vmarkovsky

При создании подключения VPN L2TP с использованием ключа на новом компьютере, появилась ошибка

Ошибка: 789: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

В журнале событий этого-же клиентского компа появлялось событие 547 (
Описание:
Не удалось согласовать сопоставление безопасности IKE.
Режим:
Режим обмена ключами (основной режим)
)

В это-же время со старых компьютеров соединения устанавливаются нормально. Разбор лога \Debug\oakley.log показал, что ошибка появляется при передачи от клиента:SA Dead, IKE SA deleted by peer before establishment completed.

Поиск в Интернет по этим строкам не дал результата.

Дальнейшие исследования показали, что при установке ключа прямо из браузера (http://server/cersrv) (Установка сертификата компьютера на локальном компьютере) , ошибки нет! Т.е. ошибка появляется только если ключ устанавливатьчерез дискету, как описано в Сохранение сертификата компьютера на дискету. Отличие в установленных ключах – в “правильном” есть надпись Есть закрытый ключ, соответствующий этому сертификату (You have a private key that corresponds to this certificate). Но как добиться появления этой надписи – пока не понятно.

Пошаговое руководство по использованию протокола IPSec (Internet Protocol Security)

Основные рекомендации по устранению неполадок L2TP/IPSEC в Windows XP

Configuring L2TP/IPSEC VPN

Double-click the certificate, and verify that the following text appears on the
General tab:
You have a private key that corresponds to this certificate
If this text does not appear, then you may not have imported the certificate from an
PKCS#12 container. All certificates imported for use in L2TP/IPSec must be in
PKCS#12 format.

Network access authentication and certificates

HOW TO: Install a Certificate for Use with IP Security

Пометить ключ как экспортируемый. Если ключ помечен как экспортируемый, открытый и закрытый ключи могут быть сохранены в файле PKCS #12. Это может быть полезно при смене компьютера и перенесении пары ключей или при удалении пары ключей и сохранении ее в безопасном месте.

Использовать локальное хранилище компьютера для сертификата. Выберите эту возможность, если компьютер будет обращаться к закрытому ключу, связанному с сертификатом, когда другие пользователи вошли в систему. Выбирайте эту возможность, если запрашиваются сертификаты для компьютера (например веб-сервера), а не для пользователей.

Сохранение запроса в файле PKCS #10. Эта возможность полезна, если центр сертификации не обрабатывает запросы сертификатов в интерактивном режиме. Чтобы получить сведения о создании и отправке запросов сертификатов с помощью файлов PKCS #10, щелкните ссылку «См. также».

Troubleshooting IPsec

This entry was posted on Четвер, 27 Вересня, 2007 at 22:05 and is filed under Серверный софт. You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.