Cisco-Client ersetzen

Anmeldungsdatum: 16.03.2005 Beiträge: 57

Hallo,

ich habe einen Lancom DSL/I-1611. Einer meiner Kunden hat mir einen VPN-Zugang bereitgestellt. Diesen kann ich mittels Cisco-VPN-Client auch anwählen. Ich würde aber gerne eine Verbindung über den Router direkt aufbauen. Folgende angaben habe ich:

- Gateway-Adresse
- Name einer Group Authentication
- Passwort dazu (sozusagen der Key)
- Benutzername beim Connecten
- Passwort dazu

Geht sowas ? Wie kann ich das einrichten ? Danke schon mal.

Grüße, S?
--------------------------------------

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

Weil es so ähnlich ist noch ne Frage hierzu.
Kann ich am LC den VPN Server so einrichten, dass ich mich mit dem Cisco Client und den oben angegebenen Infomationen einwählen kann?
Wenn ja, gibt es dazu eine kleine Anleitung?
Client Version: 4.04b
Danke Michael

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi S?

Zitat:

- Gateway-Adresse
- Name einer Group Authentication
- Passwort dazu (sozusagen der Key)
- Benutzername beim Connecten
- Passwort dazu

Geht sowas ? Wie kann ich das einrichten ? Danke schon mal.

nein, denn das VPN-Gateway verlangt XAUTH (=> Group-Authentication, Group-Key), was das LANCOM nicht beherrscht. Der Kunde muß dir einen "ganz normalen" VPN-Zugang (also ohne XAUTH) zur Verfügung stellen...

Gruß
Backslash

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi Michael008

Zitat:

Weil es so ähnlich ist noch ne Frage hierzu.
Kann ich am LC den VPN Server so einrichten, dass ich mich mit dem Cisco Client und den oben angegebenen Infomationen einwählen kann?
Wenn ja, gibt es dazu eine kleine Anleitung?
Client Version: 4.04b
Danke Michael

schalte am Cisco-Client XAUTH ab und du kannst dich in ein LANCOM einwählen. Dabei wird aus der Group-Authentication deine Identity und aus dem Group-Key der ganz normale pre shared key. Username und Anmeldepaßwort entfallen

Gruß
Backslash

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

@Backslash,
kannst du noch kurz sagen wo ich im Cisco Client das XAUTH abstelle?

Zitat:

Dabei wird aus der Group-Authentication deine Identity und aus dem Group-Key der ganz normale pre shared key. Username und Anmeldepaßwort entfallen

Im Client finde ich unter Goup-Authentication Name und Passwort.
Aber wo ich im Lancom die Identity und den Pre Shared Key finde weiß ich nicht.
Der VPN-Assistent für den Standard Client fragt nach:
Name (PPTP und VPN)
PPTP-Passwort
danach nach einem Preshared Key.

Leider habe ich auch nach vielen Versuchen keinen Erfolg gehabt.
Ich weiß auch nicht wirklich was ich hier mache, da ich mit VPN noch keine Erfahrung habe.

Ein trace # vpn gibt unbeeindruckt von meinen Eingaben im Client oder Angaben im Lancom (z.B. EMail Adress Authentifikation) folgendes aus.

[VPN-Status] 2005/03/20 00:49:42,610
VpnIpm: info; dropped message from peer unknown 192.168.2.103 port 500 due to notification type UNEQUAL_PAYLOAD_LENGTHS

Danke für die Hilfe
Michael

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi Michael008

Zitat:

kannst du noch kurz sagen wo ich im Cisco Client das XAUTH abstelle?

leider nein - den Cisco Client als solchen kenne ich nicht. Ich gehe nur davon aus, daß mit dem Client auch Verbindungen ohne XAUTH möglich sein müssen - zumal XAUTH in gewissem Maße auch eine Sicherheitslücke darstellt.

Zitat:

Im Client finde ich unter Goup-Authentication Name und Passwort.

Das sind die Einstellungen für XAUTH - das funktioniert mit dem LANCOM nicht!

Zitat:

Aber wo ich im Lancom die Identity und den Pre Shared Key finde weiß ich nicht.

Das findest Du im LANconfig unter VPN -> IKE-Param. -> IKE-Schlüssel

Zitat:

Der VPN-Assistent für den Standard Client fragt nach:
Name (PPTP und VPN)
PPTP-Passwort
danach nach einem Preshared Key.

Das sind die Parameter für den LANCOM Standard-Client. Dieser baut zunächst eine PPTP-Verbindung auf und darüber den VPN-Tunnel. PPTP wurde aus zwei Gründen gewählt: Zum einen ist es deutlich einfacher zu maskieren als IPSec und zum anderen kennt der Microsoft-Client den Agressive-Mode nicht und kann daher keine Verbindung aufbauen, wenn der Rechner eine dynamische Adresse hat...

Um mit dem Cisco-Client arbeiten zu können mußt du im Assistenten den "Advanced Client" auswählen. Damit richtet der Assistent eine Aggressive-Mode Verbindung ein, die als Verschlüsselungsalgorithmus AES oder 3DES und als Hashalgorithmus MD5 verwendet. Als Identity wird UFQDN (also deine Email-Adresse) verwendet.

Wenn du es im Cisco-Client entsprechend konfigurierst, sollte eine Verbindung kein Problem sein.

Zitat:

Ein trace # vpn gibt unbeeindruckt von meinen Eingaben im Client oder Angaben im Lancom (z.B. EMail Adress Authentifikation) folgendes aus.

[VPN-Status] 2005/03/20 00:49:42,610
VpnIpm: info; dropped message from peer unknown 192.168.2.103 port 500 due to notification type UNEQUAL_PAYLOAD_LENGTHS

Hier hilft maximal eine Trace-Möglichkeit am Client, denn dieser hat dem LANCOM eine Fehlermeldung geschickt ("UNEQUAL_PAYLOAD_LENGTHS"). Das könnte damit zu tun haben, daß der Client XAUTH machen will und das LANCOM das beim besten Willen nicht versteht...

Gruß
Backslash

Anmeldungsdatum: 21.03.2005 Beiträge: 1 Wohnort: Essen

Hallo,

wir haben in unserer Firma eine Cisco Firewall (Pix520) und einen Cisco Radius Server (Cisco ACS), der diese Extended Authentication macht.

Das heisst, daß jeder Gruppe bestimmte Zugriffe (IP-Adressen und Ports)
zugewiesen werden.

Dieses kann nur der "Kunde" ändern, kann aber nicht im Client eingestellt
werden.

Very Happy

mfg

joachim