derzeit ist ein Problem, dass ein VPN Client fᅵr Windows 64 bit
Systeme vom Hersteller Cisco nicht verfᅵgbar ist und wohl auch
nicht sein wird.
Wir wurden auf
hingewiesen, die einen Client anbieten, der diese
Problematik lᅵsen kᅵnnte.
Wichtig ist, dass man den aktuellen Release Kandidat benutzt
(2.1.5, aus DEVELOPMENT 2.1.x).
Nach Installation die .PCF Konfiguration des Cisco Clienten
importieren und loslegen. Diese findet man im Order
Profiles des Installationsverzeichnis des Cisco-Clienten oder
hier:
http://www.rz.rwth-aachen.de/global/show_document.asp?id=aaaaaaaaaabtxaz
Status ist derzeit: not supported, Feedback wird hier erbeten.
Von mir nur unter Windows Vista 32bit und ansatzweise unter
Windows XP 32 bit getestet.
Gruss, Jens Hektor
Folgender Client sollte auch funktionieren (jedenfalls tut er das mit
unserem Firmen-VPN, dort ist auch ein Cisco-Concentrator verbaut):
Soweit ich das aus dem Augenwinkel gesehen habe, kostet der Geld.
Letzteres kann ich mir kaum vorstellen ... und ersteres wᅵre eher nen
Fall fᅵrs Kartellamt ...
Hab mit der nicht-aktuellsten Version vom shrew (2.1.4) schon mal
versucht, die Verbindung wurde aufgebaut, aber keine Pakete verschickt.
Das hatte mich aber nicht weiter interessiert, weil ich den shrew fᅵr
nen lancom brauchte, und unter Linux/64 ist das auch kein Problem, 2
vpn-clients semi-parallel zu betreiben.
Gruᅵ,
Sebastian
> Oder fehlt Cisco einfach nur das Interesse daran?
ja.
Die Strategeie geht Richtung Web- bzw. SSL-VPN.
Korrekt. Habe ich irgendwo behauptet, dass er kostenlos sei? Oder war
das Voraussetzung in diesem Thread hier?
Erscheint mir persᅵnlich recht sinnfrei. Zum Glᅵck hat man an der RWTH
ja die Mᅵglichkeit einen OpenVPN-basierenden Server fᅵr den VPN Zugang
zu "testen". Ich "teste" seit er existiert ausschlieᅵlich diesen Server,
wenn ich das VPN "testen" muss.
Es ist wesentlich problemfreier im Umgang mit Firewalls,
da quasi HTTPS Traffic. Wer mal in China oder Frankreich war,
weiss das zu wᅵrdigen.
> Zum Glᅵck hat man an der RWTH
> ja die Mᅵglichkeit einen OpenVPN-basierenden Server fᅵr den VPN Zugang
> zu "testen". Ich "teste" seit er existiert ausschlieᅵlich diesen Server,
> wenn ich das VPN "testen" muss.
Von uns wird das nur als Notlᅵsung angesehen, und wird nach einem
Ausrollen der SSL-VPN Lᅵsung vermutlich auch wieder eingestellt.
Guter Punkt.
>> Zum Glᅵck hat man an der RWTH
>> ja die Mᅵglichkeit einen OpenVPN-basierenden Server fᅵr den VPN Zugang
>> zu "testen". Ich "teste" seit er existiert ausschlieᅵlich diesen Server,
>> wenn ich das VPN "testen" muss.
>
> Von uns wird das nur als Notlᅵsung angesehen, und wird nach einem
> Ausrollen der SSL-VPN Lᅵsung vermutlich auch wieder eingestellt.
Das wᅵre sehr schade, da diese Lᅵsung ᅵuᅵerst zuverlᅵssig ist.
Hab noch eine Frage zu der OpenVPN lᅵsung.
Connecten kann ich, aber irgendwie scheint das ganze nicht zu
funktionieren (Win7 x64). Hab das so installiert wie es auf der Seite
vom RZ beschrieben ist... ᅵber den installer.
Hier mal mein log:
Thu Nov 05 16:37:41 2009 RESOLVE: Cannot resolve host address: delay:
[NO_DATA] The requested name is valid but does not have an IP address.
Thu Nov 05 16:37:41 2009 OpenVPN ROUTE: failed to parse/resolve route
for host/network: delay
...
Thu Nov 05 16:37:46 2009 ERROR: Windows route add command failed:
returned error code 1
Thu Nov 05 16:37:46 2009 ERROR: Windows route add command failed:
returned error code 1
Thu Nov 05 16:37:46 2009 ERROR: Windows route add command failed:
returned error code 1
Thu Nov 05 16:37:46 2009 Initialization Sequence Completed
Was mache ich falsch???
Thx schon mal...
Die OpenVPN GUI (und damit OpenVPN) lᅵuft nicht mit
Administrator-Rechten und du kannst somit keine Routen setzen.
Ok danke, jetzt gehts. Hab ich wohl verplant. Dachte, wenn ich als User
mit Admin-Rechten eingeloggt bin, gehts auch ;)
Thx
Schade, dass hier nur Sekundᅵrdiskussionen gefᅵhrt werden.
Hallo zusammen,
ich habe grade endlich die Zeit gefunden das ganze mal unter Win 7 64
Bit zu testen, und das lᅵuft mit FullTunnel und unserem Lehrstuhl Tunnel
beides super. Sollte ich in der Nutzung noch Probleme feststellen melde
ich mir hier nochmal
-andre
kurzes Feedback, nach ein paar Tagen Einsatz:
keine Probleme (Verbindung immer schᅵn gehalten)
ich musste mich ein bisschen durch die Einstellungen kᅵmpfen, bis das
Programm vom gefᅵhlten Benutzerkomfort da angekommen war, wo ich es
haben wollte, aber es war mᅵglich (dinge wie nach Verbinden nur noch
Symbol in der Taskleiste...)
-andre
Moin!
Ich habe leider das gleiche Ergebnis wie auch schon vor einiger Zeit mit
dem shrew - Verbindung wird aufgebaut, Pakete gehen nicht durch.
Schade.
2.1.5-rc-4
> cmake -DCMAKE_INSTALL_PREFIX=/usr -DQTGUI=YES -DETCDIR=/etc -DNATT=YES
> iked
ii : created ike socket 0.0.0.0:500
ii : created natt socket 0.0.0.0:4500
## : IKE Daemon, ver 2.1.0
## : Copyright 2008 Shrew Soft Inc.
## : This product linked OpenSSL 0.9.8h 28 May 2008
Interessante Versionsnummer.
Import Extern.pcf.
Username+Pwd. (Xx###### ohne Zusatz)
Connect.
config loaded for site 'Extern'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled
[Zeit vergeht, aber keine Pakete, kein Ping]
session terminated by gateway
tunnel disabled
detached from key daemon ...
Ab dem zweiten Mal kommt der Disconnect dann sofort ...
log_level debug; in /etc/iked.conf
Auszug:
opensuse 11.1 x64, shrew 2.1.5-rc4
Im Log fᅵllt mir nur auf, dass die Verbindung erfolgreich aufgebaut wird,
dann ab und an config-pakete kommen, mit denen der Clietn nichts anfangen kann,
und dann irgendwann ein peer delete vom server ... vermutlich, weil kein keep-alive oder so.
Gleiches Ergebnis, wenn ich direkt 134.130.5.231 nutze.
Ich kann auch gerne das komplette log zur Verfᅵgung stellen, aber ungerne in der Newsgroup, da ich nicht weiᅵ welche "spi"-Informationen diskret behandelt werden sollten.
Gruᅵ,
Sebastian
ii : matched isakmp proposal #1 transform #13
ii : - transform = ike
ii : - cipher type = 3des
ii : - key length = default
ii : - hash type = md5
ii : - dh group = modp-1024
ii : - auth type = xauth-initiator-psk
ii : - life seconds = 86400
ii : - life kbytes = 0
ii : nat discovery - local address is translated
ii : switching to src nat-t udp port 4500
ii : switching to dst nat-t udp port 4500
[bin hinter dsl-router, 100MBit Ethernet, 1&1, lokale IP 192.168.1.3, router 192.168.1.1]
ii : UNITY-LOAD-BALANCE requested migration to 134.130.5.231
DB : new phase1 ( ISAKMP initiator )
DB : exchange type is aggressive
ii : sending peer DELETE message
ii : - 192.168.1.3:4500 -> 134.130.5.230:4500
[OK, erneuter Aufbau phase1 zu .5.231]
ii : sending peer INITIAL-CONTACT notification
ii : - 192.168.1.3:4500 -> 134.130.5.231:4500
ii : received basic xauth request - Enter Username and Password.
ii : - standard xauth username
ii : - standard xauth password
ii : sending xauth response for sb######
ii : received xauth result -
ii : user sb836940 authentication succeeded
ii : sending xauth acknowledge
ii : sending config pull request
ii : received config pull response
ii : - IP4 Address = 134.130.240.78
ii : - IP4 Netmask = 255.255.248.0
ii : - IP4 DNS Server = 134.130.4.1
ii : - IP4 DNS Server = 134.130.5.1
ii : - Save Password = 1
ii : - IP4 Split Network Include = ANY:134.130.0.0/16:*
ii : - IP4 Split Network Include = ANY:137.226.0.0/16:*
ii : - IP4 Split Network Include = ANY:134.61.0.0/16:*
ii : - DNS Suffix = mops.rwth-aachen.de
ii : - PFS Group = 0
ii : creating IPSEC INBOUND policy ANY:134.130.0.0/16:* -> ANY:134.130.240.78:*
ii : creating IPSEC OUTBOUND policy ANY:134.130.240.78:* -> ANY:134.130.0.0/16:*
-> : send NAT-T:IKE packet 192.168.1.3:4500 -> 134.130.5.231:4500 ( 708 bytes )
<- : recv NAT-T:IKE packet 134.130.5.231:4500 -> 192.168.1.3:4500 ( 172 bytes )
DB : phase1 found
ii : processing config packet ( 172 bytes )
DB : config found
!! : config packet ignored, ( config already mature )
DB : phase1 found
ii : sending peer DPDV1-R-U-THERE notification
ii : - 192.168.1.3:4500 -> 134.130.5.231:4500
ii : - isakmp spi = 4dcae55925e103bb:1748e5470d24b609
ii : - data size 4
-> : send NAT-T:IKE packet 192.168.1.3:4500 -> 134.130.5.231:4500 ( 116 bytes )
<- : recv NAT-T:IKE packet 134.130.5.231:4500 -> 192.168.1.3:4500 ( 172 bytes )
DB : phase1 found
ii : processing config packet ( 172 bytes )
DB : config found
!! : config packet ignored, ( config already mature )
<- : recv NAT-T:IKE packet 134.130.5.231:4500 -> 192.168.1.3:4500 ( 172 bytes )
ii : received peer DELETE message
ii : - 134.130.5.231:4500 -> 192.168.1.3:4500
Firewall?
> Schade.
[...]
> Auszug:
> opensuse 11.1 x64, shrew 2.1.5-rc4
Hm. Da gibt es aber doch "vpnc", oder?
> Firewall?
Nein.
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Wᅵhre auch unwahrscheinlich, weil shrew mit lancom funktioniert.
>
>> Schade.
>
> [...]
>
>> Auszug:
>> opensuse 11.1 x64, shrew 2.1.5-rc4
>
> Hm. Da gibt es aber doch "vpnc", oder?
Klar, das tuts auch ;)
Brauche shrew fᅵr was anderes, dachte, ich kᅵnnte die Anzahl der VPN-Clients
reduzieren ... unter linux nicht soo wichtig wie unter windoof ;)
Na, egal, ihr wolltet Rᅵckmeldung haben - mal schauen, wann ich mein Win7x64
mal wieder boote und das da teste. Nᅵchstes Jahr, vielleicht.
Gruᅵ und Dank,
Sebastian