Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789

Frage Sicherheit Firewall

Mitglied: carstensk

carstensk (Level 1) - Jetzt verbinden

29.10.2007, aktualisiert 30.10.2007, 9590 Aufrufe, 10 Kommentare

Wir haben einen Windows Server 2003 SP2 und ISA 2006 und wollen mit der Gegenstelle via Zertifikat eine L2TP Verbindung aufbauen. Unser Server wurde vor der Einrichtung der VPN und des einspielen der Zertifikate umbenannt und nachträglich Service Pack 2 installiert. Datenpakete sind schon hin und her gegangen aber die VPN schlägt immer fehl.
Hab auch in der Regedit folgende Eintragung gemacht aber auch ohne Erfolg:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Unser Server hat 2 Netzwerkkarten. Eine ist direkt mit dem Internet verbunden, die andere mit dem lokalen Lan. Wonach kann ich noch suchen? Bisher habe ich recht wenig zu dieser Fehlermeldung gefunden Schonmal vielen Dank.


Gruß Carsten
Mitglied: Dani
29.10.2007 um 11:08 Uhr
Hi Carsten,
was verbirgt sich hinter dem FEhler 789??
Klappt der VPN-Tunnel innerhalb des LAN's??


Grüße
Dani
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 11:14 Uhr
Hinter der Fehlermeldung verbirgt sich "Der L2TP-Verbindungsversuch ist fehlgeschlagen, da ein Verarbeitungsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist".

Folgenden Auszug hab ich aus der "Oakley.log" (falls es nicht hilft kann ich mehr posten wollte aber die 7 Seiten nicht reinsetzen ;))

10-29: 10:42:22:559:1d0 constructing ID
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 Cert Trustes. 0 100
10-29: 10:42:22:559:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:559:1d0 d3ef3b55
10-29: 10:42:22:559:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:559:1d0 Failed to get key for cert
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:559:1d0 failed to get chain 80092004
10-29: 10:42:22:559:1d0 Received no valid CRPs. Using all configured
10-29: 10:42:22:559:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 1
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 Cert Trustes. 0 100
10-29: 10:42:22:575:1d0 Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:22:575:1d0 d3ef3b55
10-29: 10:42:22:575:1d0 Get Certificate Context Property failed with 80092004
10-29: 10:42:22:575:1d0 Failed to get key for cert
10-29: 10:42:22:575:1d0 Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:22:575:1d0 failed to get chain 80092004
10-29: 10:42:22:575:1d0 ProcessFailure: sa:00111A00 centry:00000000 status:35ec
10-29: 10:42:22:575:1d0 isadb_set_status sa:00111A00 centry:00000000 status 35ec
10-29: 10:42:22:575:1d0 SchlEsselaustauschmodus (Hauptmodus)


10-29: 10:42:44:551:a1c Cert SHA Thumbprint cf3b56d98a7247452c30cc6ff39d4bb4
10-29: 10:42:44:551:a1c d3ef3b55
10-29: 10:42:44:551:a1c Get Certificate Context Property failed with 80092004
10-29: 10:42:44:551:a1c Failed to get key for cert
10-29: 10:42:44:551:a1c Find cert chain: NAP 0 ipsecusage 0
10-29: 10:42:44:551:a1c failed to get chain 80092004
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c isadb_set_status sa:00176138 centry:00000000 status 35ec
10-29: 10:42:44:551:a1c SchlEsselaustauschmodus (Hauptmodus)
10-29: 10:42:44:551:a1c Quell-IP-Adresse xx.xx.xx.xx Quell-IP-Adressmaske
255.255.255.255 Ziel-IP-Adresse xx.xx.xx.xx Ziel-IP-Adressmaske
255.255.255.255 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse
xx.xx.xx.xx Peer-IKE-Adresse xx.xx.xx.xx IKE-Quellport 4500
IKE-Zielport 4500 Private Peeradresse
10-29: 10:42:44:551:a1c Zertifikatbasierte Identit„t. Peerantragsteller
Peer-SHA-Fingerabdruck 0000000000000000000000000000000000000000 Peer, der die
Zertifizierungsstelle ausstellt: Stammzertifizierungsstelle Eigener
Antragsteller C=DE, O=Asklepios Group, CN=Asklepios Machine CA Eigener
SHA-Fingerabdruck cf3b56d98a7247452c30cc6ff39d4bb4d3ef3b55 Peer-IP-Adresse:
xx.xx.xx.xx
10-29: 10:42:44:551:a1c Benutzer

10-29: 10:42:44:551:a1c Allgemeiner Verabeitungsfehler.
10-29: 10:42:44:551:a1c Als zweites verarbeitete Nutzlast (KE) Initiator.
Wartezeit 0 0x80092004 0x0
10-29: 10:42:44:551:a1c isadb_set_status InitiateEvent 000007F8: Setting Status
35ec
10-29: 10:42:44:551:a1c Clearing sa 00176138 InitiateEvent 000007F8
10-29: 10:42:44:551:a1c ProcessFailure: sa:00176138 centry:00000000 status:35ec
10-29: 10:42:44:551:a1c Not creating notify. Not permitted
10-29: 10:42:44:551:260 CloseNegHandle 000007F8
10-29: 10:42:44:551:260 SE cookie 6f4a1612a3248156
10-29: 10:42:44:660:260 isadb_schedule_kill_oldPolicy_sas:
cb208408-ba6a-4e68-84f22cabe8d529ff 4
10-29: 10:42:44:660:a48 isadb_schedule_kill_oldPolicy_sas:
024bc484-33f7-437d-bd426a90e22cfdb6 3
10-29: 10:42:44:660:a58 isadb_schedule_kill_oldPolicy_sas:
38ec7bf1-8314-4040-872e35a048fa3c9d 2
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 4
10-29: 10:42:44:676:a1c SA Dead. sa:00176138 status:3619
10-29: 10:42:44:676:a1c constructing ISAKMP Header
10-29: 10:42:44:676:a1c constructing HASH (null)
10-29: 10:42:44:676:a1c constructing NONCE (ND)
10-29: 10:42:44:676:a1c constructing DELETE. MM 00176138
10-29: 10:42:44:676:a1c constructing HASH (Notify/Delete)
10-29: 10:42:44:676:a1c
10-29: 10:42:44:676:a1c Sending: SA = 0x00176138 to 213.191.70.187:Type 1.4500
10-29: 10:42:44:676:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:676:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:676:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:676:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:676:a1c flags: 1 ( encrypted )
10-29: 10:42:44:676:a1c next payload: HASH
10-29: 10:42:44:676:a1c message ID: 462aa398
10-29: 10:42:44:676:a1c Ports S:9411 D:9411
10-29: 10:42:44:676:1d0 entered kill_old_policy_sas 3
10-29: 10:42:44:676:a1c entered kill_old_policy_sas 2
10-29: 10:42:44:707:a1c
10-29: 10:42:44:707:a1c Receive: (get) SA = 0x00176138 from 213.191.70.187.500
10-29: 10:42:44:707:a1c ISAKMP Header: (V1.0), len = 108
10-29: 10:42:44:707:a1c I-COOKIE 6f4a1612a3248156
10-29: 10:42:44:707:a1c R-COOKIE c0cbd5b63c853993
10-29: 10:42:44:707:a1c exchange: ISAKMP Informational Exchange
10-29: 10:42:44:707:a1c flags: 1 ( encrypted )
10-29: 10:42:44:707:a1c next payload: HASH
10-29: 10:42:44:707:a1c message ID: 462aa398
10-29: 10:42:44:707:a1c processing HASH (Notify/Delete)
10-29: 10:42:44:707:a1c Bad N/D Hash
10-29: 10:42:44:707:a1c ProcessFailure: sa:00176138 centry:00000000 status:360d
10-29: 10:42:44:707:a1c unable to process info-only exchange
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 12:50 Uhr
Hast du noch einen NAT Router zwischen dem Internet und dein ISA?

Schau mal unter http://www.serverhowto.de/Teil-6-Abschnitt-H-L2TP-Firewalls-und-NAT.50. ... oder http://support.microsoft.com/kb/885348/.
Bitte warten ..
Mitglied: carstensk
29.10.2007 um 13:35 Uhr
Nat haben wir dort soweit ich weiß nicht. Der ISA hat eine Netzwerkkarte mit einer IP aus dem Adressbereich der nach außen für uns reserviert ist. Der next Hopp (nächste Router) ist im gleichen Netz. Dieser Router ist von unserem Netzbetreiber und wird eingesetzt um 3x 2MBit Leitungen zu einer 6MBit Leitung zu schalten. Mehr "sollte" da nicht laufen. Kann ich das mit dem Nat irgendworan testen?
Bitte warten ..
Mitglied: Pjordorf
29.10.2007 um 17:47 Uhr
In deiner Überschrift hast du geschrieben: "L2TP Verbindung von ISA zu ISA schlägt fehl mit Fehler 789". Deshalb gehen wir davon aus das du 2 ISA hast, die du mit VPN verbinden willst.

Du schreibst: Ein ISA ist direkt mit Internet verbunden. Und der andere? Davon steht nichts. Deshalb die Frage "Hast du noch einen NAT Router dazwischen?". Was dein Provider macht, sollte normalerweise hier nicht stören, sofern dieser nicht irgendwelche Dienste / Ports sperren.

Dann hast du geschrieben das der next Hop ein Router von eurem Netzbetreiber ist mit dem 3 stück 2 MBit DSL Leitungen zu einer 6 MBit Leitung zusammen geschaltet werden. Was dein Provider macht, ist doch eigentlich für dich unwichtig, sofern er nichts sperrt.

Für dich ist es doch so, das du an deinem Ersten Standort eine 6 MBit DSL Leitung hast. Diese 6 MBit leitung ist am ISA direkt angeschlossen.

Ist jetzt am anderen Standort auch ein ISA direkt am Internet? Ist dort noch eine Router mit NAT dazwischen? Ist dort der gleiche Provider? Auch eine feste IP an den anderen Standort?
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 09:04 Uhr
Also die Gegenstelle ist 400km entfernt mit welchen wir uns "vernetzen" müssen. Die Einwahl läuft über eine Namensauflösung allerdings ist die IP von denen Fest. Nat wird dort nicht eingesetzt. Habe relativ wenig über die Gegenstelle geschrieben da ich nicht viel weiß. Ich dachte es ist ein Problem was man anhand der Fehlermeldung schnell finden kann aber anscheint nicht
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 12:48 Uhr
Also da brauchen wir schon etwas mehr Infos.

Du hast bei Dir einen ISA. Damit willst du ein VPN aufbauen. Was die gegenstelle hat kannst du uns nicht sagen. Hmmmmm, da wird es dann schwer.

Das die da (Gegenstelle 400 km entfernt) kein NAT machen ist schwer zu glauben. Entweder ist das nur ein PC direkt am Inet oder alle Rechner im entfernten LAN haben Öffentliche IPs. Schwer zu glauben.

Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 12:53 Uhr
ja sorry ich weis es doch nicht was auf der Gegenseite los ist. Ich hab von den alle Daten bekommen was ich einstellen soll aber es geht nicht. Bei dem Fehler steht die Gegenstelle auf dem Schlauch weil wir anscheint die einzigen sind wo das so ist. Mehr Informationen bekomme ich von denen leider nicht. Das die kein Nat machen war jetzt nur eine Vermutung, weis es leider nicht. Werde abwarten was ich von denen als Alternative bekomme weil so wird das nichts. Es ist kein Allgemeiner Fehler der auf irgendwas schließt, in jedem Forum lese ich über den Fehler was anderes und immer lag es an was anderem. Echt Tolle Fehlermeldung!
Bitte warten ..
Mitglied: Pjordorf
30.10.2007 um 13:04 Uhr
War ja nicht "Böse" gemeint.

Kann Dir die "Gegenstelle" kein Fehlerprotokoll oder Fehlermeldung geben?

Was ist, wenn du von einem Client der nicht hinter der ISA ist, versuchst per VPN anzubinden. Die Daten hast du ja. Kommt es da auch zum Fehler 789? Was steht denn im ISA Protokoll? Schon mal versucht mit einem Client (ausserhalb deines Netzes) auf eueren ISA per VPN zu verbinden, klappt das denn?

Benutzt die Gegenstelle den auch ISA oder was haben die?


Peter
Bitte warten ..
Mitglied: carstensk
30.10.2007 um 14:55 Uhr
So endlich die VPN läuft Ich habe das Zertifikat von meinem PC angefordert. Hätte das vom Isa anfordern müssen. Dort war kein lokales Zertifikat eingetragen. Nach der Änderung funktioniert das endlich gescheid! Trotzdem vielen Dank an alle
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Installation
gelöst Adobes Flash Player für den Internet Explorer schlägt mit Fehler 1722 fehl (10)

Frage von iGordon zum Thema Windows Installation ...

Exchange Server
gelöst IMAP Verbindung schlägt fehl bei Exchange 2013 (6)

Frage von pablovic zum Thema Exchange Server ...

Windows Server
WSUS Neuinstallation auf SBS2011 schlägt fehl (3)

Frage von Blongmon zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...