Hi,
leider kann Win7/8 von Haus aus nur eine L2TP über IPSEC Verbindung aufbauen. Ich habe die Verbindung nach der Anleitung http://www.astaro.com/lists/ASGV8-L2TP-VPN-en.pdf eingerichtet. Verwende zwar UTM 9, aber da sollte sich nichts geändert haben.
Auf den Clients sind nun zwei Zertifikate auf dem Computerkonto unter "Eigene Zertifikate". Es gibt das VPN-Zertifikat und das Domain-Zertifikat. Die zugehörige CA wurde unter "Vertrauenswürdige Stammzertifikate" installiert und sind dort auch entsprechend vorhanden.
Wenn ich nun die Verbindung starte, wird aber leider immer das Domainzertifikat gesendet, was von der UTM dann natürlich abgelehnt wird. Wenn ich das Clientzertifikat der Domain rausnehme sendet Windows das VPN-Zertifikat und die Verbindung wird erfolgreich hergestellt. Also die Einstellungen scheinen wohl soweit zu passen und die Verbindung ist möglich.
Leider gibt es ja aber unter Windows keinerlei Möglichkeiten Einfluss auf das Zertifikat zu nehmen, dass gesendet wird. Wenn ich es richtig sehe ist es auch so, dass der Client zuerst sein Zertifikat schickt, das von der UTM geprüft wird und dann die UTM ihr Zertifikat zurück schickt. Dies würde bedeuten, dass solange Windows das falsche Zertifikat sendet, es überhaupt keine Chance gibt eine erfolgreiche Verbindung hinzubekommen.
Nun ist meine Frage, ob es hier irgendwelche Tricks gibt, um Windows dazu zu bewegen das richtige Zertifikat zu senden. Es muss doch eine Lösung für dieses Problem geben. Auf einem anderen Client hatte ich es die Tage mal irgendwie hingebracht, wobei es da aber gut möglich ist, dass Windows bei Änderungen an den Zertifikaten dann doch wieder das falsche sendet...
Hoffe es hat jemand Rat... Danke
leider kann Win7/8 von Haus aus nur eine L2TP über IPSEC Verbindung aufbauen. Ich habe die Verbindung nach der Anleitung http://www.astaro.com/lists/ASGV8-L2TP-VPN-en.pdf eingerichtet. Verwende zwar UTM 9, aber da sollte sich nichts geändert haben.
Auf den Clients sind nun zwei Zertifikate auf dem Computerkonto unter "Eigene Zertifikate". Es gibt das VPN-Zertifikat und das Domain-Zertifikat. Die zugehörige CA wurde unter "Vertrauenswürdige Stammzertifikate" installiert und sind dort auch entsprechend vorhanden.
Wenn ich nun die Verbindung starte, wird aber leider immer das Domainzertifikat gesendet, was von der UTM dann natürlich abgelehnt wird. Wenn ich das Clientzertifikat der Domain rausnehme sendet Windows das VPN-Zertifikat und die Verbindung wird erfolgreich hergestellt. Also die Einstellungen scheinen wohl soweit zu passen und die Verbindung ist möglich.
Leider gibt es ja aber unter Windows keinerlei Möglichkeiten Einfluss auf das Zertifikat zu nehmen, dass gesendet wird. Wenn ich es richtig sehe ist es auch so, dass der Client zuerst sein Zertifikat schickt, das von der UTM geprüft wird und dann die UTM ihr Zertifikat zurück schickt. Dies würde bedeuten, dass solange Windows das falsche Zertifikat sendet, es überhaupt keine Chance gibt eine erfolgreiche Verbindung hinzubekommen.
Nun ist meine Frage, ob es hier irgendwelche Tricks gibt, um Windows dazu zu bewegen das richtige Zertifikat zu senden. Es muss doch eine Lösung für dieses Problem geben. Auf einem anderen Client hatte ich es die Tage mal irgendwie hingebracht, wobei es da aber gut möglich ist, dass Windows bei Änderungen an den Zertifikaten dann doch wieder das falsche sendet...
Hoffe es hat jemand Rat... Danke