Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Windows XP L2TP/IPSEC: errore 781

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 11:44 am    Oggetto: Windows XP L2TP/IPSEC: errore 781 Rispondi citando

Ciao a tutti!

Uso con grande gioia il servizio VPN L2tp/IPSEC offerto da zeroshell ed i miei client windows 7 funzionano alla grande facendo un banale import del file pfx esportato dalla schermata utente in zeroshell.

Su xp ho effettuato la stessa procedura ma mi dice che il certificato è assente o non è valido.

Nelle faq ho letto: "Ho configurato Windows XP per effettuare una VPN L2TP/IPSec verso un gateway VPN ZeroShell. Tuttavia, quando tento di attivare la VPN, Windows XP mi avverte che non è presente alcun certificato con cui poter stabilire la connessione IPSec. Da cosa dipende?
Il protocollo L2TP/IPsec è la combinazione di due protocolli: il primo è il ben noto IPSec con cui viene stabilito un tunnel IP criptato tra il client e il gateway VPN; il secondo e il protocollo L2TP (Layer 2 Tunnel Protocol) che incapsulato nel primo trasporta i dati dell'utente. L2TP viene autenticato con username e password (Kerberos 5) appartenenti all'utente che vuole stabilire la connessione. IPSec invece, affinché possa mutuamente autenticare la macchina client e il gateway VPN, necessita che entrambi dispongano di un certificato X.509 e della relativa chiave privata. Si noti che, per un client Windows, il certificato non deve far parte dei certificati personali dell'utente, ma bensì il certificato deve appartenere all'account del computer e quindi memorizzato dall'amministratore."

Il concetto mi è chiaro ma mi servirebbe un piccolo aiuto sui passaggi da effettuare per completare la configurazione.
Perdonate la 'gnuranz. Very Happy
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Mar Ago 02, 2011 11:59 am    Oggetto: Rispondi citando

Ciao , hai provato a dare uno sguardo qui ?
http://www.zeroshell.net/listing/l2tp.pdf
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 12:11 pm    Oggetto: Rispondi citando

Ciao!

Or ora stavo cercando di completare i passi suggeriti dal documento ma non funziona (sicuramente ho bisogno di prestare il doppio dell'attenzione ripercorrendo i passi).
L'unica cosa che mi farebbe piacere è usare i certificati pfx "nominativi" invece di usare quelli basati su host come suggerito nel tutorial.
Ma se "mi tocca" lo farò Smile

(ora come ora mi dice che il computer remoto non risponde. odio xp.)
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 1:30 pm    Oggetto: Rispondi citando

e poi pensavo, per pura curiosità...

Perchè a windows 7 basta il file certificato "dell'utente" e basta installarlo con un banale doppio click?
Addirittura da android basta user/pass senza certificato alcuno :O


L'ultima modifica di ltpitt il Mar Ago 02, 2011 2:35 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 1:59 pm    Oggetto: Rispondi citando

Niente: non va :/

Tra l'altro, quando clicco su host dall'homepage di zeroshell (senza loggarmi) per scaricare il certificato dell'host mi dice:

--------------------------------------------------------------------------------
Host Subject
Option disabled


Da dove si abilita?


Ho cmq scaricato il certificato dell'host loggandomi in zeroshell senza problemi.

Ho messo il certificato di base "zeroshell.example.com.pfx" nelle locazioni suggerite nel pdf che mi hai mostrato e uguale ho fatto per CA.pem (scaricato dall'homepage senza loggarmi).

Il tutto è stato importato con attenzione qui:

You should see the hostname of your computer in 2 places,
Certificates(Local Computer)-Personal-Certificates
&
Certificates - Service (IPSEC Services) on Local Computer-PolicyAgent\Personal-Certificates
You should see the Zeroshell_CA in 2 places
Certificates (Local Computer)-Trusted Root Certification Authorities-Certificates
&
Certificates - Service (IPSEC Services) on Local Computer-PolicyAgent\Trusted Root Certification
Authorities-Certificates

Purtroppo niente Sad

Non so neanche bene a che log attingere...
L'unica cosa "utile" sembra essere prodotta dal log di ipsec:


15:37:23 INFO: respond new phase 1 negotiation: x.x.x.x[500]<=>2.45.37.7[500]
15:37:23 INFO: begin Identity Protection mode.
15:37:23 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
15:37:23 INFO: received Vendor ID: FRAGMENTATION
15:37:23 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
15:37:24 INFO: ISAKMP-SA established x.x.x.x[500]-2.45.37.7[500] spi:xxxxxxxxxxxxxxxx
15:37:24 INFO: respond new phase 2 negotiation: x.x.x.x[500]<=>2.45.37.7[500]
15:37:24 INFO: Update the generated policy : xxx.168.42.57/32[1701] x.x.x.x/32[1701] proto=udp dir=in
15:37:24 INFO: IPsec-SA established: ESP/Transport 2.45.37.7[0]->x.x.x.x[0] spi=xxxxxxx(0x5b88f2b)
15:37:24 INFO: IPsec-SA established: ESP/Transport x.x.x.x[0]->2.45.37.7[0] spi=xxxxxxx(0x13639372)
15:37:24 ERROR: such policy does not already exist: "192.168.42.57/32[1701] x.x.x.x/32[1701] proto=udp dir=in"
15:37:24 ERROR: such policy does not already exist: "x.x.x.x/32[1701] 192.168.42.57/32[1701] proto=udp dir=out"
15:38:00 INFO: purging ISAKMP-SA spi=xxxxxxxxxxxx.
15:38:00 INFO: purged ISAKMP-SA spi=xxxxxxxxxxxxxxxx.
15:38:01 INFO: ISAKMP-SA deleted x.x.x.x[500]-2.45.37.7[500] spi:xxxxxxxxxx
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ago 02, 2011 4:07 pm    Oggetto: Rispondi citando

Seguendo invece, passo passo quest'altro tutorial (http://digilander.libero.it/smasherdevourer/schede/linux/Zeroshell%20VPN%20Host-to-LAN.pdf)


ottengo:
ERROR: failed to bind to address 192.168.141.142[500] (Address already in use).

Eppure non credo sia in uso (nessuna delle reti nè lato privato nè pubblico - ovviamente - usa quell'ip).
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 771

MessaggioInviato: Mar Ago 02, 2011 6:47 pm    Oggetto: Rispondi citando

Ciao , il certificato Ca dovresti scaricarlo in formato der , non pem , quello dell host , in pfx , ( crei un host , es. my_laptop , e ne scarichi il certificato con chiave privata in formato pfx ) dalla pagina di login di ZS puoi scaricare ( se abilitato in Security >>X.509>>Setup>>CA Default Parameters>> Export user/host certificates on the authentication page ) i certificati pubblici senza chiave privata . E' un pò che non uso questo tipo di vpn , OpenVpn mi sembra decisamente piu' flessibile , ( anche solo la possibilità di mettere in bridge VPN99 con qualsiasi altra interfaccia logica ed assegnare gli ip statici in base al client con poche modifiche...) comunque ho appena provato la L2TP/IPSEC e funziona senza problemi da xp . A dire la verità , ho provato da lan , ma se i tuoi hosts win7 entrano da remoto , non dovresti avere problemi neanche con xp .
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it