fluluk
Goto Top

Sophos - L2TP over IPsec - Windows 10 Client

Hallo,

ich bin hierbei irgendwie am Verzweifeln.
folgendes habe ich vor:
ich möchte mit einer Sophos UTM eine L2TP over IPsec Verbindung einrichten, die ich mit dem Windows 10 eigenen Client herstellen kann.

Was habe ich bereits gemacht:
- unter Definitions & User einen Benutzer angelegt
- unter Remote Access - Certificate Management ein neues Zertifikat mit 4096 Bit generiert und auch hier alle Felder ausgefüllt
- unter Remote Access - L2TP over IPsec folgende Einstellungen vorgenommen:
-> Interface: "externes Interface welches eine feste IP hat"
-> Authentication mode: X509 CA check
-> Certificate: das oben beschriebene Zertifkat ausgewählt
-> Assigned IP addresses by: IP address pool
-> Pool Network: VPN Pool (L2TP)
-> Authentication via: Local
-> Users and Groups: (den oben beschriebenen Benutzer ausgewählt)

An dem Windows PC habe ich folgendes gemacht:
Am User Portal angemeldet, das Zertifikat heruntergeladen und im Lokalen Computer Store installiert.

In den Einstellungen: VPN Verbindung hinzufügen
VPN Anbieter: Windows (integriert)
Verbindungsname: test
Servername oder IP-Adresse: (die entsprechende Öffentliche IP)
VPN-Typ: L2TP/IPsec mit Zertifikat
Anmeldeinformationstyp: Benutzername und Kennwort
Benutzername: der entsprechend auf der Sophos konfigurierte Benutzer eingegeben
Kennwort: ...und das korrekte Kennwort dazu

weil ich es irgendwo aufgeschnappt habe, bin ich testweise auch unter Adaptereinstellungen in die eigenschafter der VPN Verbindung gegangen und habe unter Sicherheit - Datenverschlüsselung: Erforderlich (Verbindung trennen, falls Server dies ablehnt) - ausgewählt

so...
nun stelle ich die Verbindung her und erhalte sofort folgende Meldung:
Die L2TP-Verbindung konnte nicht hergestellt werden, da
der Remotecomputer von der Sicherheitsstufe nicht
authentifiziert werden konnte. Eine mögliche Ursache
besteht darin, dass mindestens ein Feld des vom
Remoteserver angegebenen Zertifikats nicht als Teil des
Ziels überprüft werden konnte.

responding to Main Mode from unknown peer AAA.BBB.CCC.DDD
ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
NAT-Traversal: Result using RFC 3947: no NAT detected
Peer ID is ID_DER_ASN1_DN: ' hier stehen die Infos zu dem Zertifikat'
crl not found
certificate status unknown
we have a cert and are sending it
sent MR3, ISAKMP SA established
ignoring informational payload, type AUTHENTICATION_FAILED

ich hab echt keine Ahnung wo das Problem liegt....

gruß
fluluk

Content-ID: 329666

Url: https://administrator.de/contentid/329666

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

127103
127103 09.05.2017 um 10:48:00 Uhr
Goto Top
Hallo fluluk,

habe gerade das selbe "Problem". Kannst du mir den Status dazu sagen, bist du weiter gekommen?

Danke.
127103
127103 09.05.2017 um 11:27:49 Uhr
Goto Top
Bei mir war es nur das falsche Zertifikat.

Gruß c
fluluk
fluluk 09.05.2017 um 13:54:56 Uhr
Goto Top
ich bin leider nicht weiter gekommen, hab das ganze nicht weiter verfolgt.

Was meinst Du mit war nur das falsche Zertifikat?

gruß flulul
127103
127103 09.05.2017 aktualisiert um 17:16:38 Uhr
Goto Top
Hi,

also mit lokaler Authentifizierung, sprich an Sophos-UTM hat es geklappt. Ich hab hierbei das Zertifikat allerdings nicht im User-Portal heruntergeladen, weil das dort gar nicht existiert, sondern hab mich als Admin angemeldet und bei dem entsprechendem User-Account in der UTM das L2TP-VPN-Zertifikat heruntergeladen. Danach das Zertifikat auf dem Client installiert.

Was noch eventuell entscheident ist, ist dass der Client auch die dazugehörige CA als Vertrauenswürdige Stammzertifizierungsstelle kennt.

Leider nützt das alles nix, den ich bin jetzt auch gescheitert. Die Authentifizierung soll bei mir über RADIUS erfolgen und da hörts jetzt bei mir auf...

Gruß c

edit
btw: Sophos UTM Radius Authentifizierung
Haesaet
Haesaet 27.10.2017 aktualisiert um 16:09:30 Uhr
Goto Top
Hallo fluluk,

Im Test mit dem Kunden und Authentifizierung über PSK hat die Anmeldung am RADIUS funktioniert. Leider habe ich keinen AD Benutzer zum testen daher kann ich gerade nur eine funktionierende Konfiguration mit lokalen Benutzer in Verbindung mit Windows CA auf der UTM anbieten.

Unter folgenden Einstellungen habe ich L2TP over IPsec mit Windows CA (Anforderung des Kunden, kann natürlich auch das Sophos CA(Standard) genutzt werden) und lokalen Benutzern auf der Firewall ans laufen bekommen:

1. Sophos UTM -> Remote Access -> L2TP over IPsec
- Interface: WAN Schnittstelle
- Authentication mode: X509 CA check
- Certificate: Zertifikat erstellt aus der Windows CA z.B. für die UTM ( interne DNS Bezeichnung)
- Authentication: Local

2. Windows 10 Client
- VPN Verbindung erstellen: Öffentliche IP der gewählten WAN Schnittstelle unter Punkt 1 Interface
Eigenschaften der VPN Verbindung
Reiter Sicherheit:
- VPN Typ: Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec)
- Erweiterte Einstellungen:
- Zertifikat für die Authentifizierung verwenden
- Haken raus bei: Die Namen- und Verwendungsattribute des Serverzertifikates überprüfen
- Datenverschlüsselung: Maximale (Verbindung trennen, falls Server dies ableht)
- Folgende Protokolle zulassen:
- Haken bei Microsoft CHAP, VErsion 2 (MS-CHAP v2)

3. Zertifikat
Sophos UTM:
Die Windows CA muss auf der UTM unter Certificate Management -> Certificate Authority installiert werden
Unter Certificates die aus der Windows CA erstellten Zertifikate für die Benutzer, UTM etc.

Windows 10 Client:
Das Zertifikat aus dem Firewall Zertifikatsspeicher herunterladen und auf dem Client installieren.
Das X509 Benutzerzertifikat unter „Eigene Zertifikate“ und die Windows CA unter „Vertrauenswürdige Stammzertifizierungsstellen“ installieren
Bei der Installation der Zertifikate den Privaten Schlüssel, je nach Bedarf, exportierbar oder nicht exportierbar installieren.
Falls so eine Verbindung aus Sicherheitgründen Clientbezogen sein soll, den Key nicht exportierbar installieren

Bei Interesse schicke ich gerne ein Update sobald ich die RADIUS Konfiguration und einenTest des ganzen mit AD-Benutzern durchgeführt habe.

Lasst es mich wissen.

Hoffe ich konnte einen nützlichen Beitrag zu dem Thema leisten.

Gruß haesaet

Rückmeldung vom Kunden erhalten.
Mit diesen Einstellungen funktioniert es auch mit dem RADIUS.
Am Radius einfach die entsprechenden Richtlinien anhand der von mir im Beitrag ausgewählten Einstellungen konfigurieren
Schaut mal hier: RADIUS

Viel Erfolg bei der EInrichtung

Gruß haesaet

Da hier der AD Benutzer verwendet wird, sind keine Anpassungen am lokalen UTM Benuzter erforderlich.
Bullii
Bullii 15.08.2018 um 21:47:31 Uhr
Goto Top
Ich muss das Thema mal raufholen. Ich habe genau diese Konstellation mit einem Radius am laufen. Bei mir läuft aber nur das Zertifikat auf UTM aus. Aber egal welches neue ich von meiner CA erstellen lasse, die Verbindung klappt nicht. Das aktuelle ist auch von meiner CA. Selbst wenn ich das verlängerte nutze klappt es nicht. Windows Rechner melden immer:
Der L2TP-Verbindungsversuch ist fehgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufegetreten ist.
fluluk
fluluk 17.08.2018 um 16:49:26 Uhr
Goto Top
ich habe es ehrlich gesagt selbst noch nicht hinbekommen, bin aber dankbar für jeden Hinweis wie es funktioniert.
Bullii
Bullii 19.08.2018 um 14:01:56 Uhr
Goto Top
Habe es nun wieder erfolgreich am laufen. Das Problem ist das Windows L2TP Client in der Phase 1 nur SHA1 kann, daher funktionieren SHA256 oder höher Zertifikate leider nicht.
fluluk
fluluk 12.11.2018 um 10:14:43 Uhr
Goto Top
Bei mir funktioniert es immer noch nicht, egal welches Zertifikat ich auswähle, ich erhalte durchweg immer die selbe Fehlermeldung
crl not found 
certificate status unknown 
we have a cert and are sending it 
sent MR3, ISAKMP SA established 
ignoring informational payload, type AUTHENTICATION_FAILED 

Welche Zertifikate habe ich verwendet?
Ich habe eine Sub-CA in meiner Enterprise PKI für die Sophos UTM erstellt, die entsprechenden DNS Namen über die die UTM erreichbar ist eingetragen, exportiert und in der UTM importiert.
Das Zertifikat in den Main Settings als X509 Zertifikat ausgewählt.

für den Windows 10 Client habe ich eine Computer Autoenroll Richtlinie erstellt, sodass er ein Zertifikat automatisch ausgerollt bekommt.
Wenn ich nun im Client unter Eigene Zertifikate schaue, taucht auch genau das Zertifikat auf was ich erwarte, mit dem Computernamen und Private Key.
Lege ich nun eine VPN Verbindung an wie oben beschrieben erhalte ich die genannte Fehlermeldung.

Zu Testzwecken lasse ich RADIUS erstmal komplett raus, da ich erst einmal die erste Phase hinbekommen möchte.
ich arbeite also mit Lokalen Usern.

Zwischenzeitlich habe ich auch mal mit das Local X509 Cert, welches von der UTM selbst erzeugt wurde ausgewählt, einen komplett neuen User erstellt, mich mit dem User am Client angemelden, das Zertifikat exportiert und im Computerzertifikatskonto importiert.
das ist allerdings nicht das, was ich möchte... aber es kam sowieso wieder der gleiche Fehler "Authentication Failed".

Ich möchte später die Zertifikate per GPO automatisch von der Enterprise PKI ausrollen, diese sollen in der UTM als Vertrauenswürdig erkannt werden, wenn ich mal so weit bin mache ich mich an RADIUS.

@Haesaet:
an Deiner Beschreibung kann ich leider nicht erkennen, welches Zertifikat Du wo und wie verwendet hast.

Ich hoffe ich bekomme den Mist langsam mal zum laufen face-sad

gruß
fluluk