich recht wenig zu dieser Fehlermeldung gefunden Schonmal vielen Dank.


Gruß Carsten
Mitglied: Dani
29.10.2007 um 11:08 Uhr
Hi Carsten,
was verbirgt sich hinter dem FEhler 789??
Klappt der VPN-Tunnel innerhalb des LAN's??


Grüße
Dani
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 11:14 Uhr
Hinter der Fehlermeldung verbirgt sich "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist".

Folgenden Auszug hab ich aus der "Oakley.log" (falls es nicht hilft kann ich mehr posten wollte aber die 7 Seiten nicht reinsetzen ;))

10-29: 10:42:22:559:1d0 constructing ID
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Received no valid CRPs. Using all configured
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 ProcessFailure: sa:00111A00 centry:00000000 status:35ec
10-29: 10:42:22:575:1d0 isadb_set_status sa:00111A00 centry:00000000 status 35ec
10-29: 10:42:22:575:1d0 SchlEsselaustauschmodus (Hauptmodus)


10-29: 10:42:44:551:a1c Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:44:551:a1c d3ef3b55
10-29: 10:42:44:551:a1c Get Certificate Context Property failed with 80092004
10-29: 10:42:44:551:a1c Failed to get key for cert
10-29: 10:42:44:551:a1c Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:44:551:a1c failed to get chain 80092004
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c isadb_set_status sa:00176138 centry:00000000 status 35ec
10-29: 10:42:44:551:a1c SchlEsselaustauschmodus (Hauptmodus)
10-29: 10:42:44:551:a1c Quell-IP-Adresse xx.xx.xx.xx Quell-IP-Adressmaske
255.255.255.255 Ziel-IP-Adresse xx.xx.xx.xx Ziel-IP-Adressmaske
255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse
xx.xx.xx.xx Peer-IKE-Adresse xx.xx.xx.xx IKE-Quellport 4500
IKE-Zielport 4500 Private Peeradresse
10-29: 10:42:44:551:a1c Zertifikatbasierte Identit„t. Peerantragsteller
Peer-SHA-Fingerabdruck 0000000000000000000000000000000000000000 Peer, der die
Zertifizierungsstelle ausstellt: Stammzertifizierungsstelle Eigener
Antragsteller C=DE, O=Asklepios Group, CN=Asklepios Machine CA Eigener
SHA-Fingerabdruck cf3b56d98a7247452c30cc6ff39d4bb4d3ef3b55 Peer-IP-Adresse:
xx.xx.xx.xx
10-29: 10:42:44:551:a1c Benutzer

10-29: 10:42:44:551:a1c Allgemeiner Verabeitungsfehler.
10-29: 10:42:44:551:a1c Als zweites verarbeitete Nutzlast (KE) Initiator.
Wartezeit 0 0x80092004 0x0
10-29: 10:42:44:551:a1c isadb_set_status InitiateEvent 000007F8: Setting Status
35ec
10-29: 10:42:44:551:a1c Clearing sa 00176138 InitiateEvent 000007F8
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c Not creating notify. Not permitted
10-29: 10:42:44:551:260 CloseNegHandle 000007F8
10-29: 10:42:44:551:260 SE cookie 6f4a1612a3248156
10-29: 10:42:44:660:260 isadb_schedule_kill_oldPolicy_sas:
cb208408-ba6a-4e68-84f22cabe8d529ff 4
10-29: 10:42:44:660:a48 isadb_schedule_kill_oldPolicy_sas:
024bc484-33f7-437d-bd426a90e22cfdb6 3
10-29: 10:42:44:660:a58 isadb_schedule_kill_oldPolicy_sas:
38ec7bf1-8314-4040-872e35a048fa3c9d 2
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 4
10-29: 10:42:44:676:a1c SA Dead. sa:00176138 status:3619
10-29: 10:42:44:676:a1c constructing ISAKMP Header
10-29: 10:42:44:676:a1c constructing HASH (null)
10-29: 10:42:44:676:a1c constructing NONCE (ND)
10-29: 10:42:44:676:a1c constructing DELETE. MM 00176138
10-29: 10:42:44:676:a1c constructing HASH (Notify/Delete)
10-29: 10:42:44:676:a1c
10-29: 10:42:44:676:a1c Sending: SA = 0x00176138 to 213.191.70.187:Type 1.4500
10-29: 10:42:44:676:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:676:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:676:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:676:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:676:a1c flags: 1 ( encrypted )
10-29: 10:42:44:676:a1c next payload: HASH
10-29: 10:42:44:676:a1c message ID: 462aa398
10-29: 10:42:44:676:a1c Ports S:9411 D:9411
10-29: 10:42:44:676:1d0 entered kill_old_policy_sas 3
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 2
10-29: 10:42:44:707:a1c
10-29: 10:42:44:707:a1c Receive: (get) SA = 0x00176138 from 213.191.70.187.500
10-29: 10:42:44:707:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:707:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:707:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:707:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:707:a1c flags: 1 ( encrypted )
10-29: 10:42:44:707:a1c next payload: HASH
10-29: 10:42:44:707:a1c message ID: 462aa398
10-29: 10:42:44:707:a1c processing HASH (Notify/Delete)
10-29: 10:42:44:707:a1c Bad N/D Hash
10-29: 10:42:44:707:a1c ProcessFailure: sa:00176138 centry:00000000 status:360d
10-29: 10:42:44:707:a1c unable to process info-only exchange
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 12:50 Uhr
Hast du noch einen NAT Router zwischen dem Internet und dein ISA?

Schau mal unter http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ... oder http://support.microsoft.com/kb/885348/.
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 13:35 Uhr
Nat haben wir dort soweit ich weiß nicht. Der ISA hat eine Netzwerkkarte mit einer IP aus dem Adressbereich der nach außen für uns reserviert ist. Der next Hopp (nächste Router) ist im gleichen Netz. Dieser Router ist von unserem Netzbetreiber und wird eingesetzt um 3x 2MBit Leitungen zu einer 6MBit Leitung zu schalten. Mehr "sollte" da nicht laufen. Kann ich das mit dem Nat irgendworan testen?
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 17:47 Uhr
In deiner Überschrift hast du geschrieben: "L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789". Deshalb gehen wir davon aus das du 2 ISA hast, die du mit VPN verbinden willst.

Du schreibst: Ein ISA ist direkt mit Internet verbunden. Und der andere? Davon steht nichts. Deshalb die Frage "Hast du noch einen NAT Router dazwischen?". Was dein Provider macht, sollte normalerweise hier nicht stören, sofern dieser nicht irgendwelche Dienste / Ports sperren.

Dann hast du geschrieben das der next Hop ein Router von eurem Netzbetreiber ist mit dem 3 stück 2 MBit DSL Leitungen zu einer 6 MBit Leitung zusammen geschaltet werden. Was dein Provider macht, ist doch eigentlich für dich unwichtig, sofern er nichts sperrt.

Für dich ist es doch so, das du an deinem Ersten Standort eine 6 MBit DSL Leitung hast. Diese 6 MBit leitung ist am ISA direkt angeschlossen.

Ist jetzt am anderen Standort auch ein ISA direkt am Internet? Ist dort noch eine Router mit NAT dazwischen? Ist dort der gleiche Provider? Auch eine feste IP an den anderen Standort?
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 09:04 Uhr
Also die Gegenstelle ist 400km entfernt mit welchen wir uns "vernetzen" müssen. Die Einwahl läuft über eine Namensauflösung allerdings ist die IP von denen Fest. Nat wird dort nicht eingesetzt. Habe relativ wenig über die Gegenstelle geschrieben da ich nicht viel weiß. Ich dachte es ist ein Problem was man anhand der Fehlermeldung schnell finden kann aber anscheint nicht
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 12:48 Uhr
Also da brauchen wir schon etwas mehr Infos.

Du hast bei Dir einen ISA. Damit willst du ein VPN aufbauen. Was die gegenstelle hat kannst du uns nicht sagen. Hmmmmm, da wird es dann schwer.

Das die da (Gegenstelle 400 km entfernt) kein NAT machen ist schwer zu glauben. Entweder ist das nur ein PC direkt am Inet oder alle Rechner im entfernten LAN haben Öffentliche IPs. Schwer zu glauben.

Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 12:53 Uhr
ja sorry ich weis es doch nicht was auf der Gegenseite los ist. Ich hab von den alle Daten bekommen was ich einstellen soll aber es geht nicht. Bei dem Fehler steht die Gegenstelle auf dem Schlauch weil wir anscheint die einzigen sind wo das so ist. Mehr Informationen bekomme ich von denen leider nicht. Das die kein Nat machen war jetzt nur eine Vermutung, weis es leider nicht. Werde abwarten was ich von denen als Alternative bekomme weil so wird das nichts. Es ist kein Allgemeiner Fehler der auf irgendwas schließt, in jedem Forum lese ich über den Fehler was anderes und immer lag es an was anderem. Echt Tolle Fehlermeldung!
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 13:04 Uhr
War ja nicht "Böse" gemeint.

Kann Dir die "Gegenstelle" kein Fehlerprotokoll oder Fehlermeldung geben?

Was ist, wenn du von einem Client der nicht hinter der ISA ist, versuchst per VPN anzubinden. Die Daten hast du ja. Kommt es da auch zum Fehler 789? Was steht denn im ISA Protokoll? Schon mal versucht mit einem Client (ausserhalb deines Netzes) auf eueren ISA per VPN zu verbinden, klappt das denn?

Benutzt die Gegenstelle den auch ISA oder was haben die?


Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 14:55 Uhr
So endlich die VPN läuft Ich habe das Zertifikat von meinem PC angefordert. Hätte das vom Isa anfordern müssen. Dort war kein lokales Zertifikat eingetragen. Nach der Änderung funktioniert das endlich gescheid! Trotzdem vielen Dank an alle
Bitte warten ..
Ähnliche Inhalte
Router & Routing
CICSO TFTP Verbindung schlägt fehl
gelöst Frage von lord-iconRouter & Routing2 Kommentare

So nun hab ich ein AIR-LAP1242AG-E-K9 an wickel, der noch n altes IOS drauf hat. Lt. Handbuch soll man ...

Netzwerkmanagement

Verbindung PC zu Switch schlägt fehl

gelöst Frage von biofritzNetzwerkmanagement15 Kommentare

Guten Abend, ich habe ein Phänomen im Netzwerk, welches ich mir nicht erklären kann: Normalerweise ist der PC meiner ...

Exchange Server

Exchange 2016 cu8 Verbindung Powershell schlägt fehl

Frage von blackhawk17Exchange Server8 Kommentare

Guten Abend, ich wollte heute 2 ganz frische Exchange Server 2016 auf Microsoft Server 2016 installieren . Die Installation ...

Exchange Server

IMAP Verbindung schlägt fehl bei Exchange 2013

gelöst Frage von pablovicExchange Server6 Kommentare

Hi Gemeinde Ich habe ein Problem mit der IMAP Verbindung eines Programms und Exchange. Und zwar soll das Programm ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 11 StundenWindows Server1 Kommentar

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 13 StundenHumor (lol)3 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 17 StundenSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 1 TagInternet4 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware43 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Datenbanken
PHP Fatal error: Uncaught Error: Call to undefined function oci connect
gelöst Frage von PlanitecXDatenbanken22 Kommentare

Hallo Zusammen, ich sitze seit Tagen am Problem das ich keine PHP Anwendung mit Anbindung zu Oracle zum laufen ...

Hardware
PC im Selbstbau, Workstation, mittelklasse Gaming
gelöst Frage von MrRobot1997Hardware21 Kommentare

Hallöchen Leute, ich bin seit einigen Jahren leider nicht mehr wirklich im Bild, wenn es um die Hardware und ...

Windows Server
User auf Server Install-Rechte geben
gelöst Frage von killtecWindows Server17 Kommentare

Hi, ich möchte auf mehreren W2016 Servern einem bestimmten User das Recht zum Installieren von Programmen geben. Er soll ...