garciam
Goto Top

Pix mit L2TP-IPSec konfigurieren

Hallo zusammen

Trotz etlichen Anleitungen die ich mir angeschaut habe, komme ich einfach nicht weiter.

Folgendes habe ich bis jetzt gemacht:

Zertifizierungsserver Windows 2003 installiert, IP 10.1.0.2

Auf meinem Client habe ich dann ein Benutzer-Zertifikat installiert. Dann habe ich dieses Zertifikat auf dem Client zu den Vertrauenswuerdigen Stammzertifizierungen hinzugefuegt.

Auf der Pix (IP intern 10.1.0.1) habe ich folgende Einstellungen vorgenommen:
hostname NewYork
domain-name example.com
ca generate rsa key 512
ca identity abcd 10.1.0.2:/certsrv/mscep/mscep.dll
ca configure abcd ra 1 20 crloptional
ca authenticate abcd
ca enroll abcd cisco

Bei der Eingabe von ca enroll abcd cisco kommt dann eine Fehlermeldung -> % No CA root cert exists. Use "ca authenticate". Will hier die Pix auf
10.1.0.2:/certsrv/mscep/mscep.dll 
zugreifen?

VPN funktioniert mit PPTP ohne Problem.
Wenn ich eine Verbindung vom Client zur Pix mit L2TP-IPSec aufbauen will kommt nach einer Weile die Meldung, dass die Sicherheitsaushandlung fehlgeschagen sein.

Danke schon mal im Voraus!

Content-ID: 4809

Url: https://administrator.de/forum/pix-mit-l2tp-ipsec-konfigurieren-4809.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

garciam
garciam 14.12.2004 um 19:08:29 Uhr
Goto Top
Habe ich das Zenario nicht verstaendlich beschrieben, oder ist hier wirklich niemand der mir weiterhelfen kann????
forsti
forsti 13.01.2005 um 14:29:27 Uhr
Goto Top
Bei der Eingabe von ca enroll abcd cisco
kommt dann eine Fehlermeldung -> % No CA
root cert exists. Use "ca
authenticate". Will hier die Pix auf
10.1.0.2:/certsrv/mscep/mscep.dll
zugreifen?

das gleiche problem mit einer pix firewall und einer microsoft ca hatte ich auch.
lösungsansatz: der nickname der in der zeile "ca identity abcd ..." verwendet wird muss dem cn der ra instanz entsprechen. vergibt man bei der installtion des scep aufsatzes also zb "myRa" als namen für die ra instanz muss dieser auch in der pix konfiguration verwendet werden. ("ca identity myRa ...") Anm: wirklich nur der cn, kein fqdn.

bin gespannt ob es auch bei dir dieser fehler war...
garciam
garciam 13.01.2005 um 14:36:22 Uhr
Goto Top
Hallo

Danke fuer den Tipp. Es wird aber wohl noch einen Moment dauern bis ich mich nochmals an diese Geschickte mache. Zurzeit habe ich weder die Motivation, noch Nerven fuer die Sache.

Ich werde dich aber zugegebener Zeit informieren ob es am nick gelegen hat.

Gruss