Hoi,
Om onze VPN-verbinding beter te beveiligen zijn we bezig om de stap te maken van een PPTP naar L2TP verbinding. Omdat we ons netwerk niet onnodig ingewikkeld wilden maken hebben we er voor gekozen om geen Certificate Authority te installeren maar een "Signed Certificate" aan te schaffen. (Ik weet dat dit een ander beveiligingsrisico met zich meebrengt maar dit was de visie van ICT manager) We hebben hiervoor op de IIS server op de ISA Firewall 2006 een certificaat request gegenereerd en het certificaat aangevraagd.
Eerste vraag; Zou een L2TP verbinding moeten werken met een certificaat wat op deze manier is aangevraagd? Ik kom namelijk ook websites tegen waar wordt uitgelegd dat je specifiek een IPSec certifcaat moet aanvragen. Onze servicepartner waar we het certificaat hebben aangevraagd geeft aan dat het met een standaard "Computer Certificate" zou moeten werken.
Als dit zou moeten werken dan doen we blijkbaar ergens anders iets fout. We hebben verder het certificaat op de ISA Firewall geïnstalleerd via de IIS server. Het certificaat is nu ook terug te vinden via de Local Store van de firewall. Hierna de RRAS + Microsoft Firewall services herstart. Volgens mij zou de configuratie op de ISA firewall nu klaar moeten zijn. Want ik geloof dat de standaard System Policy Rules voldoende moeten zijn om de verbinding op te zetten.
Na de configuratie op een testpc de VPN verbinding aangemaakt en het certificaat geïnstalleerd in de Local Store. Als we nu proberen de verbinding op te zetten krijg ik de volgende melding in de logboeken op de client:
"RASDiag: Mapping to new errorcode: 810 (ERROR_VPN_BAD_CERT) instead of 786 (ERROR_OKLEY_NO_CERT)"
Om onze VPN-verbinding beter te beveiligen zijn we bezig om de stap te maken van een PPTP naar L2TP verbinding. Omdat we ons netwerk niet onnodig ingewikkeld wilden maken hebben we er voor gekozen om geen Certificate Authority te installeren maar een "Signed Certificate" aan te schaffen. (Ik weet dat dit een ander beveiligingsrisico met zich meebrengt maar dit was de visie van ICT manager) We hebben hiervoor op de IIS server op de ISA Firewall 2006 een certificaat request gegenereerd en het certificaat aangevraagd.
Eerste vraag; Zou een L2TP verbinding moeten werken met een certificaat wat op deze manier is aangevraagd? Ik kom namelijk ook websites tegen waar wordt uitgelegd dat je specifiek een IPSec certifcaat moet aanvragen. Onze servicepartner waar we het certificaat hebben aangevraagd geeft aan dat het met een standaard "Computer Certificate" zou moeten werken.
Als dit zou moeten werken dan doen we blijkbaar ergens anders iets fout. We hebben verder het certificaat op de ISA Firewall geïnstalleerd via de IIS server. Het certificaat is nu ook terug te vinden via de Local Store van de firewall. Hierna de RRAS + Microsoft Firewall services herstart. Volgens mij zou de configuratie op de ISA firewall nu klaar moeten zijn. Want ik geloof dat de standaard System Policy Rules voldoende moeten zijn om de verbinding op te zetten.
Na de configuratie op een testpc de VPN verbinding aangemaakt en het certificaat geïnstalleerd in de Local Store. Als we nu proberen de verbinding op te zetten krijg ik de volgende melding in de logboeken op de client:
"RASDiag: Mapping to new errorcode: 810 (ERROR_VPN_BAD_CERT) instead of 786 (ERROR_OKLEY_NO_CERT)"
[ Voor 4% gewijzigd door Jackazz op 23-11-2010 13:38 ]