Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789

Mitglied: carstensk

carstensk (Level 1) - Jetzt verbinden

29.10.2007, aktualisiert 30.10.2007, 9981 Aufrufe, 10 Kommentare

Wir haben einen Windows Server 2003 SP2 und ISA 2006 und wollen mit der Gegenstelle via Zertifikat eine L2TP Verbindung aufbauen. Unser Server wurde vor der Einrichtung der VPN und des einspielen der Zertifikate umbenannt und nachträglich Service Pack 2 installiert. Datenpakete sind schon hin und her gegangen aber die VPN schlägt immer fehl.
Hab auch in der Regedit folgende Eintragung gemacht aber auch ohne Erfolg:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Unser Server hat 2 Netzwerkkarten. Eine ist direkt mit dem Internet verbunden, die andere mit dem lokalen Lan. Wonach kann ich noch suchen? Bisher habe ich recht wenig zu dieser Fehlermeldung gefunden Schonmal vielen Dank.


Gruß Carsten
Mitglied: Dani
29.10.2007 um 11:08 Uhr
Hi Carsten,
was verbirgt sich hinter dem FEhler 789??
Klappt der VPN-Tunnel innerhalb des LAN's??


Grüße
Dani
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 11:14 Uhr
Hinter der Fehlermeldung verbirgt sich "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist".

Folgenden Auszug hab ich aus der "Oakley.log" (falls es nicht hilft kann ich mehr posten wollte aber die 7 Seiten nicht reinsetzen ;))

10-29: 10:42:22:559:1d0 constructing ID
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Received no valid CRPs. Using all configured
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 ProcessFailure: sa:00111A00 centry:00000000 status:35ec
10-29: 10:42:22:575:1d0 isadb_set_status sa:00111A00 centry:00000000 status 35ec
10-29: 10:42:22:575:1d0 SchlEsselaustauschmodus (Hauptmodus)


10-29: 10:42:44:551:a1c Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:44:551:a1c d3ef3b55
10-29: 10:42:44:551:a1c Get Certificate Context Property failed with 80092004
10-29: 10:42:44:551:a1c Failed to get key for cert
10-29: 10:42:44:551:a1c Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:44:551:a1c failed to get chain 80092004
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c isadb_set_status sa:00176138 centry:00000000 status 35ec
10-29: 10:42:44:551:a1c SchlEsselaustauschmodus (Hauptmodus)
10-29: 10:42:44:551:a1c Quell-IP-Adresse xx.xx.xx.xx Quell-IP-Adressmaske
255.255.255.255 Ziel-IP-Adresse xx.xx.xx.xx Ziel-IP-Adressmaske
255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse
xx.xx.xx.xx Peer-IKE-Adresse xx.xx.xx.xx IKE-Quellport 4500
IKE-Zielport 4500 Private Peeradresse
10-29: 10:42:44:551:a1c Zertifikatbasierte Identit„t. Peerantragsteller
Peer-SHA-Fingerabdruck 0000000000000000000000000000000000000000 Peer, der die
Zertifizierungsstelle ausstellt: Stammzertifizierungsstelle Eigener
Antragsteller C=DE, O=Asklepios Group, CN=Asklepios Machine CA Eigener
SHA-Fingerabdruck cf3b56d98a7247452c30cc6ff39d4bb4d3ef3b55 Peer-IP-Adresse:
xx.xx.xx.xx
10-29: 10:42:44:551:a1c Benutzer

10-29: 10:42:44:551:a1c Allgemeiner Verabeitungsfehler.
10-29: 10:42:44:551:a1c Als zweites verarbeitete Nutzlast (KE) Initiator.
Wartezeit 0 0x80092004 0x0
10-29: 10:42:44:551:a1c isadb_set_status InitiateEvent 000007F8: Setting Status
35ec
10-29: 10:42:44:551:a1c Clearing sa 00176138 InitiateEvent 000007F8
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c Not creating notify. Not permitted
10-29: 10:42:44:551:260 CloseNegHandle 000007F8
10-29: 10:42:44:551:260 SE cookie 6f4a1612a3248156
10-29: 10:42:44:660:260 isadb_schedule_kill_oldPolicy_sas:
cb208408-ba6a-4e68-84f22cabe8d529ff 4
10-29: 10:42:44:660:a48 isadb_schedule_kill_oldPolicy_sas:
024bc484-33f7-437d-bd426a90e22cfdb6 3
10-29: 10:42:44:660:a58 isadb_schedule_kill_oldPolicy_sas:
38ec7bf1-8314-4040-872e35a048fa3c9d 2
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 4
10-29: 10:42:44:676:a1c SA Dead. sa:00176138 status:3619
10-29: 10:42:44:676:a1c constructing ISAKMP Header
10-29: 10:42:44:676:a1c constructing HASH (null)
10-29: 10:42:44:676:a1c constructing NONCE (ND)
10-29: 10:42:44:676:a1c constructing DELETE. MM 00176138
10-29: 10:42:44:676:a1c constructing HASH (Notify/Delete)
10-29: 10:42:44:676:a1c
10-29: 10:42:44:676:a1c Sending: SA = 0x00176138 to 213.191.70.187:Type 1.4500
10-29: 10:42:44:676:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:676:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:676:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:676:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:676:a1c flags: 1 ( encrypted )
10-29: 10:42:44:676:a1c next payload: HASH
10-29: 10:42:44:676:a1c message ID: 462aa398
10-29: 10:42:44:676:a1c Ports S:9411 D:9411
10-29: 10:42:44:676:1d0 entered kill_old_policy_sas 3
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 2
10-29: 10:42:44:707:a1c
10-29: 10:42:44:707:a1c Receive: (get) SA = 0x00176138 from 213.191.70.187.500
10-29: 10:42:44:707:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:707:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:707:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:707:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:707:a1c flags: 1 ( encrypted )
10-29: 10:42:44:707:a1c next payload: HASH
10-29: 10:42:44:707:a1c message ID: 462aa398
10-29: 10:42:44:707:a1c processing HASH (Notify/Delete)
10-29: 10:42:44:707:a1c Bad N/D Hash
10-29: 10:42:44:707:a1c ProcessFailure: sa:00176138 centry:00000000 status:360d
10-29: 10:42:44:707:a1c unable to process info-only exchange
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 12:50 Uhr
Hast du noch einen NAT Router zwischen dem Internet und dein ISA?

Schau mal unter http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ... oder http://support.microsoft.com/kb/885348/.
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 13:35 Uhr
Nat haben wir dort soweit ich weiß nicht. Der ISA hat eine Netzwerkkarte mit einer IP aus dem Adressbereich der nach außen für uns reserviert ist. Der next Hopp (nächste Router) ist im gleichen Netz. Dieser Router ist von unserem Netzbetreiber und wird eingesetzt um 3x 2MBit Leitungen zu einer 6MBit Leitung zu schalten. Mehr "sollte" da nicht laufen. Kann ich das mit dem Nat irgendworan testen?
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 17:47 Uhr
In deiner Überschrift hast du geschrieben: "L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789". Deshalb gehen wir davon aus das du 2 ISA hast, die du mit VPN verbinden willst.

Du schreibst: Ein ISA ist direkt mit Internet verbunden. Und der andere? Davon steht nichts. Deshalb die Frage "Hast du noch einen NAT Router dazwischen?". Was dein Provider macht, sollte normalerweise hier nicht stören, sofern dieser nicht irgendwelche Dienste / Ports sperren.

Dann hast du geschrieben das der next Hop ein Router von eurem Netzbetreiber ist mit dem 3 stück 2 MBit DSL Leitungen zu einer 6 MBit Leitung zusammen geschaltet werden. Was dein Provider macht, ist doch eigentlich für dich unwichtig, sofern er nichts sperrt.

Für dich ist es doch so, das du an deinem Ersten Standort eine 6 MBit DSL Leitung hast. Diese 6 MBit leitung ist am ISA direkt angeschlossen.

Ist jetzt am anderen Standort auch ein ISA direkt am Internet? Ist dort noch eine Router mit NAT dazwischen? Ist dort der gleiche Provider? Auch eine feste IP an den anderen Standort?
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 09:04 Uhr
Also die Gegenstelle ist 400km entfernt mit welchen wir uns "vernetzen" müssen. Die Einwahl läuft über eine Namensauflösung allerdings ist die IP von denen Fest. Nat wird dort nicht eingesetzt. Habe relativ wenig über die Gegenstelle geschrieben da ich nicht viel weiß. Ich dachte es ist ein Problem was man anhand der Fehlermeldung schnell finden kann aber anscheint nicht
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 12:48 Uhr
Also da brauchen wir schon etwas mehr Infos.

Du hast bei Dir einen ISA. Damit willst du ein VPN aufbauen. Was die gegenstelle hat kannst du uns nicht sagen. Hmmmmm, da wird es dann schwer.

Das die da (Gegenstelle 400 km entfernt) kein NAT machen ist schwer zu glauben. Entweder ist das nur ein PC direkt am Inet oder alle Rechner im entfernten LAN haben Öffentliche IPs. Schwer zu glauben.

Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 12:53 Uhr
ja sorry ich weis es doch nicht was auf der Gegenseite los ist. Ich hab von den alle Daten bekommen was ich einstellen soll aber es geht nicht. Bei dem Fehler steht die Gegenstelle auf dem Schlauch weil wir anscheint die einzigen sind wo das so ist. Mehr Informationen bekomme ich von denen leider nicht. Das die kein Nat machen war jetzt nur eine Vermutung, weis es leider nicht. Werde abwarten was ich von denen als Alternative bekomme weil so wird das nichts. Es ist kein Allgemeiner Fehler der auf irgendwas schließt, in jedem Forum lese ich über den Fehler was anderes und immer lag es an was anderem. Echt Tolle Fehlermeldung!
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 13:04 Uhr
War ja nicht "Böse" gemeint.

Kann Dir die "Gegenstelle" kein Fehlerprotokoll oder Fehlermeldung geben?

Was ist, wenn du von einem Client der nicht hinter der ISA ist, versuchst per VPN anzubinden. Die Daten hast du ja. Kommt es da auch zum Fehler 789? Was steht denn im ISA Protokoll? Schon mal versucht mit einem Client (ausserhalb deines Netzes) auf eueren ISA per VPN zu verbinden, klappt das denn?

Benutzt die Gegenstelle den auch ISA oder was haben die?


Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 14:55 Uhr
So endlich die VPN läuft Ich habe das Zertifikat von meinem PC angefordert. Hätte das vom Isa anfordern müssen. Dort war kein lokales Zertifikat eingetragen. Nach der Änderung funktioniert das endlich gescheid! Trotzdem vielen Dank an alle
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

Verbindung PC zu Switch schlägt fehl

gelöst Frage von biofritzNetzwerkmanagement15 Kommentare

Guten Abend, ich habe ein Phänomen im Netzwerk, welches ich mir nicht erklären kann: Normalerweise ist der PC meiner ...

Router & Routing

Verbindung mit einer Netzwerkfreigabe im Internet schlägt fehl

Frage von trallerRouter & Routing2 Kommentare

Hallo, ich sitze hinter einem DD-WRT Router und wollte eine Netzwerkfreigabe im Internet verbinden, was nicht funktioniert. Zur Verbindung ...

Router & Routing

WS12 als VPN-Server L2TP PSK über Netzwerk I.O. über Internet Fehler 789

gelöst Frage von bugzzzRouter & Routing14 Kommentare

Hallo, habe mir meinen VPN-Server eingerichtet und der funktioniert mit PPTP auch wunderbar und auch L2TP scheint keine größeren ...

Windows 8

RDP Verbindung von Win8 zu Win8 DPC schlägt fehl

gelöst Frage von yaDur1Windows 86 Kommentare

Guten Abend, ich habe hier folgendes Problem (und mittlerweile ein paar graue Haare mehr^^): Auf einem Windows 8.1 Pro ...

Neue Wissensbeiträge
Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 19 StundenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 21 StundenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 2 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 3 TagenSuche Projektpartner13 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

Heiß diskutierte Inhalte
Batch & Shell
PowerShell Auflösung zu .txt (Skript als exe) falsche Auflösung?!
Frage von timsen-96Batch & Shell27 Kommentare

Ich habe folgendes Skript um die Bildschirmauflösung herauszufinden, was auch in PowerShell super funktioniert: Add-Type -AssemblyName System.Windows.Forms $Width = ...

Exchange Server
Exchange Backup 10 Jahre Aufbewahrung
Frage von arccosExchange Server20 Kommentare

Hallo zusammen. Aktuell beschäftigen mich ein paar Fragen zum Thema Office365/ Exchange. 1.10 Jahre Aufbewahrungspflicht sicherstellen 2.Kann man als ...

Humor (lol)
Windows 10 - immer für Überraschungen gut
gelöst Frage von HenereHumor (lol)18 Kommentare

Eben nach (beim) installieren der neuesten Updates für 1803 :-) Und sorry fürs Handyfoto, aber der musste sein. Nach ...

Samba
Samba-NAS Zugriff verweigert
gelöst Frage von VernoxVernaxSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...