VPN Pass-Through ins Firmennetz (Heimarbeitsplatz)

backslash · Beitrag von **backslash** » 01 Mär 2005, 19:32

hi froeschi62

An der Firewall kann ich mich noch authentifizieren, bekomme aber anschließend kein Policyupdate vom Policyserver. Das Zünglein an der Wage scheint der UDP Port 2746 zu sein, den Checkpoint benötigt.

dann macht der Client aber kein Standard IPSec, sondern was eigenes

Trage ich den als UDP Zielport ein, scheint der Lancom den gar nicht frei zu geben.

Da du dich am Server anmelden kannst, macht das LANCOM das schon

Hänge ich ein reines DSL Modem an den Notebook, dann klappt es mit Checkpoint und ich sehe den genutzten Port 2746. Bei Checkpoint wird dieser Port als IKE encapsulated bezeichnet oder so ähnlich.

Ich hasse diese proprietären Versuche, ein NAT-Traversal zu machen. würden die sich an den RFC zum NAT-T halten und das IKE ganz normal über den Port 500 öffnen und hinterher die ESP-Pakete in UDP-Pakete einpacken würde alles funktionieren. Doch so...

Da bleibt dir nur übrig das UDP-Aging hochzusetzen - z.B. auf 5 Minuten. Nur hast Du dann ganz schnell das Problem, daß dir die Maskierungstabelle überläuft, wenn du z.B. Gameserver suchst oder Skype verwendest oder, oder, oder...

Ggf. kann man den Client ja so umstellen, daß er reines IPSec macht oder korrektes NAT-T (und natürlich auch den Server, daß er das akzeptiert).

Das ist aber letztendlich ein Problem von Checkpoint, bzw. deinem Administrator in der Firma - das muß eigentlich mit jedem Router schiefgehen der NAT macht (oder du hast einen der Billigheimer mit ihrer sog. DMZ, die keine ist, sondern nur ein exposed Host, der alles sieht, was nicht zuordbar ist - eine riesige Sicherheistlücke und in Verbindung mit VPN gelinde gesagt untragbar...)

Ach ja, wenn es nach dem Hochschalten des UDP-Agings funktioniert, dann solltest Du sofort einen Dauerping auf einen Server in deiner Firma starten, da die Verbindung sonst nach Ablauf der Aging-Zeit wieder abreißt...

Gruß
Backslash

froeschi62 · Beitrag von **froeschi62** » 01 Mär 2005, 23:53

Hallo Backslash,
ich mußte im Checkpoint Client "IKE over TCP" ausschalten, dann ging ging es einwandfrei. Der Lancom kann das wohl nicht. Leider überbügelt mir der Policy Server nach einiger Zeit die Einstellung wieder.

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 02 Mär 2005, 10:04

Hallo Backslash,
standardmäßig ist bei unserer Policy beides eingeschaltet, "IKE over TCP" und "Force UDP encapsulation".

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 02 Mär 2005, 11:08

Backslash,

habe hier einen einen interessanten Artikel auf "http://www.infrasecure.de/Publikationen ... ecnat.html" gefunden.

"In jedem Fall sollte IP-Sec over TCP eingesetzt werden, wenn zwei oder mehr VPN Clients eine Verbindung über einen Router/ Firewall mit PAT Funktion aufbauen wollen. Die Erfahrung zeigt, das einige Hersteller bei der Implementierung von PAT und IKE Probleme zu haben scheinen. Dadurch das der Port 500 für Ziel- und Quellport bei IKE benutzt wird, kommt es in der PAT Tabelle zu fehlerhaften Umsetzungen. Dieses Problem taucht wie gesagt bei einigen Herstellern auf. Durch das Einpacken in TCP können beliebige VPN Clients IP-Sec Tunnel initiieren.

Kann ich den Lancom LC 1821 vielleicht doch noch irgendwie dazu bewegen? Ich habe den Port 500 bisher auch nur als Zielport eingetragen.

Gruß
Dietmar
Ps: Vielen Dank für Deine Unterstützung, ohne dich wäre ich nie soweit gekommen. Aber man kann dabei viel lernen.

)

backslash · Beitrag von **backslash** » 02 Mär 2005, 16:14

Hi froeschi62

In jedem Fall sollte IP-Sec over TCP eingesetzt werden, wenn zwei oder mehr VPN Clients eine Verbindung über einen Router/ Firewall mit PAT Funktion aufbauen wollen. Die Erfahrung zeigt, das einige Hersteller bei der Implementierung von PAT und IKE Probleme zu haben scheinen. Dadurch das der Port 500 für Ziel- und Quellport bei IKE benutzt wird, kommt es in der PAT Tabelle zu fehlerhaften Umsetzungen. Dieses Problem taucht wie gesagt bei einigen Herstellern auf. Durch das Einpacken in TCP können beliebige VPN Clients IP-Sec Tunnel initiieren.

Das LANCOM kann beliebig viele VPN-Clients maskieren. Es ist sogar ein Serverseitiges Rekeying möglich. Daß "einige Hersteller" Probleme damit haben heiß nicht, daß es alle haben. LANCOM hat kein Problem damit.

Kann ich den Lancom LC 1821 vielleicht doch noch irgendwie dazu bewegen? Ich habe den Port 500 bisher auch nur als Zielport eingetragen.

Nein, da es sich handelt hierbei um eine proprietäre Erweiterung handelt und das LANCOM somit nicht mitbekommt, daß überhaupt IPSec gemacht wird und somit auch die in UDP eingepackten ESP-Pakete nicht erkennt.

In dem Artikel steht aber auch, daß man, wenn man schon IPSec über TCP verwendet, auch bitte schön die ESP-Pakete in den TCP-Stream mit einbetten sollte - daß würde bei dir bedeuten, daß Du "IKE over TCP" anschaltest und "Force UDP encapsulation" abschaltest. In diesem fall würde hoffentlich nur noch der TCP-Stream existieren und das Problem mit dem UDP-Aging würde umgangen.

Such die am Besten funktionierende Methode heraus und sprich mit deinem Admin, daß er genau diese auf den Policy-Server übernimmt.

Letzten Endes sagt der Artikel aber auch, daß die RFC-Konforme Variante NAT-T ist. Und jeder der irgendwie ein IPSec über ein NAT-Device transportieren will, hat sich nunmal an den entsprechenden RFC zu halten.

Es wird in jedem Fall im LANCOM keine Unterstützung für irgendwelche proprietären Protokolle geben

Gruß
Backslash

froeschi62 · Beitrag von **froeschi62** » 03 Mär 2005, 01:48

Hallo Backslash,

nur IKE over TCP angekreuzt funktioniert leider nicht. Ebensowenig das UPD Aging. Ein wenig enttäuscht bin ich schon bei einem über 500 Euro teuren Router zumal die gleichwertigen Cisco Geräte damit keinerlei Probleme haben. Ich habe es damit mal getestet. Die funktionieren tadellos mit der original Policy. Ändern wird der Administrator das nicht, weil mein Router nicht der Heimarbeitsstandard der Firma ist. Standard ist eine Einwahl mit ISDN Karte. Schade, ich wollte etwas flexibel sein.

Trotzdem danke für Deine Hilfe!

Gruß
Dietmar

backslash · Beitrag von **backslash** » 03 Mär 2005, 14:32

Hi froeschi62

nur IKE over TCP angekreuzt funktioniert leider nicht. Ebensowenig das UPD Aging.

Das mit dem UDP-Aging wundert mich nun aber wirklich, da der Client die ESP-Pakete ja in UDP einpackt...

Ein wenig enttäuscht bin ich schon bei einem über 500 Euro teuren Router zumal die gleichwertigen Cisco Geräte damit keinerlei Probleme haben.

Auch das sollte mich wundern, außer Du konfigurierst einen exposed Host. Dann kann aber nur ein einzelner Client hinter dem Cisco stehen

Ich habe es damit mal getestet. Die funktionieren tadellos mit der original Policy.

Also einfach LANCOM gegen Cisco tauschen und nichts besonderes konfigurieren???? - glaub ich nicht.

Oder hat dein Admin dir den Cisco gegeben?

Ändern wird der Administrator das nicht, weil mein Router nicht der Heimarbeitsstandard der Firma ist. Standard ist eine Einwahl mit ISDN Karte. Schade, ich wollte etwas flexibel sein.

Du könntest dir vielleicht mit einer Batchdatei aushelfen, die vor dem Start des Clients immer wieder die korrekten Werte in die Registry schreibt - nicht besonders schön, aber wenn's funktioniert...

Gruß
Backslash

froeschi62 · Beitrag von **froeschi62** » 03 Mär 2005, 23:38

Hallo Backslash,

ich habe es jetzt mit dem LC1821 hinbekommen. Jetzt nimmt er auch die Defaultpolicy. Ich habe bei Diensten TCP, UDP den Port 500 rausgenommen und dafür eine Regel mit dem Dienst "Virtuelles privates Netzwerk VPN/IPSEC" erstellt. Ich habe einfach nicht aufgegeben, Dich Löcher in den Bauch zu fragen, Bücher und Dokumentationen zu wälzen und bin nun endlich belohnt worden.

)

Gruß
Dietmar

froeschi62 · Beitrag von **froeschi62** » 03 Mär 2005, 23:41

Hier der Connect