Hallo liebes Forum,
ich habe einen Kunden, welcher bereits einen VPN-Router von Ecos hat (www.ecos.de) und leider keinen Lancom anschaffen möchte.
Da wir bei uns aber einige Lancom Adv.VPN-Clients haben dachte ich mir dass müsste doch gehen damit auf das ECOS-Gerät zuzugreifen.
Nach Rücksprache mit dem technischen Betreuer des Kunden-Routers habe ich folgende Daten erhalten:
- Benutzer
- Passwort
- ianeo.p12 -Datei
- Gateway-Adresse des VPN-Routers
Die ianeo.p12 Datei habe ich im Lancom unter Konfiguration - Zertifikate - aus PKCS#12-Datei eingetragen.
In der Profilkonfiruation habe ich das Gateway eingetragen, IKE und IPSec-Richtlinie auf automatisch gelassen, Exch-mode auf Aggressive PFS-Gruppe 2.
unter Identität habe ich es versucht mit Fully Qualified Username und "Benutzer", bei PSK habe ich das Passwort eingetragen.
Da das nicht funktionierte habe ich es stattdessen bei XAUTH eingetragen (Benutzer und Passwort) und im Dropdown-Feld darunter den Eintrag "Zugangsdaten aus Konfiguration verwenden" ausgewählt.
Immer wenn ich jetzt verbinden will fragt mich der Lancom-Client aber nach einem PIN. Einen Pin habe ich nicht.
Fehlen mir noch Infos, habe ich was falsch eingestellt, kann mir jemand einen guten Tipp geben ?
Vielen Dank im Voraus für eure Hilfe,
liebe Grüße,
Dirk Becker
Lancom Adv. VPN-Client <-> ECOS VPN-Router
Moderator: Lancom-Systems Moderatoren
Hi ianeo,
Abgesehen davon sollte XAUTH an sich tunlichst nicht verwendet werden, da es eine massive Sicherheitslücke darstellt. Das Schlimme bei XAUTH ist, sich jeder gegenüber einem Client als Server ausgeben kann und somit problemlos Man-In-The-Middle Angriffe möglich sind. Daher sollte man tunlichst auf XAUTH verzichten und stattdessen mit Einzelzertifikaten für jeden User arbeiten.
Ein XAUTH-Gruppenzertifikat hat zudem noch den Nachteil (wie auch ein Gruppen-Key), daß im Falle eine Falles *alle* User ein neues Zertifikat benötigen, während ein Einzelzertifikat einfach zurückgezogen werden kann.
Gruß
Backslash
Die PIN sichert das Zertifikat und muß dir vom Admin mit der PKCS#12-Datei übermittelt werden (Paßwort für das Zertifikat). Diese PIN solltest du tunlicht direkt nach dem Einspielen des Zertifikats ändern (Verbindung -> PIN ändern)...Immer wenn ich jetzt verbinden will fragt mich der Lancom-Client aber nach einem PIN. Einen Pin habe ich nicht.
Abgesehen davon sollte XAUTH an sich tunlichst nicht verwendet werden, da es eine massive Sicherheitslücke darstellt. Das Schlimme bei XAUTH ist, sich jeder gegenüber einem Client als Server ausgeben kann und somit problemlos Man-In-The-Middle Angriffe möglich sind. Daher sollte man tunlichst auf XAUTH verzichten und stattdessen mit Einzelzertifikaten für jeden User arbeiten.
Ein XAUTH-Gruppenzertifikat hat zudem noch den Nachteil (wie auch ein Gruppen-Key), daß im Falle eine Falles *alle* User ein neues Zertifikat benötigen, während ein Einzelzertifikat einfach zurückgezogen werden kann.
Gruß
Backslash
Hi ianeo
Wenn er keins vergeben hat, dann versuch doch enfach mal, eine leere PIN einzugeben...
Gruß
Backslash
wohl eher nicht... Das ist das Paßwort für XAUTH (schließlich gehört da auch ein Username zu...). Für das Zertifikat benötigst du ein eigenes Paßwort.Die PIN ist wohl das Passwort das ich habe...
das ist klar... Da das XAUTH-Paßwort nicht für das Zertifikat gilt, kann es auch nicht installiert werden.Wenn ich das jetzt eingebe bekomme ich eine Fehlermeldung:
" PKI Fehler ! PKCS#12 Datei nicht vorhanden! ".
Frag den Admin nach dem Paßwort für das Zertifikat...Hast du noch einen Tipp für mich ?
Wenn er keins vergeben hat, dann versuch doch enfach mal, eine leere PIN einzugeben...
Gruß
Backslash
So, inzwischen habe ich das mit dem Zertifikat schienbar hinbekommen (musste in den Lancom-ORdner bei die Zertifikate), das mit der PIN klappt auch.
Aber: Inzwischen klappt laut Logbuch die IKE Phase 1, aber ich bekommen danach dann folgende Meldung im Logbuch:
28.08.2007 16:37:34 IPSDIALCHAN::start building connection
28.08.2007 16:40:55 IPSDIALCHAN::start building connection
28.08.2007 16:40:55 IPSDIAL::DNSREQ: resolving dnserver over lan: gw.blabla.ecos.de
28.08.2007 16:40:55 IPSDIAL->DNSREQ: resolved ipadr: 084.172.064.242
28.08.2007 16:40:55 NCPIKE-phase1:name(Praxis xyz) - outgoing connect request - main mode.
28.08.2007 16:40:55 XMIT_MSG1_MAIN - xyz
28.08.2007 16:40:55 RECV_MSG2_MAIN - xyz
28.08.2007 16:40:55 IKE phase I: Setting LifeTime to 28800 seconds
28.08.2007 16:40:55 xyz ->Support for NAT-T version - 9
28.08.2007 16:40:55 XMIT_MSG3_MAIN - xyz
28.08.2007 16:40:55 IPSDIAL->FINAL_TUNNEL_ENDPOINT: 084.172.064.242
28.08.2007 16:40:55 RECV_MSG4_MAIN - xyz
28.08.2007 16:40:55 Turning on NATD mode - xyz - 1
28.08.2007 16:40:55 XMIT_MSG5_MAIN - xyz
28.08.2007 16:40:56 XMIT_MSG5_MAIN_RESUME - xyz
28.08.2007 16:40:56 NOTIFY : xyz : RECEIVED : INVALID_KEY_INFORMATION
28.08.2007 16:41:35 IPSDIAL - disconnected from xyz on channel 1.
Alles rumprobieren bringt leider keinen Fortschritt und daher frage ich nochmal: Hat jemand eine Idee wo es jetzt noch dran liegen könnte ?
Grüße
Dirk
Aber: Inzwischen klappt laut Logbuch die IKE Phase 1, aber ich bekommen danach dann folgende Meldung im Logbuch:
28.08.2007 16:37:34 IPSDIALCHAN::start building connection
28.08.2007 16:40:55 IPSDIALCHAN::start building connection
28.08.2007 16:40:55 IPSDIAL::DNSREQ: resolving dnserver over lan: gw.blabla.ecos.de
28.08.2007 16:40:55 IPSDIAL->DNSREQ: resolved ipadr: 084.172.064.242
28.08.2007 16:40:55 NCPIKE-phase1:name(Praxis xyz) - outgoing connect request - main mode.
28.08.2007 16:40:55 XMIT_MSG1_MAIN - xyz
28.08.2007 16:40:55 RECV_MSG2_MAIN - xyz
28.08.2007 16:40:55 IKE phase I: Setting LifeTime to 28800 seconds
28.08.2007 16:40:55 xyz ->Support for NAT-T version - 9
28.08.2007 16:40:55 XMIT_MSG3_MAIN - xyz
28.08.2007 16:40:55 IPSDIAL->FINAL_TUNNEL_ENDPOINT: 084.172.064.242
28.08.2007 16:40:55 RECV_MSG4_MAIN - xyz
28.08.2007 16:40:55 Turning on NATD mode - xyz - 1
28.08.2007 16:40:55 XMIT_MSG5_MAIN - xyz
28.08.2007 16:40:56 XMIT_MSG5_MAIN_RESUME - xyz
28.08.2007 16:40:56 NOTIFY : xyz : RECEIVED : INVALID_KEY_INFORMATION
28.08.2007 16:41:35 IPSDIAL - disconnected from xyz on channel 1.
Alles rumprobieren bringt leider keinen Fortschritt und daher frage ich nochmal: Hat jemand eine Idee wo es jetzt noch dran liegen könnte ?
Grüße
Dirk
-
meichertom
- Beiträge: 81
- Registriert: 26 Jun 2006, 14:08
- Wohnort: Nuernberg