Connexion l2tp/ipsec avec isa (besoin d'aide) - Sécurité - Windows & Software
Marsh Posté le 03-05-2006 à 17:47:07
J'ai exactement le même problème et je suis également à la recherche d'une solution, si tu as trouvé ou si quelqu'un à une idée, je suis preneur !
Marsh Posté le 01-02-2006 à 14:22:07
Bonjour
J'ai mon réseau qui utilise ISA 2k4 sur un win2k serveur, mon client vpn nomade ce situe sur la patte externe de isa, J'ai une DMZ ou se trouve mon serveur win2k3 avec mon AD, IIS, IAS et CA qui se trouve sur la patte Perimetre de mon serveur ISA. (Je presice que mon ISA est en Workgroup et mon Serveur 2k3 est lui dans son Domaine avec les machines clientes qui ce trouve dans ma DMZ).
Quand je fait du VPN avec mon client nomade en PPTP avec du MS-CHAP v2 tous fonctionne parfaitement (les régles de parfeu sont bien configuré et la liaison se passe bien). Afin d'etablir une liaison entre AD et mon serveur Isa (en Workgroup), j'ai activé RADUIS. Cela me permet donc de gerer les comptes utilisateurs avec IAS.
Maintenant je souhaiterai faire du L2tp/Ipsec de mon nomade vers mon serveur ISa. Pour cela j'ai préalablement activé l'accès L2TP sur ISA.
Coté nomade:
Pour Info : j'avais bien installé des certificats IPSEC sur mon nomade via l'interface Web et j'ai ainsi pu vérifier que le certificat etait bien dans le conteneur local de l'ordinateur ainsi que le certificat CA dans le conteneur de confiance (via la mmc==> certificat).
Ceci m'a permis d'enlever l'erreur 781 qui correspond à une demande L2TP/IPSEc qui ne possède pas de certificat. Ce qui prouve bien que mes certificats sont reconnu par ma connexion vpn nomade.
Coté ISA
J'ai fait les demandes de certificats via l'interface WEB je recupere le certificat chaine de connection pour mon serveur ISA (je positionne ces certificats dans autorités racine de confiance dans la console MMC), un certificat IPSEC sur mon serveur ISA (Sur mon serveur CA je valide bien la demande de certificat en délivrant les certificats demandés).
J'usque ici tout va bien mais quand j'essaye de me connecter avec mon nomade a mon VPN (connection VPN avec "Type de réseau VPN" = VPN L2TP IPsec) j'ai plusieurs erreurs d'une part l'erreur 789 et d'autre part l'erreur 792 qui apparaisse de maniere aléatoire après un délai assez long (1minute environ)
Pourtant quand je regarde dans la journalisation de mon ISA je voit une seule requete "Client IKE port 500" de Externe vers Hote local qui est autorisé puis plus rien jusqu'a l'erreur 789 ou 792 (délai dépassé).
Recap de l'architecture]
Nomade Client VPN (L2tp + certificats) ==> [Serveur ISA2004 en workgroup] (acceptant L2tp) ==> [Serveur DC] (AD + IAS + CA)
J'ai beau chercher de la DOC de partout je ne trouve rien qui pourrais resoudre mon probleme !!
Je me demande dans un premier temps si mon architecture reseau est bonne et si le principe de connexion L2TP/IPSEC vers ISA est correct ?
Si j'ai effectué des mauvaises manips au nivau certificat ? (je presice que j'ai install mon CA en Autonome et Entreprise et toujours la meme erreur)
Si vous pouvez m'aider merci d'avance car la je commence à devenir fou !
Merci d'avance