VPN mit drei
Otto Adam
Ich habe hier in meinem MacBookPro (OS-X 10.6.2) ein Huawei E800 von drei.
Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
Mit dem OS-X-eigenen VPN-tool kann ich wunderbar eine VPN-Verbindung
aufbauen, so wird das wenigstens angezeigt. Aber ich kann sie nicht
nutzen (nix was ich ausprobiert habe, geht).
Schliesse ich das iPhone vom Kollegen an (T-mobile) klappt bei ansonsten
gleichen VPN-Einstellungen alles wunderbar.
Woran kann das liegen? Geht VPN ueber drei grundsaetzlich nicht, muss da
was freigeschalten werden?
Und warum heisst drei "drei" - damit man keine gescheiten Ergebnisse
bekommt, bei der Web-Suche? *grmbl* ;-)
mfg
otto
Puerstinger Josef
> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
Welches VPN-Protokoll verwendest Du?
Josef
Otto Adam
> Otto Adam wrote:
>> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
> Welches VPN-Protokoll verwendest Du?
Cisco IPSec
mfg
otto
Puerstinger Josef
> Puerstinger Josef schrieb:
>>> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
>> Welches VPN-Protokoll verwendest Du?
>
> Cisco IPSec
Das kenne ich leider nicht. Aber: Hast Du schon einmal probiert, bei "3"
das "Open Internet" zu aktivieren (Kundenportal -> Serviceeinstellungen
-> "Open Internet aktivieren")?
MfG,
Josef
Otto Adam
Hm.
Das habe ich jetzt aufgedreht und werde heute mal probieren, wie es mit
dem VPN jetzt ausschaut.
Wie ernst sind die Warnhinweise [1], die zum open Internet gehoeren, zu
nehmen, kann mir da was passieren, oder ist das ungefaehr so wie wenn
ich via eines traditionellen Modems ins Internet gehe?
mfg
otto
[1] "Wenn Sie Open Internet aktivieren, kann man Ihr Modem/Handy auch
via Internet erreichen und z. B. Server betreiben oder
Fernwartungen durchfï¿œhren.
Dadurch sind Sie Attacken aus dem Internet direkt ausgesetzt und
vor Scans, DoS Attacken und Hackerversuchen etc. nicht mehr
geschï¿œtzt.
Die dabei anfallenden Datenmengen werden Ihnen verrechnet bzw. von
Ihren inkludierten Mengen abgezogen, selbst wenn diese
Transaktionen nicht von Ihnen veranlasst wurden."
Otto Adam
> Puerstinger Josef schrieb:
>> -> "Open Internet aktivieren")?
> Das habe ich jetzt aufgedreht und werde heute mal probieren, wie es mit
> dem VPN jetzt ausschaut.
Jetzt habe ich es ausprobiert - leider kein Erfolg, ich kann weiterhin
eine Verbindung aufbauen aber nicht nutzen.
Oder dauert das eine Weile vom Aktivieren auf der web-site bis es
tatsaechlich aktiv ist?
mfg
otto
Daniel AJ Sokolov
> Oder dauert das eine Weile vom Aktivieren auf der web-site bis es
> tatsaechlich aktiv ist?
Ja, das dauert leider. Probier's morgen nochmal.
MfG
Daniel AJ
--
My e-mail-address is sokolov [at] gmx dot net
Martin Washietl
> Puerstinger Josef schrieb:
>> Otto Adam wrote:
>>> Puerstinger Josef schrieb:
>>>>> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
>>>> Welches VPN-Protokoll verwendest Du?
>>> Cisco IPSec
>>
>> Das kenne ich leider nicht. Aber: Hast Du schon einmal probiert, bei "3"
>> das "Open Internet" zu aktivieren (Kundenportal -> Serviceeinstellungen
>> -> "Open Internet aktivieren")?
>
> Hm.
> Das habe ich jetzt aufgedreht und werde heute mal probieren, wie es mit
> dem VPN jetzt ausschaut.
Dein Problem hat mit Open Internet nichts zu tun.
Open Internet ermï¿œglicht nur die Erreichbarkeit vom Internet aus.
Poste mal deine Einstellungen vom Client.
Bei mir funktionierts jedenfalls in dieser Kombination.
>
> Wie ernst sind die Warnhinweise [1], die zum open Internet gehoeren, zu
> nehmen, kann mir da was passieren, oder ist das ungefaehr so wie wenn
> ich via eines traditionellen Modems ins Internet gehe?
Dein PC ist dann aus dem Internet erreichbar, d.h. dass du vor Portscans
usw. nicht mehr geschï¿œtzt bist.
Selbst wenn du eine Firewall installiert hast, werden dir die
Datenmengen trotzdem verrechnet bzw. abgezogen.
Johann Mayerwieser
>Hallo!
>
>Ich habe hier in meinem MacBookPro (OS-X 10.6.2) ein Huawei E800 von drei.
>
>Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
Hast du schon einmal Teamviewer ( http://www.teamviewer.com )
angeschaut? Da gibts unter "Vorg�ngerversionen - 4.x" auch solche f�r
einige Mac-BSe.
Ich verwende das unter Windows und bin recht, besser: sehr angetan.
Liebe Gr��e
Hannes
--
F�r pers�nliche Nachricht Reply-Adresse verwenden und "usenet" im Betreff einf�gen.
Otto Adam
> Otto Adam wrote:
>> Ich habe hier in meinem MacBookPro (OS-X 10.6.2) ein Huawei E800 von drei.
>> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
> Hast du schon einmal Teamviewer ( http://www.teamviewer.com )
> angeschaut? Da gibts unter "Vorgï¿œngerversionen - 4.x" auch solche fï¿œr
> einige Mac-BSe.
Das mag nett sein. Ist aber nicht meine Firma, in die ich mich verbinde
- ich muss wohl das nehmen was da angeboten wird.
Und ja, angesehen habe ich es einmal fuer privaten Einsatz. Da aber
meine Mutter derzeit nix braucht, servicemaessig, habe ich es erst mal
nicht weiter verfolgt.
mfg
otto
Otto Adam
>>>>>> Ich will/soll eine VPN-Verbindung in die Firma aufbauen.
> Dein Problem hat mit Open Internet nichts zu tun.
Aha.
> Open Internet ermï¿œglicht nur die Erreichbarkeit vom Internet aus.
Dachte ich mir. Ich weiss aber nicht, ob die noetig ist, fuer so ein VPN.
> Poste mal deine Einstellungen vom Client.
Welche?
Ausser der, dass ich Cisco IPSec eingestellt habe ist da nicht viel was
ich hier verbreiten werde duerfen/wollen.
Mit den selben Einstellungen die ich habe funktioniert es hier von zu
Hause aus ï¿œber iNode und ueber das Tetheringende iPhone (T-mobile) eines
Kollegen.
> Bei mir funktionierts jedenfalls in dieser Kombination.
MacBookPro, Huawei E800, drei, Cisco IPSec
Echt?
>> Wie ernst sind die Warnhinweise [1], die zum open Internet gehoeren,
>> zu nehmen, kann mir da was passieren, oder ist das ungefaehr so wie
>> wenn ich via eines traditionellen Modems ins Internet gehe?
> Dein PC ist dann aus dem Internet erreichbar, d.h. dass du vor Portscans
> usw. nicht mehr geschï¿œtzt bist.
> Selbst wenn du eine Firewall installiert hast, werden dir die
> Datenmengen trotzdem verrechnet bzw. abgezogen.
OK, das ist mir erst mal egal.
mfg
otto
christian mock
>> Poste mal deine Einstellungen vom Client.
>
> Welche?
> Ausser der, dass ich Cisco IPSec eingestellt habe ist da nicht viel was
> ich hier verbreiten werde duerfen/wollen.
sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
oder was �hnliches einschalten k�nnen?
das klassische problem mit IPSEC-VPNs ist, da� der verbindungsaufbau
hinhaut, weil er �ber port 500/UDP passiert, der datentransport aber
�ber ESP, was ein eigenes protokoll *neben* TCP und UDP ist, und
diverse firewalls kommen da ins husten...
wenn an deiner gegenstelle ein kompetenter admin sitzt, soll der
einfach einen verbindungsaufbau mitsniffen, dann sieht man eh, ob das
das problem ist...
cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** s...@foo.woas.net
Ich kenne auch ein Klo, wo "Austria Email" draufsteht. Das ist
wahrscheinlich eine Art Rohrpost. -- Robert Bihlmeyer in at.sonstiges
Otto Adam
> Otto Adam <geht.wird.aber...@gmx.at> wrote:
> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
> oder was ï¿œhnliches einschalten kï¿œnnen?
Nein, sowas hat es hier (os-x) nicht.
> das klassische problem mit IPSEC-VPNs ist, daᅵ der verbindungsaufbau
> hinhaut, weil er ï¿œber port 500/UDP passiert, der datentransport aber
> ï¿œber ESP, was ein eigenes protokoll *neben* TCP und UDP ist, und
> diverse firewalls kommen da ins husten...
Genau so "fuehlt" es sich an.
> wenn an deiner gegenstelle ein kompetenter admin sitzt, soll der
> einfach einen verbindungsaufbau mitsniffen, dann sieht man eh, ob das
> das problem ist...
Selbstverstaendlich ist unser Admin kompetent [1]. Allerdings hat er
wohl nicht die Zeit (oder die Lust?) sich um so ein Problem zu kuemmern,
wo es doch bei allen anderen funktioniert.
mfg
otto
[1] Wo moeglich liest er ja hier mit ;-)
David Hopfmueller
> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
> oder was �hnliches einschalten k�nnen?
W�re das ein Problem, k�me gar kein Verbindungsaufbau zustande, weil IKE
nicht t�te -- tut aber (lt. OP).
--
David Hopfmueller // mail da...@hopfmueller.at
Austria/Europe // pgp 0x4a510e9daffa984c
David Hopfmueller
> christian mock schrieb:
>> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
>> oder was ï¿œhnliches einschalten kï¿œnnen?
> Nein, sowas hat es hier (os-x) nicht.
Es gibt mindestens noch zwei Alternativen zur Mac-OS-Lï¿œsung (wobei ich
nicht mehr weiᅵ, ob die nicht eh auch auf Bordmitteln aufsetzen): VPN
Tracker [0] (kostet, free trial) und IPSecuritas (Freeware) [1]. Damit
solltest Du dann auch...
>> wenn an deiner gegenstelle ein kompetenter admin sitzt, soll der
>> einfach einen verbindungsaufbau mitsniffen, dann sieht man eh, ob das
>> das problem ist...
> Selbstverstaendlich ist unser Admin kompetent [1]. Allerdings hat er
> wohl nicht die Zeit (oder die Lust?) sich um so ein Problem zu kuemmern,
> wo es doch bei allen anderen funktioniert.
... zu aussagekrï¿œftigen Logs kommen, um dem Problem selbst/hiergroups
auf den Grund gehen zu kï¿œnnen.
[0] <http://www.equinux.com/us/products/vpntracker/index.html>
[1] <http://www.lobotomo.com/products/IPSecuritas/>
Christof Meerwald
> christian mock schrieb:
>> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
>> oder was �hnliches einschalten k�nnen?
> W�re das ein Problem, k�me gar kein Verbindungsaufbau zustande, weil IKE
> nicht t�te -- tut aber (lt. OP).
Aber IKE verwendet UDP auf Port 500, waehrend die Daten dann via IP
Protokoll 50 transportiert werden - dh moeglicherweise kommen da nur die UDP
Pakete durch, waehrend ESP (IP Protokoll 50) dann irgendwo haengenbleibt.
Christof
--
http://cmeerw.org sip:cmeerw at cmeerw.org
mailto:cmeerw at cmeerw.org xmpp:cmeerw at cmeerw.org
Martin Washietl
>
>> Open Internet ermï¿œglicht nur die Erreichbarkeit vom Internet aus.
>
> Dachte ich mir. Ich weiss aber nicht, ob die noetig ist, fuer so ein VPN.
Nein, ist nicht nï¿œtig.
Du willst ja eine VPN Verbindung von deinem PC zum Firmennetz aufbauen
und nicht umgekehrt.
>
>> Poste mal deine Einstellungen vom Client.
>
> Welche?
> Ausser der, dass ich Cisco IPSec eingestellt habe ist da nicht viel was
> ich hier verbreiten werde duerfen/wollen.
Probier mal bei den Transportoptionen folgende Einstellungen:
[x] Enable Transparent Tunneling
[x] IPSec over UDP (NAT/PAT)
Und ev. mal testweise die Firewall auf deinem Mac deaktivieren, falls du
sie verwendest.
>> Bei mir funktionierts jedenfalls in dieser Kombination.
>
> MacBookPro, Huawei E800, drei, Cisco IPSec
> Echt?
Nein, Windows XP PC, 3 Handy, Cisco IPSec.
Mac hab ich grad keinen zur Hand.
Ist aber im Endeffekt egal, relevant sind die Einstellungen des VPN Clients.
Otto Adam
> Otto Adam schrieb:
>>> Open Internet ermï¿œglicht nur die Erreichbarkeit vom Internet aus.
>> Dachte ich mir. Ich weiss aber nicht, ob die noetig ist, fuer so ein VPN.
> Nein, ist nicht nï¿œtig.
OK.
> Du willst ja eine VPN Verbindung von deinem PC zum Firmennetz aufbauen
> und nicht umgekehrt.
So kann man es sehen.
>>> Poste mal deine Einstellungen vom Client.
>> Welche?
>> Ausser der, dass ich Cisco IPSec eingestellt habe ist da nicht viel
>> was ich hier verbreiten werde duerfen/wollen.
> Probier mal bei den Transportoptionen folgende Einstellungen:
> [x] Enable Transparent Tunneling
> [x] IPSec over UDP (NAT/PAT)
Diese einstellungen bietet mir der OS-eigene Client nicht.
> Und ev. mal testweise die Firewall auf deinem Mac deaktivieren, falls du
> sie verwendest.
War aus und ist aus.
>>> Bei mir funktionierts jedenfalls in dieser Kombination.
>> MacBookPro, Huawei E800, drei, Cisco IPSec
>> Echt?
> Nein, Windows XP PC, 3 Handy, Cisco IPSec.
OK. Also grundsaetzlich geht es ueber 3.
> Mac hab ich grad keinen zur Hand.
Ich schon.
> Ist aber im Endeffekt egal, relevant sind die Einstellungen des VPN
> Clients.
So er sie denn anbietet.
mfg
otto
Martin Washietl
>
> Diese einstellungen bietet mir der OS-eigene Client nicht.
Ich dachte, du verwendest den Cisco Client (wie z.b.in
http://www.uni-bielefeld.de/hrz/vpn/macosx_old.html beschrieben).
Puerstinger Josef
> Otto Adam schrieb:
>
>>
>>> Open Internet ermï¿œglicht nur die Erreichbarkeit vom Internet aus.
>>
>> Dachte ich mir. Ich weiss aber nicht, ob die noetig ist, fuer so ein VPN.
>
> Nein, ist nicht nï¿œtig.
> Du willst ja eine VPN Verbindung von deinem PC zum Firmennetz aufbauen
> und nicht umgekehrt.
Bei bestimmten VPN-Protokollen (ich denke jetzt konkret an PPTP) machen
durchaus die Daten von der Gegenstelle Probleme (diese kommen mit GRE
(IP Protokoll 47) an). Da ich nicht wusste, wie das Cisco VPN arbeitet
und ich bei PPTP schon einschlaegige Erfahrungen machen durfte, kam mein
Tipp, es mit Open Internet zu versuchen (damit alle Daten von der
Gegenstelle am Rechner ankommen und nicht irgendwo haengen bleiben).
Otto Adam
> Otto Adam schrieb:
Nein, ich verwende den, den ds OS (10.6.2) anbietet.
Hier im Bureau hat es fuenf Macs, und nur bei meinem will das nicht
klappen. Nur ich habe 3.
mfg
otto
christian mock
> christian mock schrieb:
>
>> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
>
> Wäre das ein Problem, käme gar kein Verbindungsaufbau zustande, weil IKE
> nicht täte -- tut aber (lt. OP).
nope. jedes deppate NAT-kisterl kann halbwegs kompetent mit UDP umgehen,
daher geht IKE üblicherweise.
aber ESP zu NATen, vor allem, wenn da mehrere clients dahinterhängen,
ist häufig nicht implementiert...
cm.
--
Actually, I found New Zealanders to be the most akin to Canadians.
They also feel the looming presense of a next door neighbour country
full of loud, excessively happy and somewhat simple people, and are a
little intimidated by it. -- Paul Tomblin
David Hopfmueller
> David Hopfmueller <da...@hopfmueller.at> wrote:
>> christian mock schrieb:
>>> sollt man da nicht irgendwo "NAT traversal" oder "UDP encapsulation"
>>> oder was ähnliches einschalten können?
>> Wäre das ein Problem, käme gar kein Verbindungsaufbau zustande, weil IKE
>> nicht täte -- tut aber (lt. OP).
> nope. jedes deppate NAT-kisterl kann halbwegs kompetent mit UDP umgehen,
> daher geht IKE üblicherweise.
Hast Recht, ich hatte die Prüfsummen mit den Prüfsummen der IP-Adressen
fälschlicherweise IKE statt dem transport mode zugeordnet.
Probier doch mal UDP-encapsulation, Otto! Die beiden alternativen Tools,
die ich Dir vorgeschlagen hab, können das jedenfalls.
> aber ESP zu NATen, vor allem, wenn da mehrere clients dahinterhängen,
> ist häufig nicht implementiert...
Es würde mich trotzdem wundern, wenn die Software einen erfolgreichen
Tunnel-Aufbau meldete, wenn tatsächlich nur der IKE geklappt hat. Tut
sie aber offenbar.
christian mock
>> nope. jedes deppate NAT-kisterl kann halbwegs kompetent mit UDP umgehen,
>> daher geht IKE 锟絙licherweise.
>
> Hast Recht, ich hatte die Pr锟絝summen mit den Pr锟絝summen der IP-Adressen
> f锟絣schlicherweise IKE statt dem transport mode zugeordnet.
pr锟絝summen? h锟�
>> aber ESP zu NATen, vor allem, wenn da mehrere clients dahinterh锟絥gen,
>> ist h锟絬fig nicht implementiert...
>
> Es w锟絩de mich trotzdem wundern, wenn die Software einen erfolgreichen
> Tunnel-Aufbau meldete, wenn tats锟絚hlich nur der IKE geklappt hat. Tut
> sie aber offenbar.
IKE *ist* der tunnelaufbau; 锟絙er ESP gehen dann ja nur die nutzdaten,
und ob die erfolgreich transportiert werden, kannst nur durch
versuchen feststellen. daf锟絩 gibt's AFAIK aber keinen standard,
checkpoint hat zb. ein propriet锟絩es tunnel-test-protokoll, wo dann die
firewall auf der gegenseite UDP-pakete beantwortet.
IPSEC sucks,
cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
** http://www.vibe.at/ ** http://quintessenz.org/ ** s...@foo.woas.net
Magie kapot. Jij nu weg. En blijf weg. -- Bram
David Hopfmueller
> David Hopfmueller <da...@hopfmueller.at> wrote:
>>> nope. jedes deppate NAT-kisterl kann halbwegs kompetent mit UDP umgehen,
>>> daher geht IKE üblicherweise.
>> Hast Recht, ich hatte die Prüfsummen mit den Prüfsummen der IP-Adressen
>> fälschlicherweise IKE statt dem transport mode zugeordnet.
> prüfsummen? hä?
Einmal zu viel - "den Problemen mit den Prüfsummen" sollte es heißen,
Stichwort AH ohne ESP.
> über ESP gehen dann ja nur die nutzdaten,
> und ob die erfolgreich transportiert werden, kannst nur durch
> versuchen feststellen. dafür gibt's AFAIK aber keinen standard,
Ok, dann lässt sich des OPs Problem wohl mit hoher Wahrscheinlichkeit
dem NATen der ESP-Pakete zuordnen.
Martin Washietl
Bei 3 funktioniert die IPSEC Verbindung aus div. Grï¿œnden nur ï¿œber UDP.
Dein Mac OS kanns und machts anscheinend nur ï¿œber TCP, siehe hier:
http://www.macbug.de/2009/09/03/os-x-106-eingebauter-cisco-vpn-client-kann-nur-tcp-kein-udp/
Lad dir den VPN Client von Cisco runter oder nutz einen, der auch UDP kann.
Otto Adam
> Ok, dann lï¿œsst sich des OPs Problem wohl mit hoher Wahrscheinlichkeit
> dem NATen der ESP-Pakete zuordnen.
Aehm. Und was heisst das jetzt fuer den OP (=mich)? Was kann/soll/muss
ich tun, um eine VPN zustande zu bringen?
Auf jeden Fall werde ich am WE versuchen, ob mein dann vielleicht schon
greifbares tetheringkoennendes Mobilfon mit bob das VPN-Problem besser
loest, als die 3-Datenkarte.
mfg
otto
Otto Adam
Ah. Das ist mal eine klare Ansage.
Ich werde erst noch versuchen, ob es mit bob geht, sobald die
entsprechende Hardware fuer mich greifbar ist.
Danke!
mfg
otto
David Hopfmueller
> David Hopfmueller schrieb:
>> Ok, dann lässt sich des OPs Problem wohl mit hoher Wahrscheinlichkeit
>> dem NATen der ESP-Pakete zuordnen.
> Aehm. Und was heisst das jetzt fuer den OP (=mich)? Was kann/soll/muss
> ich tun, um eine VPN zustande zu bringen?
Message-ID: <hf6kfh$1cdj$1...@geiz-ist-geil.priv.at>
Message-ID: <hf97r8$2dpr$1...@geiz-ist-geil.priv.at>
Otto Adam
> Otto Adam schrieb am 2009-12-04 10:42 Uhr:
>> David Hopfmueller schrieb:
>
>>> dem NATen der ESP-Pakete zuordnen.
>> Aehm. Und was heisst das jetzt fuer den OP (=mich)? Was kann/soll/muss
>> ich tun, um eine VPN zustande zu bringen?
>
> Message-ID: <hf6kfh$1cdj$1...@geiz-ist-geil.priv.at>
> Message-ID: <hf97r8$2dpr$1...@geiz-ist-geil.priv.at>
Ok. Wenn ich mit meinem bob auch keinen Erfolg habe, werde ich das mal
probieren. Lieber wechsle ich den Provider als das tool :-)
mfg
otto