Hallo zusammen,
ich bin noch relativ neu im VPN- und Firewall-Bereich und soll für unser kleines Unternehmen nach einer praktikablen VPN-Lösung suchen.
Bisher haben wir ShrewSoft mit IKEv1 genutzt. Dort haben wir uns mit lokaler Kennung, Remote-Kennung, Pre-Shared Key und Serveradresse verbunden, was problemlos funktioniert hat.
Da ich Alternativen ausprobieren sollte, wurde mein Benutzerprofil testweise auf IKEv2 umgestellt. Die Zugangsdaten (Kennungen und PSK) sind laut Dienstleister gleich geblieben. Seit der Umstellung funktioniert Shrew jedoch nicht mehr und auch mit dem Windows-integrierten IKEv2-Client komme ich nicht weiter.
Unser Dienstleister sagt, die Lancom-Firewall unterstütze bei IPSec keine Anmeldung mit Benutzername und Passwort, sodass der Windows-Client nicht kompatibel sei. Als einzige Lösung wird der kostenpflichtige Lancom Advanced VPN Client genannt. (Diese Option wird von unserem Dienstleister sehr stark gepusht).
Da wir mehrere Mitarbeiter haben, ist das für uns recht teuer, vor allem da wir nur eine einfache Remote-Zugriffslösung benötigen.
Meine Fragen sind:
Gibt es eine Möglichkeit, den Windows-IKEv2-Client oder einen anderen kostenlosen Client erfolgreich mit Lancom zu nutzen?
Unterstützt die aktuelle LCOS-Version eventuell EAP (Benutzername/Passwort) oder eine Zertifikatsanmeldung für IKEv2?
Falls nicht, welche kostenlosen Alternativen zu ShrewSoft sind mit Lancom realistisch nutzbar?
Vielen Dank im Voraus für hilfreiche Hinweise.
Alternative zum Lancom Advanced VPN Client
Moderator: Lancom-Systems Moderatoren
Re: Alternative zum Lancom Advanced VPN Client
Hi IFCan,
alle anderen (auch kostenlosen) Clients funktionieren solange sie sich an die RFCs halten und nicht (wie der Micrsoft-Client) künstlich beschränkt ist...
zurück zu IKEv1 solltest du aber auf gar keinen Fall, weil der dort für PSK-Clients verwendete "Aggressive-Mode" offline angreifbar ist (d.h. du bekommst es nicht mal mit, wenn ein Angreifer versucht, den PSK zu knacken)
Gruß
Backslash
Der Microsoft-Client funktioniert nur, nur wenn man Zertifikate nutzt... siehe fragen-zum-thema-vpn-f14/vpz-zugang-mit ... ml#p116927Gibt es eine Möglichkeit, den Windows-IKEv2-Client oder einen anderen kostenlosen Client erfolgreich mit Lancom zu nutzen?
alle anderen (auch kostenlosen) Clients funktionieren solange sie sich an die RFCs halten und nicht (wie der Micrsoft-Client) künstlich beschränkt ist...
zurück zu IKEv1 solltest du aber auf gar keinen Fall, weil der dort für PSK-Clients verwendete "Aggressive-Mode" offline angreifbar ist (d.h. du bekommst es nicht mal mit, wenn ein Angreifer versucht, den PSK zu knacken)
Gruß
Backslash
Re: Alternative zum Lancom Advanced VPN Client
Hallo Backslash,
vielen Dank für die Rückmeldung, das hilft mir bei der Einordnung.
Das Thema Zertifikate für IKEv2 schaue ich mir auf jeden Fall genauer an, da das wohl der einzige Weg ist, den Windows-Client einzusetzen. Bislang habe ich von unserem Dienstleister allerdings kein Zertifikat bekommen, sondern nur Identifier, PSK und Serveradresse.
Was IKEv1 angeht: Wir haben ShrewSoft bisher problemlos genutzt. Mir ist klar, dass das veraltet ist und Sicherheitsrisiken haben kann, aber praktisch war es bislang eine funktionierende Lösung.
Mein Eindruck ist außerdem, dass unser Dienstleister uns fast ausschließlich Richtung kostenpflichtigen Lancom Advanced VPN Client schieben will. Gut zu wissen, dass es grundsätzlich auch mit anderen Clients geht, solange diese RFC-konform sind.
Gruß
IFCan
vielen Dank für die Rückmeldung, das hilft mir bei der Einordnung.
Das Thema Zertifikate für IKEv2 schaue ich mir auf jeden Fall genauer an, da das wohl der einzige Weg ist, den Windows-Client einzusetzen. Bislang habe ich von unserem Dienstleister allerdings kein Zertifikat bekommen, sondern nur Identifier, PSK und Serveradresse.
Was IKEv1 angeht: Wir haben ShrewSoft bisher problemlos genutzt. Mir ist klar, dass das veraltet ist und Sicherheitsrisiken haben kann, aber praktisch war es bislang eine funktionierende Lösung.
Mein Eindruck ist außerdem, dass unser Dienstleister uns fast ausschließlich Richtung kostenpflichtigen Lancom Advanced VPN Client schieben will. Gut zu wissen, dass es grundsätzlich auch mit anderen Clients geht, solange diese RFC-konform sind.
Gruß
IFCan
Re: Alternative zum Lancom Advanced VPN Client
Hallo IFCan,
egal was nun letztendlich zum Einsatz kommt, hier sollte eine vom Dienstleister supportete Variante zum Einsatz kommen.
Ist doch klar, dass er die Lancom Variante favorisiert - die funktioniert einwandfrei und bereitet weder ihm noch dem Anwender Stress.
Aus welchem Grund sollte er sich auf eine - aus seiner Sicht - Bastellösung einlassen?
Mal ganz praktisch betrachtet:
Du "fummelst" dir eine aus deiner Sicht funktionierende Freeware Lösung zusammen.
Was, wenn da alle paar Tage Probleme auftauchen und der Dienstleister muss aktiv werden?
Macht er das umsonst ?
Wenn nicht, kostet der Support sicher pro Fall soviel wie eine Lancom Lizenz und alle Beteiligten sind eher unzufrieden.
Zweiter Kostenaspekt: Deine Forschungsarbeiten sind vermutlich Arbeitszeit, also auch nicht kostenlos aus Unternehmensicht.
Der Gedanke etwas Freeware basierendes zu nutzen mag verlockend sein, aber bei dem Preis eines Lancom Clients - ist es das wert ?
Man muss ja die Software nicht beim Dienstleister kaufen, im Versand gibt es die deutlich unterhalb der Lancom Preisliste.
Über wie viele Clients reden wir hier ? Zehn oder eher fünfhundert ?
Die Variante MS-Client und Zertifikat kenne ich nur als funktionierende Lösung wenn man sich direkt an einen MS-xxx Server authentifiziert.
Das wird aber auch nur dann was, wenn ihr einen Admin habt der das aufsetzen und supporten kann.
Eine weitgehend kostenneutrale Lösung wäre eine unabhängige openVPN Variante die hinter dem Lancom Router auf Verbindungen lauscht.
Sowohl der Server als auch die Clients sind kostenfrei, nur ein passender Server als Hardware, oder eine Instanz auf einer VM.
Nachteil: ein weiteres System das aktuell sein MUSS und überwacht sein will.
Noch eine Idee: Den Router durch eine kleine R&S Firewall ersetzen, die kann von sich aus openVPN und funktioniert perfekt im kleineren Umfeld.
Die Firewall sollte allerdings auch vom Dienstleister kommen oder ihr solltet einen entsprechenden Support bei Lancom dazu kaufen.
Bei all den Gedanken sollte nicht unter den Tisch fallen, dass eine BSI konforme Lösung am Ende stehen sollte, das sollte dir wichtig sein und auch deinem IT Leiter !
Viel Erfolg bei der Lösungsfindung
egal was nun letztendlich zum Einsatz kommt, hier sollte eine vom Dienstleister supportete Variante zum Einsatz kommen.
Ist doch klar, dass er die Lancom Variante favorisiert - die funktioniert einwandfrei und bereitet weder ihm noch dem Anwender Stress.
Aus welchem Grund sollte er sich auf eine - aus seiner Sicht - Bastellösung einlassen?
Mal ganz praktisch betrachtet:
Du "fummelst" dir eine aus deiner Sicht funktionierende Freeware Lösung zusammen.
Was, wenn da alle paar Tage Probleme auftauchen und der Dienstleister muss aktiv werden?
Macht er das umsonst ?
Wenn nicht, kostet der Support sicher pro Fall soviel wie eine Lancom Lizenz und alle Beteiligten sind eher unzufrieden.
Zweiter Kostenaspekt: Deine Forschungsarbeiten sind vermutlich Arbeitszeit, also auch nicht kostenlos aus Unternehmensicht.
Der Gedanke etwas Freeware basierendes zu nutzen mag verlockend sein, aber bei dem Preis eines Lancom Clients - ist es das wert ?
Man muss ja die Software nicht beim Dienstleister kaufen, im Versand gibt es die deutlich unterhalb der Lancom Preisliste.
Über wie viele Clients reden wir hier ? Zehn oder eher fünfhundert ?
Die Variante MS-Client und Zertifikat kenne ich nur als funktionierende Lösung wenn man sich direkt an einen MS-xxx Server authentifiziert.
Das wird aber auch nur dann was, wenn ihr einen Admin habt der das aufsetzen und supporten kann.
Eine weitgehend kostenneutrale Lösung wäre eine unabhängige openVPN Variante die hinter dem Lancom Router auf Verbindungen lauscht.
Sowohl der Server als auch die Clients sind kostenfrei, nur ein passender Server als Hardware, oder eine Instanz auf einer VM.
Nachteil: ein weiteres System das aktuell sein MUSS und überwacht sein will.
Noch eine Idee: Den Router durch eine kleine R&S Firewall ersetzen, die kann von sich aus openVPN und funktioniert perfekt im kleineren Umfeld.
Die Firewall sollte allerdings auch vom Dienstleister kommen oder ihr solltet einen entsprechenden Support bei Lancom dazu kaufen.
Bei all den Gedanken sollte nicht unter den Tisch fallen, dass eine BSI konforme Lösung am Ende stehen sollte, das sollte dir wichtig sein und auch deinem IT Leiter !
Viel Erfolg bei der Lösungsfindung