VPN L2TP: ошибки 789 и 547

При создании подключения VPN L2TP с использованием ключа на новом компьютере, появилась ошибка

Ошибка: 789: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.

В журнале событий этого-же клиентского компа появлялось событие 547 (
Описание:
Не удалось согласовать сопоставление безопасности IKE.
Режим:
Режим обмена ключами (основной режим)

)

В это-же время со старых компьютеров соединения устанавливаются нормально. Разбор лога \Debug\oakley.log показал, что ошибка появляется при передачи от клиента:SA Dead, IKE SA deleted by peer before establishment completed.

Поиск в Интернет по этим строкам не дал результата.

Дальнейшие исследования показали, что при установке ключа прямо из браузера (http://server/cersrv) (Установка сертификата компьютера на локальном компьютере) , ошибки нет! Т.е. ошибка появляется только если ключ устанавливатьчерез дискету, как описано в Сохранение сертификата компьютера на дискету. Отличие в установленных ключах — в «правильном» есть надпись Есть закрытый ключ, соответствующий этому сертификату (You have a private key that corresponds to this certificate). Но как добиться появления этой надписи — пока не понятно.

Пошаговое руководство по использованию протокола IPSec (Internet Protocol Security)

Основные рекомендации по устранению неполадок L2TP/IPSEC в Windows XP

Configuring L2TP/IPSEC VPN

Double-click the certificate, and verify that the following text appears on the
General tab:
You have a private key that corresponds to this certificate
If this text does not appear, then you may not have imported the certificate from an
PKCS#12 container. All certificates imported for use in L2TP/IPSec must be in
PKCS#12 format.

Network access authentication and certificates

HOW TO: Install a Certificate for Use with IP Security

Пометить ключ как экспортируемый. Если ключ помечен как экспортируемый, открытый и закрытый ключи могут быть сохранены в файле PKCS #12. Это может быть полезно при смене компьютера и перенесении пары ключей или при удалении пары ключей и сохранении ее в безопасном месте.

Использовать локальное хранилище компьютера для сертификата. Выберите эту возможность, если компьютер будет обращаться к закрытому ключу, связанному с сертификатом, когда другие пользователи вошли в систему. Выбирайте эту возможность, если запрашиваются сертификаты для компьютера (например веб-сервера), а не для пользователей.

Сохранение запроса в файле PKCS #10. Эта возможность полезна, если центр сертификации не обрабатывает запросы сертификатов в интерактивном режиме. Чтобы получить сведения о создании и отправке запросов сертификатов с помощью файлов PKCS #10, щелкните ссылку «См. также».

Troubleshooting IPsec

2 комментария на “VPN L2TP: ошибки 789 и 547”

  1. admin Says:

    Очередной раз пришлось разбираться с этой-же ошибкой (теперь номер 786)! Причем с сертификатом все ок, закрытый ключ есть. Оказалось, пользователь при запросе не поставил галочку «Store certificate in the local computer certificate store». Помог пост http://www.derkeiler.com/Newsgroups/microsoft.public.security/2004-01/2041.html

  2. Натали Says:

    Приятный стиль письма у автора и манера высказывания идей. Со школы у меня трудности с пересказом и речью. И вот, до чего доразмышляла. Может начать писать стихи и делиться с народом мыслями? Искренне благодарна создателю ресурса за толчок в эту сторону.