Все!
Моя проблема - когда я создаю сертификат SSL (с помощью консоли управления selfssl7 или IIS), мое соединение vpn (L2TP с аутентификацией сертификата) не будет работать (я получаю ошибку 789). Мне нужно удалить этот сертификат, чтобы подключение снова заработало.
Интересно, если я что-то не так делаю, вот моя командная строка selfssl:
selfssl7 /Q /T /I /S "site name" /N cn=localhost
Я создаю сертификат, и у меня проблемы на том же компьютере, который подключается к VPN-серверу интернет-провайдера. Извините, если мой вопрос заставил вас думать иначе.
Сертификат, который вы устанавливаете на стороне сервера, должен быть доверенным для клиента. Поскольку вы создали самозаверяющий сертификат, вы должны скопировать сертификат клиентам, импортировать их и пометить их как доверенные. Если ваши клиенты мобильные (например, ноутбуки), то, когда они находятся в офисе, у вас есть GPO автоматически протолкнуть сертификат; если они не мобильные и не локальные, вы можете использовать удаленную регистрацию или офлайн-регистрация. Надеюсь, это поможет, но если нет ... вам следует подумать о прочтении обзор и конфигурация клиента L2TP / IPSEC прежде чем тратить больше времени на игры.
Как видно из кода ошибки,
Возможные причины: Это общая ошибка, которая возникает при сбое согласования IPSec для соединений L2TP / IPSec.
Возможные причины этой проблемы:
Клиент VPN (или сервер VPN) на основе L2TP находится за NAT.
b> На сервере или клиенте VPN установлен неправильный сертификат или общий ключ.
c> Сертификат компьютера или сертификат доверенного корневого компьютера отсутствует на сервере VPN.
d> Сертификат машины на VPN-сервере не имеет «Проверка подлинности сервера» в качестве EKU
Возможное решение: Убедитесь, что правильный сертификат используется как на стороне клиента, так и на стороне сервера - дополнительные сведения см. В этом блоге. В случае использования Pre Shared Key (PSK) убедитесь, что один и тот же PSK настроен на клиенте и на сервере VPN.
Отказ от ответственности: я сам никогда не использовал L2TP.
Насколько я понимаю, L2TP с аутентификацией сертификата требует пары сертификатов сервера и клиента. Сертификат клиента должен быть выдан сервером (CA). Обычно это может быть достигнуто с помощью центра сертификации Active Directory и групповых политик для импорта CA-сертификата и автоматической регистрации для клиентских сертификатов. В любом случае, НЕ используя selfssl7 для создания самоподписанного (серверного) сертификата.
Вы сгенерировали сертификат с использованием 2048-битного ключа? По умолчанию он может использовать 1024, что не может быть принято вашим VPN-клиентом. Чтобы определить это или обнаружить указатели на другие ошибки, проверьте журнал событий на клиенте и сервере после запуска (неудачного) сеанса!
selfssl7 /Q /T /I /S "site name" /N cn=localhost /K 2048
Чтобы упростить задачу, можно ли использовать SSTP (порт 443) или PPTP с аутентификацией пользователя для установления VPN?