L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789

geschlossengelöstFrage Sicherheit Firewall

Wir haben einen Windows Server 2003 SP2 und ISA 2006 und wollen mit der Gegenstelle via Zertifikat eine L2TP Verbindung aufbauen. Unser Server wurde vor der Einrichtung der VPN und des einspielen der Zertifikate umbenannt und nachträglich Service Pack 2 installiert. Datenpakete sind schon hin und her gegangen aber die VPN schlägt immer fehl.
Hab auch in der Regedit folgende Eintragung gemacht aber auch ohne Erfolg:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Unser Server hat 2 Netzwerkkarten. Eine ist direkt mit dem Internet verbunden, die andere mit dem lokalen Lan. Wonach kann ich noch suchen? Bisher habe ich recht wenig zu dieser Fehlermeldung gefunden

Schonmal vielen Dank.

Gruß Carsten

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 72143

Url: https://administrator.de/forum/l2tp-verbindung-von-isa-zu-isa-schlaegt-fehl-mit-fehler-789-72143.html

Ausgedruckt am: 21.04.2025 um 23:04 Uhr

10 Kommentare

Neuester Kommentar

Hi Carsten,
was verbirgt sich hinter dem FEhler 789??
Klappt der VPN-Tunnel innerhalb des LAN's??

Grüße
Dani

Hinter der Fehlermeldung verbirgt sich "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist".

Folgenden Auszug hab ich aus der "Oakley.log" (falls es nicht hilft kann ich mehr posten wollte aber die 7 Seiten nicht reinsetzen ;))

10-29: 10:42:22:559:1d0 constructing ID
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Received no valid CRPs. Using all configured
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 ProcessFailure: sa:00111A00 centry:00000000 status:35ec
10-29: 10:42:22:575:1d0 isadb_set_status sa:00111A00 centry:00000000 status 35ec
10-29: 10:42:22:575:1d0 SchlEsselaustauschmodus (Hauptmodus)

10-29: 10:42:44:551:a1c Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:44:551:a1c d3ef3b55
10-29: 10:42:44:551:a1c Get Certificate Context Property failed with 80092004
10-29: 10:42:44:551:a1c Failed to get key for cert
10-29: 10:42:44:551:a1c Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:44:551:a1c failed to get chain 80092004
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c isadb_set_status sa:00176138 centry:00000000 status 35ec
10-29: 10:42:44:551:a1c SchlEsselaustauschmodus (Hauptmodus)
10-29: 10:42:44:551:a1c Quell-IP-Adresse xx.xx.xx.xx Quell-IP-Adressmaske
255.255.255.255 Ziel-IP-Adresse xx.xx.xx.xx Ziel-IP-Adressmaske
255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse
xx.xx.xx.xx Peer-IKE-Adresse xx.xx.xx.xx IKE-Quellport 4500
IKE-Zielport 4500 Private Peeradresse
10-29: 10:42:44:551:a1c Zertifikatbasierte Identit„t. Peerantragsteller
Peer-SHA-Fingerabdruck 0000000000000000000000000000000000000000 Peer, der die
Zertifizierungsstelle ausstellt: Stammzertifizierungsstelle Eigener
Antragsteller C=DE, O=Asklepios Group, CN=Asklepios Machine CA Eigener
SHA-Fingerabdruck cf3b56d98a7247452c30cc6ff39d4bb4d3ef3b55 Peer-IP-Adresse:
xx.xx.xx.xx
10-29: 10:42:44:551:a1c Benutzer

10-29: 10:42:44:551:a1c Allgemeiner Verabeitungsfehler.
10-29: 10:42:44:551:a1c Als zweites verarbeitete Nutzlast (KE) Initiator.
Wartezeit 0 0x80092004 0x0
10-29: 10:42:44:551:a1c isadb_set_status InitiateEvent 000007F8: Setting Status
35ec
10-29: 10:42:44:551:a1c Clearing sa 00176138 InitiateEvent 000007F8
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c Not creating notify. Not permitted
10-29: 10:42:44:551:260 CloseNegHandle 000007F8
10-29: 10:42:44:551:260 SE cookie 6f4a1612a3248156
10-29: 10:42:44:660:260 isadb_schedule_kill_oldPolicy_sas:
cb208408-ba6a-4e68-84f22cabe8d529ff 4
10-29: 10:42:44:660:a48 isadb_schedule_kill_oldPolicy_sas:
024bc484-33f7-437d-bd426a90e22cfdb6 3
10-29: 10:42:44:660:a58 isadb_schedule_kill_oldPolicy_sas:
38ec7bf1-8314-4040-872e35a048fa3c9d 2
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 4
10-29: 10:42:44:676:a1c SA Dead. sa:00176138 status:3619
10-29: 10:42:44:676:a1c constructing ISAKMP Header
10-29: 10:42:44:676:a1c constructing HASH (null)
10-29: 10:42:44:676:a1c constructing NONCE (ND)
10-29: 10:42:44:676:a1c constructing DELETE. MM 00176138
10-29: 10:42:44:676:a1c constructing HASH (Notify/Delete)
10-29: 10:42:44:676:a1c
10-29: 10:42:44:676:a1c Sending: SA = 0x00176138 to 213.191.70.187:Type 1.4500
10-29: 10:42:44:676:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:676:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:676:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:676:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:676:a1c flags: 1 ( encrypted )
10-29: 10:42:44:676:a1c next payload: HASH
10-29: 10:42:44:676:a1c message ID: 462aa398
10-29: 10:42:44:676:a1c Ports S:9411 D:9411
10-29: 10:42:44:676:1d0 entered kill_old_policy_sas 3
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 2
10-29: 10:42:44:707:a1c
10-29: 10:42:44:707:a1c Receive: (get) SA = 0x00176138 from 213.191.70.187.500
10-29: 10:42:44:707:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:707:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:707:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:707:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:707:a1c flags: 1 ( encrypted )
10-29: 10:42:44:707:a1c next payload: HASH
10-29: 10:42:44:707:a1c message ID: 462aa398
10-29: 10:42:44:707:a1c processing HASH (Notify/Delete)
10-29: 10:42:44:707:a1c Bad N/D Hash
10-29: 10:42:44:707:a1c ProcessFailure: sa:00176138 centry:00000000 status:360d
10-29: 10:42:44:707:a1c unable to process info-only exchange

Hast du noch einen NAT Router zwischen dem Internet und dein ISA?

Schau mal unter http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ... oder http://support.microsoft.com/kb/885348/.

Nat haben wir dort soweit ich weiß nicht. Der ISA hat eine Netzwerkkarte mit einer IP aus dem Adressbereich der nach außen für uns reserviert ist. Der next Hopp (nächste Router) ist im gleichen Netz. Dieser Router ist von unserem Netzbetreiber und wird eingesetzt um 3x 2MBit Leitungen zu einer 6MBit Leitung zu schalten. Mehr "sollte" da nicht laufen. Kann ich das mit dem Nat irgendworan testen?

In deiner Überschrift hast du geschrieben: "L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789". Deshalb gehen wir davon aus das du 2 ISA hast, die du mit VPN verbinden willst.

Du schreibst: Ein ISA ist direkt mit Internet verbunden. Und der andere? Davon steht nichts. Deshalb die Frage "Hast du noch einen NAT Router dazwischen?". Was dein Provider macht, sollte normalerweise hier nicht stören, sofern dieser nicht irgendwelche Dienste / Ports sperren.

Dann hast du geschrieben das der next Hop ein Router von eurem Netzbetreiber ist mit dem 3 stück 2 MBit DSL Leitungen zu einer 6 MBit Leitung zusammen geschaltet werden. Was dein Provider macht, ist doch eigentlich für dich unwichtig, sofern er nichts sperrt.

Für dich ist es doch so, das du an deinem Ersten Standort eine 6 MBit DSL Leitung hast. Diese 6 MBit leitung ist am ISA direkt angeschlossen.

Ist jetzt am anderen Standort auch ein ISA direkt am Internet? Ist dort noch eine Router mit NAT dazwischen? Ist dort der gleiche Provider? Auch eine feste IP an den anderen Standort?

Also die Gegenstelle ist 400km entfernt mit welchen wir uns "vernetzen" müssen. Die Einwahl läuft über eine Namensauflösung allerdings ist die IP von denen Fest. Nat wird dort nicht eingesetzt. Habe relativ wenig über die Gegenstelle geschrieben da ich nicht viel weiß. Ich dachte es ist ein Problem was man anhand der Fehlermeldung schnell finden kann aber anscheint nicht

Also da brauchen wir schon etwas mehr Infos.

Du hast bei Dir einen ISA. Damit willst du ein VPN aufbauen. Was die gegenstelle hat kannst du uns nicht sagen. Hmmmmm, da wird es dann schwer.

Das die da (Gegenstelle 400 km entfernt) kein NAT machen ist schwer zu glauben. Entweder ist das nur ein PC direkt am Inet oder alle Rechner im entfernten LAN haben Öffentliche IPs. Schwer zu glauben.

Peter

ja sorry ich weis es doch nicht was auf der Gegenseite los ist. Ich hab von den alle Daten bekommen was ich einstellen soll aber es geht nicht. Bei dem Fehler steht die Gegenstelle auf dem Schlauch weil wir anscheint die einzigen sind wo das so ist. Mehr Informationen bekomme ich von denen leider nicht. Das die kein Nat machen war jetzt nur eine Vermutung, weis es leider nicht. Werde abwarten was ich von denen als Alternative bekomme weil so wird das nichts. Es ist kein Allgemeiner Fehler der auf irgendwas schließt, in jedem Forum lese ich über den Fehler was anderes und immer lag es an was anderem. Echt Tolle Fehlermeldung!

War ja nicht "Böse" gemeint.

Kann Dir die "Gegenstelle" kein Fehlerprotokoll oder Fehlermeldung geben?

Was ist, wenn du von einem Client der nicht hinter der ISA ist, versuchst per VPN anzubinden. Die Daten hast du ja. Kommt es da auch zum Fehler 789? Was steht denn im ISA Protokoll? Schon mal versucht mit einem Client (ausserhalb deines Netzes) auf eueren ISA per VPN zu verbinden, klappt das denn?

Benutzt die Gegenstelle den auch ISA oder was haben die?

Peter

So endlich die VPN läuft

Ich habe das Zertifikat von meinem PC angefordert. Hätte das vom Isa anfordern müssen. Dort war kein lokales Zertifikat eingetragen. Nach der Änderung funktioniert das endlich gescheid! Trotzdem vielen Dank an alle

geschlossengelöstFrage Sicherheit Firewall

Mehr von carstensk

XP hängt nach Anmeldungcarstensk - 5 Kommentare

Terminal Server 2000 Drucker Papierschachtcarstensk - 2 Kommentare

Heiß diskutiert