Hi,
ich wollte mal allgemein nach Lösungswegen für VPN ohne Advanced Client fragen.
Der Beitrag in den FAQs ist ja ganz nett, aber er funktioniert nicht mit preshared keys, jedenfalls nicht in privaten Netzen, also nicht praktikabel.
Die Sache mit ShrewSoft sieht ganz nett aus, aber die Software läuft nicht auf Vista oder ?
Für die Astaro gibt es z.B. einen Weg mit Preshared Keys und ganz easy mit Windows eine Verbdindung aufzubauen, ganz ohne markusmüller tool oder ähnlichem.
Muss doch für Lancom auch einen Weg geben oder ?
Vielen Dank für eure Beiträge im Voraus,
Horst
PS: Nein ich bin nicht zu geizig für den Advanced client, ich habe ihn sogar mehrfach gekauft, aber er macht bei manchen Rechnern Probleme, außerdem funktioniert er nicht mit OpenVPN auf einem PC.
Lösungswege ohne Advanced Client (FAQs habe ich gelesen ;-)
Moderator: Lancom-Systems Moderatoren
-
Horstliman
- Beiträge: 8
- Registriert: 31 Dez 2007, 00:32
Hi Horstliman
Der Main-Mode kann bei dynamischen Adressen halt nur mit Zertifikaten verwendet werden. Wenn du eine Dyndns-Adresse hast, dann kannst du natürlich auch mit dem Main-Mode wieder preshared Keys verwenden - du mußt halt nur im LANCOM die Dyndns-Adresse als "remote Gateway" eingeben (und hoffen, daß nicht irgenwo doch noch ein NAT im Weg ist).
Gruß
Backslash
Das wage ich zu bezweifeln, da der Window IPSec-Stack den Aggressive-Mode nicht beherrscht, der für einen Zugang mit dynamischen adressen und preshared Keys notwendig ist.Für die Astaro gibt es z.B. einen Weg mit Preshared Keys und ganz easy mit Windows eine Verbdindung aufzubauen
Der Main-Mode kann bei dynamischen Adressen halt nur mit Zertifikaten verwendet werden. Wenn du eine Dyndns-Adresse hast, dann kannst du natürlich auch mit dem Main-Mode wieder preshared Keys verwenden - du mußt halt nur im LANCOM die Dyndns-Adresse als "remote Gateway" eingeben (und hoffen, daß nicht irgenwo doch noch ein NAT im Weg ist).
ohne Hilfstools ist die Windows IPSec-Konfiguration ein graus. Wenn es für Astaro einen eleganten Weg gibt, dann nutzt dieser ein eigenes Tool, das die Windows-Konfiguration vor dir versteckt...ganz ohne markusmüller tool oder ähnlichem
Gruß
Backslash
-
Horstliman
- Beiträge: 8
- Registriert: 31 Dez 2007, 00:32
Also wie gesagt bei der Astaro geht das, glaube mir, ohne Tool, alleine über den Windows Assistenten für neue Verbindungen, ganz sicher und ja es ist IPSEC mit preshared Key 
Die Sache mit Dyndns ist halt nicht wirklich praktikabel, VPN soll ja auch mal vom Flughafen aus gehen oder im Hotel...etc.
Hat noch jemand Ideen, "kauf die ne Astaro" wäre keine Idee
Die Sache mit Dyndns ist halt nicht wirklich praktikabel, VPN soll ja auch mal vom Flughafen aus gehen oder im Hotel...etc.
Hat noch jemand Ideen, "kauf die ne Astaro" wäre keine Idee
Hi Horstliman
Abgesehen davon, daß das LANCOM kann PPTP nur unverschlüsselt beherrscht, ist aus Sicherheitsgründen von der PPTP-Verschlüsselung abzuraten, weil die Aushandlung der Schlüssellänge im Klartext abläuft und somit für einen Man-In-The-Middle-Angriff anfällig ist, bei dem die Schlüssellänge auf 56 Bit beschränkt wird... Und ein 56-Bit-Shlüssel ist heutzutage in wenigen Sekunden geknackt...
Daher ist es auch kein Problem, wenn das LANCOM PPTP nicht verschlüsselt, denn das schützt davor, daß man meint es wäre sicher... Wenn du sichere Verbindungen haben willst, dann mußt du schon IPSec machen - und zwar am besten mit Zertifikaten, weil auch der Aggressive-Mode mit preshared Keys angreifbar ist - und das sogar offline... Davor schützt nur ein sehr langer Key (mindestens 16 Zeichen, besser noch länger) und regelmäßige Schlüsselwechsel...
Gruß
Backslash
Vorsicht... Das ist gar kein IPSec, sondern nur PPTP oder L2TP... Selbst wenn du nach dem Einrichten mit dem Wizard auf die Eigenschaften der Verbindung gehst und tatsächlich auf dem Reiter "Sicherheit" den Butten "IPSec-Einstellungen" drückst und einen "vorinstallierten Schlüssel für die Authentifizierung" eingibst, ändert sich nicht daran, daß es keine IPSec-Verbindung ist.Also wie gesagt bei der Astaro geht das, glaube mir, ohne Tool, alleine über den Windows Assistenten für neue Verbindungen, ganz sicher und ja es ist IPSEC mit preshared Key
Abgesehen davon, daß das LANCOM kann PPTP nur unverschlüsselt beherrscht, ist aus Sicherheitsgründen von der PPTP-Verschlüsselung abzuraten, weil die Aushandlung der Schlüssellänge im Klartext abläuft und somit für einen Man-In-The-Middle-Angriff anfällig ist, bei dem die Schlüssellänge auf 56 Bit beschränkt wird... Und ein 56-Bit-Shlüssel ist heutzutage in wenigen Sekunden geknackt...
Daher ist es auch kein Problem, wenn das LANCOM PPTP nicht verschlüsselt, denn das schützt davor, daß man meint es wäre sicher... Wenn du sichere Verbindungen haben willst, dann mußt du schon IPSec machen - und zwar am besten mit Zertifikaten, weil auch der Aggressive-Mode mit preshared Keys angreifbar ist - und das sogar offline... Davor schützt nur ein sehr langer Key (mindestens 16 Zeichen, besser noch länger) und regelmäßige Schlüsselwechsel...
Gruß
Backslash
Hi,
das hat dir backslash schon voellig richtig erlaeutert. Es ist maximal eine IPsec over L2TP-Verbindung (mit Benutzerauthentifizierung bedingt durch den L2TP-Tunnel - und der PSK fuer IPsec), aber kein reines IPsec.
Nimm doch den ShrewSoft Client, der laeuft mittlerweile auch unter Vista in der aktuellsten Betaversion. Oder Kaufe dir den LC Adv. VPN Client.
Ich verstehe nicht, was fuer ein Problem du damit hast?
das hat dir backslash schon voellig richtig erlaeutert. Es ist maximal eine IPsec over L2TP-Verbindung (mit Benutzerauthentifizierung bedingt durch den L2TP-Tunnel - und der PSK fuer IPsec), aber kein reines IPsec.
Nimm doch den ShrewSoft Client, der laeuft mittlerweile auch unter Vista in der aktuellsten Betaversion. Oder Kaufe dir den LC Adv. VPN Client.
Ich verstehe nicht, was fuer ein Problem du damit hast?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
-
marsbewohner
- Beiträge: 532
- Registriert: 27 Mär 2007, 13:17
Re: Lösungswege ohne Advanced Client (FAQs habe ich gelesen
@ittk:
Eventuell das hier?Horstliman hat geschrieben:PS: Nein ich bin nicht zu geizig für den Advanced client, ich habe ihn sogar mehrfach gekauft, aber er macht bei manchen Rechnern Probleme, außerdem funktioniert er nicht mit OpenVPN auf einem PC.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
-
Horstliman
- Beiträge: 8
- Registriert: 31 Dez 2007, 00:32
Hi,
erstmal danke für die vielen Antworten !!!
Das mit dem IPSEC über L2TP ist echt interessant, danke für die Info.
Wenn ShrewSoft BETA auch auf Vista läuft und auch noch gut, dann würde ich sagen hat mir dieser Forumeintrag genau die Info gebracht die ich wollte.
Weiß einer ob er mit OpenVPN auf einem Rechner läuft ?
Viele Grüße,
Horst
erstmal danke für die vielen Antworten !!!
Das mit dem IPSEC über L2TP ist echt interessant, danke für die Info.
Wenn ShrewSoft BETA auch auf Vista läuft und auch noch gut, dann würde ich sagen hat mir dieser Forumeintrag genau die Info gebracht die ich wollte.
Weiß einer ob er mit OpenVPN auf einem Rechner läuft ?
Viele Grüße,
Horst
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo,
Hier auch der Kommentar des Entwicklers dazu:
"The 2.1.1-release is the latest stable version that works with vista."
Gruß
Dietmar
Es ist, wie ich oben schon geschrieben habe, für Vista die aktuelle 2.1.1-release zu verwenden. Die Beta benötigst Du nicht.Horstliman hat geschrieben:Hi,
Wenn ShrewSoft BETA auch auf Vista läuft und auch noch gut, dann würde ich sagen hat mir dieser Forumeintrag genau die Info gebracht die ich wollte.
Horst
Hier auch der Kommentar des Entwicklers dazu:
"The 2.1.1-release is the latest stable version that works with vista."
Gruß
Dietmar
Lancom 1823 VOIP
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hallo,
was das Zusammenspiel mit anderen VPN Produkten angeht, ist ShrewSoft im allgemeinen ebenfalls wesentlich gutmütiger als NCP/Lancom. So lief der ShrewSoft problemlos in Koexistenz mit einem Checkpoint VPN Client. Mit NCP/Lancom war dies nicht möglich. Deshalb probiere es in Bezug auf OpenVpn einfach aus.
Gruß
Dietmar
was das Zusammenspiel mit anderen VPN Produkten angeht, ist ShrewSoft im allgemeinen ebenfalls wesentlich gutmütiger als NCP/Lancom. So lief der ShrewSoft problemlos in Koexistenz mit einem Checkpoint VPN Client. Mit NCP/Lancom war dies nicht möglich. Deshalb probiere es in Bezug auf OpenVpn einfach aus.
Gruß
Dietmar
Lancom 1823 VOIP
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44
Hi,
Gruß
Dietmar
Damit funktioniert aber kein VPN Main Mode mit Zertifikaten. Das ist mit dem ShrewSoft ebenfalls problemlos möglich.BitMit KG hat geschrieben:Ich möchte noch Fritz!Fernzugang erwähnen. Ein wenig die Konfigurationsdatei anpassen, und schon funktioniert auch diese Software mit z.B. einem LANCOM 1721 VPN.
Gruß
Dietmar
Lancom 1823 VOIP
Das ist richtig, aber der Threadstarter schrieb ja auch nur von Preshared Key, und damit funktioniert's einwandfrei.froeschi62 hat geschrieben:Hi,
Damit funktioniert aber kein VPN Main Mode mit Zertifikaten. Das ist mit dem ShrewSoft ebenfalls problemlos möglich.BitMit KG hat geschrieben:Ich möchte noch Fritz!Fernzugang erwähnen. Ein wenig die Konfigurationsdatei anpassen, und schon funktioniert auch diese Software mit z.B. einem LANCOM 1721 VPN.
Gruß
Dietmar
Grüße,
Jens.
-
froeschi62
- Beiträge: 985
- Registriert: 13 Dez 2004, 10:44