9
Sophos - L2TP over IPsec - Windows 10 Client
Hallo,
ich bin hierbei irgendwie am Verzweifeln.
folgendes habe ich vor:
ich möchte mit einer Sophos UTM eine L2TP over IPsec Verbindung einrichten, die ich mit dem Windows 10 eigenen Client herstellen kann.
Was habe ich bereits gemacht:
- unter Definitions & User einen Benutzer angelegt
- unter Remote Access - Certificate Management ein neues Zertifikat mit 4096 Bit generiert und auch hier alle Felder ausgefüllt
- unter Remote Access - L2TP over IPsec folgende Einstellungen vorgenommen:
-> Interface: "externes Interface welches eine feste IP hat"
-> Authentication mode: X509 CA check
-> Certificate: das oben beschriebene Zertifkat ausgewählt
-> Assigned IP addresses by: IP address pool
-> Pool Network: VPN Pool (L2TP)
-> Authentication via: Local
-> Users and Groups: (den oben beschriebenen Benutzer ausgewählt)
An dem Windows PC habe ich folgendes gemacht:
Am User Portal angemeldet, das Zertifikat heruntergeladen und im Lokalen Computer Store installiert.
In den Einstellungen: VPN Verbindung hinzufügen
VPN Anbieter: Windows (integriert)
Verbindungsname: test
Servername oder IP-Adresse: (die entsprechende Öffentliche IP)
VPN-Typ: L2TP/IPsec mit Zertifikat
Anmeldeinformationstyp: Benutzername und Kennwort
Benutzername: der entsprechend auf der Sophos konfigurierte Benutzer eingegeben
Kennwort: ...und das korrekte Kennwort dazu
weil ich es irgendwo aufgeschnappt habe, bin ich testweise auch unter Adaptereinstellungen in die eigenschafter der VPN Verbindung gegangen und habe unter Sicherheit - Datenverschlüsselung: Erforderlich (Verbindung trennen, falls Server dies ablehnt) - ausgewählt
so...
nun stelle ich die Verbindung her und erhalte sofort folgende Meldung:
Die L2TP-Verbindung konnte nicht hergestellt werden, da
der Remotecomputer von der Sicherheitsstufe nicht
authentifiziert werden konnte. Eine mögliche Ursache
besteht darin, dass mindestens ein Feld des vom
Remoteserver angegebenen Zertifikats nicht als Teil des
Ziels überprüft werden konnte.
responding to Main Mode from unknown peer AAA.BBB.CCC.DDD
ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
NAT-Traversal: Result using RFC 3947: no NAT detected
Peer ID is ID_DER_ASN1_DN: ' hier stehen die Infos zu dem Zertifikat'
crl not found
certificate status unknown
we have a cert and are sending it
sent MR3, ISAKMP SA established
ignoring informational payload, type AUTHENTICATION_FAILED
ich hab echt keine Ahnung wo das Problem liegt....
gruß
fluluk
ich bin hierbei irgendwie am Verzweifeln.
folgendes habe ich vor:
ich möchte mit einer Sophos UTM eine L2TP over IPsec Verbindung einrichten, die ich mit dem Windows 10 eigenen Client herstellen kann.
Was habe ich bereits gemacht:
- unter Definitions & User einen Benutzer angelegt
- unter Remote Access - Certificate Management ein neues Zertifikat mit 4096 Bit generiert und auch hier alle Felder ausgefüllt
- unter Remote Access - L2TP over IPsec folgende Einstellungen vorgenommen:
-> Interface: "externes Interface welches eine feste IP hat"
-> Authentication mode: X509 CA check
-> Certificate: das oben beschriebene Zertifkat ausgewählt
-> Assigned IP addresses by: IP address pool
-> Pool Network: VPN Pool (L2TP)
-> Authentication via: Local
-> Users and Groups: (den oben beschriebenen Benutzer ausgewählt)
An dem Windows PC habe ich folgendes gemacht:
Am User Portal angemeldet, das Zertifikat heruntergeladen und im Lokalen Computer Store installiert.
In den Einstellungen: VPN Verbindung hinzufügen
VPN Anbieter: Windows (integriert)
Verbindungsname: test
Servername oder IP-Adresse: (die entsprechende Öffentliche IP)
VPN-Typ: L2TP/IPsec mit Zertifikat
Anmeldeinformationstyp: Benutzername und Kennwort
Benutzername: der entsprechend auf der Sophos konfigurierte Benutzer eingegeben
Kennwort: ...und das korrekte Kennwort dazu
weil ich es irgendwo aufgeschnappt habe, bin ich testweise auch unter Adaptereinstellungen in die eigenschafter der VPN Verbindung gegangen und habe unter Sicherheit - Datenverschlüsselung: Erforderlich (Verbindung trennen, falls Server dies ablehnt) - ausgewählt
so...
nun stelle ich die Verbindung her und erhalte sofort folgende Meldung:
Die L2TP-Verbindung konnte nicht hergestellt werden, da
der Remotecomputer von der Sicherheitsstufe nicht
authentifiziert werden konnte. Eine mögliche Ursache
besteht darin, dass mindestens ein Feld des vom
Remoteserver angegebenen Zertifikats nicht als Teil des
Ziels überprüft werden konnte.
responding to Main Mode from unknown peer AAA.BBB.CCC.DDD
ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION
NAT-Traversal: Result using RFC 3947: no NAT detected
Peer ID is ID_DER_ASN1_DN: ' hier stehen die Infos zu dem Zertifikat'
crl not found
certificate status unknown
we have a cert and are sending it
sent MR3, ISAKMP SA established
ignoring informational payload, type AUTHENTICATION_FAILED
ich hab echt keine Ahnung wo das Problem liegt....
gruß
fluluk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 329666
Url: https://administrator.de/contentid/329666
Printed on: April 20, 2024 at 03:04 o'clock
9 Comments
Latest comment
Hallo fluluk,
habe gerade das selbe "Problem". Kannst du mir den Status dazu sagen, bist du weiter gekommen?
Danke.
habe gerade das selbe "Problem". Kannst du mir den Status dazu sagen, bist du weiter gekommen?
Danke.
Bei mir war es nur das falsche Zertifikat.
Gruß c
Gruß c
ich bin leider nicht weiter gekommen, hab das ganze nicht weiter verfolgt.
Was meinst Du mit war nur das falsche Zertifikat?
gruß flulul
Was meinst Du mit war nur das falsche Zertifikat?
gruß flulul
Hi,
also mit lokaler Authentifizierung, sprich an Sophos-UTM hat es geklappt. Ich hab hierbei das Zertifikat allerdings nicht im User-Portal heruntergeladen, weil das dort gar nicht existiert, sondern hab mich als Admin angemeldet und bei dem entsprechendem User-Account in der UTM das L2TP-VPN-Zertifikat heruntergeladen. Danach das Zertifikat auf dem Client installiert.
Was noch eventuell entscheident ist, ist dass der Client auch die dazugehörige CA als Vertrauenswürdige Stammzertifizierungsstelle kennt.
Leider nützt das alles nix, den ich bin jetzt auch gescheitert. Die Authentifizierung soll bei mir über RADIUS erfolgen und da hörts jetzt bei mir auf...
Gruß c
edit
btw: Sophos UTM Radius Authentifizierung
also mit lokaler Authentifizierung, sprich an Sophos-UTM hat es geklappt. Ich hab hierbei das Zertifikat allerdings nicht im User-Portal heruntergeladen, weil das dort gar nicht existiert, sondern hab mich als Admin angemeldet und bei dem entsprechendem User-Account in der UTM das L2TP-VPN-Zertifikat heruntergeladen. Danach das Zertifikat auf dem Client installiert.
Was noch eventuell entscheident ist, ist dass der Client auch die dazugehörige CA als Vertrauenswürdige Stammzertifizierungsstelle kennt.
Leider nützt das alles nix, den ich bin jetzt auch gescheitert. Die Authentifizierung soll bei mir über RADIUS erfolgen und da hörts jetzt bei mir auf...
Gruß c
edit
btw: Sophos UTM Radius Authentifizierung
Hallo fluluk,
Im Test mit dem Kunden und Authentifizierung über PSK hat die Anmeldung am RADIUS funktioniert. Leider habe ich keinen AD Benutzer zum testen daher kann ich gerade nur eine funktionierende Konfiguration mit lokalen Benutzer in Verbindung mit Windows CA auf der UTM anbieten.
Unter folgenden Einstellungen habe ich L2TP over IPsec mit Windows CA (Anforderung des Kunden, kann natürlich auch das Sophos CA(Standard) genutzt werden) und lokalen Benutzern auf der Firewall ans laufen bekommen:
1. Sophos UTM -> Remote Access -> L2TP over IPsec
- Interface: WAN Schnittstelle
- Authentication mode: X509 CA check
- Certificate: Zertifikat erstellt aus der Windows CA z.B. für die UTM ( interne DNS Bezeichnung)
- Authentication: Local
2. Windows 10 Client
- VPN Verbindung erstellen: Öffentliche IP der gewählten WAN Schnittstelle unter Punkt 1 Interface
Eigenschaften der VPN Verbindung
Reiter Sicherheit:
- VPN Typ: Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec)
- Erweiterte Einstellungen:
- Zertifikat für die Authentifizierung verwenden
- Haken raus bei: Die Namen- und Verwendungsattribute des Serverzertifikates überprüfen
- Datenverschlüsselung: Maximale (Verbindung trennen, falls Server dies ableht)
- Folgende Protokolle zulassen:
- Haken bei Microsoft CHAP, VErsion 2 (MS-CHAP v2)
3. Zertifikat
Sophos UTM:
Die Windows CA muss auf der UTM unter Certificate Management -> Certificate Authority installiert werden
Unter Certificates die aus der Windows CA erstellten Zertifikate für die Benutzer, UTM etc.
Windows 10 Client:
Das Zertifikat aus dem Firewall Zertifikatsspeicher herunterladen und auf dem Client installieren.
Das X509 Benutzerzertifikat unter „Eigene Zertifikate“ und die Windows CA unter „Vertrauenswürdige Stammzertifizierungsstellen“ installieren
Bei der Installation der Zertifikate den Privaten Schlüssel, je nach Bedarf, exportierbar oder nicht exportierbar installieren.
Falls so eine Verbindung aus Sicherheitgründen Clientbezogen sein soll, den Key nicht exportierbar installieren
Bei Interesse schicke ich gerne ein Update sobald ich die RADIUS Konfiguration und einenTest des ganzen mit AD-Benutzern durchgeführt habe.
Lasst es mich wissen.
Hoffe ich konnte einen nützlichen Beitrag zu dem Thema leisten.
Gruß haesaet
Rückmeldung vom Kunden erhalten.
Mit diesen Einstellungen funktioniert es auch mit dem RADIUS.
Am Radius einfach die entsprechenden Richtlinien anhand der von mir im Beitrag ausgewählten Einstellungen konfigurieren
Schaut mal hier: RADIUS
Viel Erfolg bei der EInrichtung
Gruß haesaet
Da hier der AD Benutzer verwendet wird, sind keine Anpassungen am lokalen UTM Benuzter erforderlich.
Im Test mit dem Kunden und Authentifizierung über PSK hat die Anmeldung am RADIUS funktioniert. Leider habe ich keinen AD Benutzer zum testen daher kann ich gerade nur eine funktionierende Konfiguration mit lokalen Benutzer in Verbindung mit Windows CA auf der UTM anbieten.
Unter folgenden Einstellungen habe ich L2TP over IPsec mit Windows CA (Anforderung des Kunden, kann natürlich auch das Sophos CA(Standard) genutzt werden) und lokalen Benutzern auf der Firewall ans laufen bekommen:
1. Sophos UTM -> Remote Access -> L2TP over IPsec
- Interface: WAN Schnittstelle
- Authentication mode: X509 CA check
- Certificate: Zertifikat erstellt aus der Windows CA z.B. für die UTM ( interne DNS Bezeichnung)
- Authentication: Local
2. Windows 10 Client
- VPN Verbindung erstellen: Öffentliche IP der gewählten WAN Schnittstelle unter Punkt 1 Interface
Eigenschaften der VPN Verbindung
Reiter Sicherheit:
- VPN Typ: Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec)
- Erweiterte Einstellungen:
- Zertifikat für die Authentifizierung verwenden
- Haken raus bei: Die Namen- und Verwendungsattribute des Serverzertifikates überprüfen
- Datenverschlüsselung: Maximale (Verbindung trennen, falls Server dies ableht)
- Folgende Protokolle zulassen:
- Haken bei Microsoft CHAP, VErsion 2 (MS-CHAP v2)
3. Zertifikat
Sophos UTM:
Die Windows CA muss auf der UTM unter Certificate Management -> Certificate Authority installiert werden
Unter Certificates die aus der Windows CA erstellten Zertifikate für die Benutzer, UTM etc.
Windows 10 Client:
Das Zertifikat aus dem Firewall Zertifikatsspeicher herunterladen und auf dem Client installieren.
Das X509 Benutzerzertifikat unter „Eigene Zertifikate“ und die Windows CA unter „Vertrauenswürdige Stammzertifizierungsstellen“ installieren
Bei der Installation der Zertifikate den Privaten Schlüssel, je nach Bedarf, exportierbar oder nicht exportierbar installieren.
Falls so eine Verbindung aus Sicherheitgründen Clientbezogen sein soll, den Key nicht exportierbar installieren
Bei Interesse schicke ich gerne ein Update sobald ich die RADIUS Konfiguration und einenTest des ganzen mit AD-Benutzern durchgeführt habe.
Lasst es mich wissen.
Hoffe ich konnte einen nützlichen Beitrag zu dem Thema leisten.
Gruß haesaet
Rückmeldung vom Kunden erhalten.
Mit diesen Einstellungen funktioniert es auch mit dem RADIUS.
Am Radius einfach die entsprechenden Richtlinien anhand der von mir im Beitrag ausgewählten Einstellungen konfigurieren
Schaut mal hier: RADIUS
Viel Erfolg bei der EInrichtung
Gruß haesaet
Da hier der AD Benutzer verwendet wird, sind keine Anpassungen am lokalen UTM Benuzter erforderlich.
Ich muss das Thema mal raufholen. Ich habe genau diese Konstellation mit einem Radius am laufen. Bei mir läuft aber nur das Zertifikat auf UTM aus. Aber egal welches neue ich von meiner CA erstellen lasse, die Verbindung klappt nicht. Das aktuelle ist auch von meiner CA. Selbst wenn ich das verlängerte nutze klappt es nicht. Windows Rechner melden immer:
Der L2TP-Verbindungsversuch ist fehgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufegetreten ist.
Der L2TP-Verbindungsversuch ist fehgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufegetreten ist.
ich habe es ehrlich gesagt selbst noch nicht hinbekommen, bin aber dankbar für jeden Hinweis wie es funktioniert.
Habe es nun wieder erfolgreich am laufen. Das Problem ist das Windows L2TP Client in der Phase 1 nur SHA1 kann, daher funktionieren SHA256 oder höher Zertifikate leider nicht.
Bei mir funktioniert es immer noch nicht, egal welches Zertifikat ich auswähle, ich erhalte durchweg immer die selbe Fehlermeldung
Welche Zertifikate habe ich verwendet?
Ich habe eine Sub-CA in meiner Enterprise PKI für die Sophos UTM erstellt, die entsprechenden DNS Namen über die die UTM erreichbar ist eingetragen, exportiert und in der UTM importiert.
Das Zertifikat in den Main Settings als X509 Zertifikat ausgewählt.
für den Windows 10 Client habe ich eine Computer Autoenroll Richtlinie erstellt, sodass er ein Zertifikat automatisch ausgerollt bekommt.
Wenn ich nun im Client unter Eigene Zertifikate schaue, taucht auch genau das Zertifikat auf was ich erwarte, mit dem Computernamen und Private Key.
Lege ich nun eine VPN Verbindung an wie oben beschrieben erhalte ich die genannte Fehlermeldung.
Zu Testzwecken lasse ich RADIUS erstmal komplett raus, da ich erst einmal die erste Phase hinbekommen möchte.
ich arbeite also mit Lokalen Usern.
Zwischenzeitlich habe ich auch mal mit das Local X509 Cert, welches von der UTM selbst erzeugt wurde ausgewählt, einen komplett neuen User erstellt, mich mit dem User am Client angemelden, das Zertifikat exportiert und im Computerzertifikatskonto importiert.
das ist allerdings nicht das, was ich möchte... aber es kam sowieso wieder der gleiche Fehler "Authentication Failed".
Ich möchte später die Zertifikate per GPO automatisch von der Enterprise PKI ausrollen, diese sollen in der UTM als Vertrauenswürdig erkannt werden, wenn ich mal so weit bin mache ich mich an RADIUS.
@Haesaet:
an Deiner Beschreibung kann ich leider nicht erkennen, welches Zertifikat Du wo und wie verwendet hast.
Ich hoffe ich bekomme den Mist langsam mal zum laufen
gruß
fluluk
crl not found
certificate status unknown
we have a cert and are sending it
sent MR3, ISAKMP SA established
ignoring informational payload, type AUTHENTICATION_FAILED Welche Zertifikate habe ich verwendet?
Ich habe eine Sub-CA in meiner Enterprise PKI für die Sophos UTM erstellt, die entsprechenden DNS Namen über die die UTM erreichbar ist eingetragen, exportiert und in der UTM importiert.
Das Zertifikat in den Main Settings als X509 Zertifikat ausgewählt.
für den Windows 10 Client habe ich eine Computer Autoenroll Richtlinie erstellt, sodass er ein Zertifikat automatisch ausgerollt bekommt.
Wenn ich nun im Client unter Eigene Zertifikate schaue, taucht auch genau das Zertifikat auf was ich erwarte, mit dem Computernamen und Private Key.
Lege ich nun eine VPN Verbindung an wie oben beschrieben erhalte ich die genannte Fehlermeldung.
Zu Testzwecken lasse ich RADIUS erstmal komplett raus, da ich erst einmal die erste Phase hinbekommen möchte.
ich arbeite also mit Lokalen Usern.
Zwischenzeitlich habe ich auch mal mit das Local X509 Cert, welches von der UTM selbst erzeugt wurde ausgewählt, einen komplett neuen User erstellt, mich mit dem User am Client angemelden, das Zertifikat exportiert und im Computerzertifikatskonto importiert.
das ist allerdings nicht das, was ich möchte... aber es kam sowieso wieder der gleiche Fehler "Authentication Failed".
Ich möchte später die Zertifikate per GPO automatisch von der Enterprise PKI ausrollen, diese sollen in der UTM als Vertrauenswürdig erkannt werden, wenn ich mal so weit bin mache ich mich an RADIUS.
@Haesaet:
an Deiner Beschreibung kann ich leider nicht erkennen, welches Zertifikat Du wo und wie verwendet hast.
Ich hoffe ich bekomme den Mist langsam mal zum laufen
gruß
fluluk
