1811 als (Windows) VPN Client

[m-jelinski]

Hallo,

ich komm mit dem Konfigurationsassistenten und den anpassen der davon erzeugten Einstellungen nicht mehr weiter...

Ich wähle mich mit meinem Laptop per Windows VPN Client in unser Firmennetzwerk ein (dafür steht ein Linux VPN Server zur Verfügung). Damit das ganze etwas konfortabler wird, möchte ich nicht immer unter Windows die Verbindung aufbauen, sondern den 1811 das erledigen lassen.

Die Einstellungen von Windows habe ich mal angehängt. Wichtig ist das er sich bei der Einwahl die IP zuweisen lässt und dann das lokale Netz dahinter maskiert (da man ja nur eine IP bekommt).

Könnte Ihr mir helfen welche Einstellungen ich im 1811 dafür vornehmen muss (am besten eine Schritt für Schritt Anleitung)?

Bin für jede Hilfe dankbar!

[backslash]

Hi m-jelinski

das ist eine ganz normale PPTP-Einwahl und hat mit IPSec eher weniger zu tun...

Du weisst, daß das mit einem LANCOM nur unverschlüsselt funktioniert und daher von deinem Admin wohl eher abgelehnt wird. Wenn da aber eh ein Linux steht, dann kannst du den Admin ja mal fragen, ob er dir nicht echten (d.h. IPSec basierten) VPN-Zugang einricht...

Gruß
Backslash

[m-jelinski]

Hi backslash, vielen Dank für Deine Antwort.

Ist denn die Verbindung von Windows zum Server verschlüsselt (jetzt mal PAP oder CHAP außen vor gelassen)? Wenn nicht, wäre das ja eine echte Sicherheitslücke

Ich probier heute Abend mal ob ich es hinbekomme eine PPTP Einwahl zum Server zu konfigurieren. Kannst Du mir vielleicht schon mal einen Tip geben?

Vielen Dank für Deine Hilfe

[backslash]

Hi m-jelinski

Ist denn die Verbindung von Windows zum Server verschlüsselt

da du das Häkchen bei "Datenverschlüsselung erforderlich" gesetzt hast: ja.

Ich probier heute Abend mal ob ich es hinbekomme eine PPTP Einwahl zum Server zu konfigurieren. Kannst Du mir vielleicht schon mal einen Tip geben?

wie gesagt: beim LANCOM ist PPTP immer unverschlüsselt. Daher sollte das auch scheitern (wenn der Admin das auf dem Server korrekt konfiguriert hat...)

Ansonsten ist eine PPTP-Einwahl recht einfach einzurichten:

- Du definierst unter Kommunikation -> Protokolle -> PPTP die Gegenstelle (IP-Adresse des Servers, Port, Haltezeit)
- danach trägst du unter Kommunikation -> Protokolle -> PPP die notwendigen Parameter für die neue Gegenstelle ein: Benutzername, Paßwort, IP-Routing aktivieren
- und als letzes kommt der Eintrag in der Routing-Tabelle: entferntes Netz (IP-ASdresse/Netzmaske), Routing-Tag (0), Routername (die PPTP-Gegenstelle), Maskierung (Ein)

fertig.

aber wie gesagt: da es unverschlüsselt ist, sollte der Server das ablehnen...

Gruß
Backslash

[m-jelinski]

Ich krieg das nicht hin (keine Verbindung möglich und im LanMonitor zeigt der 1811 auch leider nichts). Wird der 1811 das mit der nächsten Monsterfirmware können (immerhin können es schon 100 Euro D-Link Kisten)?

[Jirka]

Hallo m-jelinski,

wie Backslash schon schrieb, wenn der Server so konfiguriert ist, dass unverschlüsseltes PPTP nicht zugelassen ist, dann kannst Du das auch nicht hinbekommen.
Auch mit der nächsten Firmware wird sich das nicht ändern, da sind andere Sachen angekündigt worden.

Viele Grüße,
Jirka

[m-jelinski]

Schade das ein so hochpreis- und hochwertiger Router das (noch) nicht kann. Hiermit gleich als Verbesserungsvorschlag (bzw. Featurewunsch). Sonst muss ich den 1811 wirklich noch durch so nen Billigrouter ersetzen (das würde mir echt weh tun, da ich von dem 1811 sonst absolut überzeugt bin).

[eddia]

Hallo m-jelinski,

Schade das ein so hochpreis- und hochwertiger Router das (noch) nicht kann.

warum sollte man so einen Schrott wie PPTP unterstützen? Nur weil MS meint, IPSec nicht nativ zu unterstützen?

Gruß

Mario

[LoUiS]

Schade das ein so hochpreis- und hochwertiger Router das (noch) nicht kann. Hiermit gleich als Verbesserungsvorschlag (bzw. Featurewunsch). Sonst muss ich den 1811 wirklich noch durch so nen Billigrouter ersetzen (das würde mir echt weh tun, da ich von dem 1811 sonst absolut überzeugt bin).

Das wird nicht unterstuetzt werden, zumindest nicht in absehbarer Zeit!


Ciao
LoUiS

[m-jelinski]

warum sollte man so einen Schrott wie PPTP unterstützen? Nur weil MS meint, IPSec nicht nativ zu unterstützen?

Ja, genau weil MS das in dem meistverbreitesten Betriebssystem so drin hat und es daher auch in der Industrie weit verbreitet sein dürfte.

Und nicht jeder passt seinen Server an einen Router an, nur weil der Router eine Funktion nicht so kann wie der Server. Manchmal ist es eben so das wenn sich ein Netzkoppelelement nicht an vorhandene Gegebenheiten anpassen lässt er erst gar nicht in die engere Wahl kommt.

Und gerade bei einem Lancom Gerät (der 1811 ist ja ein absolutes Featuremonster) wäre es wünschbar das dieser Router sich an Windows anpassen lässt und nicht umgedreht.

Bei der Verbindung von Windows als Client zum 1811 als Gegenstelle ist es ja genau das selbe Elend (nur halt umgedreht - aber halt auch keine Verschlüsselung möglich).

Echt schade das ein 08/15 Standardrouter für 60 Euro teilweise mehr kann wie der 1811 (hätte ich echt nicht gedacht). Ich werde so wohl oder übel zum Umstieg gezwungen, da ich diese Funktion haben möchte.

[alf29]

Moin,

Das Thema 'PPTP-Verschlüsselung' kocht seit Jahren vor sich hin, ähnlich wie die Sache
mit den Volumenbudgets. Ich weiß, die Antwort wird hier keinem gefallen, aber die
Entwicklung bei LANCOM ist über beide Ohren mit anderen Sachen zu, mit denen sich aus
Sicht des Produktmanagements mehr Umsatz machen läßt, und deshalb wandert das
nie in der Prio weit genug nach oben. Daß das eine peinliche Lücke im Feature-Umfang
der LANCOMs ist, sieht selbst ein großer Teil der Entwicklung bei LANCOM so, aber
es sind eben andere, die entscheiden, was gemacht wird...und PPTP-Verschlüsselung
ist weder etwas, was irgendein Entwickler privat brauchen könnte noch was sich 'mal eben
so' nebenher machen läßt.

Ich werde so wohl oder übel zum Umstieg gezwungen, da ich diese Funktion haben möchte.

Dieses Forum wird vom Produktmanagement leider nicht gelesen. Wenn man in dieser
Hinsicht etwas erreichen will, muß man sich als Kunde entsprechende Support/Presales-
Anfragen mit Stückzahlen machen, sonst wird das nie etwas. Tut mir leid, aber darüber
in diesem Forum zu lamentieren, bringt nichts.

Gruß Alfred

[m-jelinski]

Hallo Alfred, das verstehe ich. Auch wenn es sehr schade ist. Na ja, ich werd mich noch mal direkt an Lancom wenden (auch wenn das wohl keine Erfolgschancen hat - ich möchte es aber wenigstens los werden, bevor ich bei mir zu Hause von einem 1811 auf einen 60 Euro D-Link Router umsteige, was mich schon ziemlich wurmt).

Vielen Dank für Deine Antwort!

[backslash]

Hi m-jelinski

Ja, genau weil MS das in dem meistverbreitesten Betriebssystem so drin hat und es daher auch in der Industrie weit verbreitet sein dürfte

gerade in der Industrie wird verschlüsseltes PPTP wohl eher nicht verberitet sein, da es genaugenommen eine massive Sicherheitslücke darstellt:

- es ist nicht sicher vor Man-In-The-Middle Attacken
- gerade die MS-Version läßt sich dabei auf eine 0-Bit Verschlüsselung herunterhandeln (und arbeitet damit unverschlüsselt obwohl Verschlüsselung gefordert ist)
- MS-PPTP vewendet RC4 als Verschlüsselungsalgorithmus - und der gilt spätestens seit der WEP-Schlappe als unsicher

PPTP-Verschlüsselung ist halt nur etwas für "Homeuser" und hat im proffessionellen Bereich nichts aber auch gar nichts zu suchen (wegen der mangelnden Sicherheit)

Im der Wirtschaft sollte immer IPSec mit 3DES oder beser noch AES verwendet werden

Und nicht jeder passt seinen Server an einen Router an, nur weil der Router eine Funktion nicht so kann wie der Server.

wieso: MS unterstützt doch sichere IPSec-Verbindungen. Das muß nur konfiguriert werden.

Code: Alles auswählen

Manchmal ist es eben so das wenn sich ein Netzkoppelelement nicht an vorhandene Gegebenheiten anpassen lässt er erst gar nicht in die engere Wahl kommt.

bei massiven Abstrichen an der Sicherheit, tss... Hier geht es doch wohl eher ums reine Sparen am falschen Platz - oder einen Admin, der keinen Bock hat...

Bei der Verbindung von Windows als Client zum 1811 als Gegenstelle ist es ja genau das selbe Elend (nur halt umgedreht - aber halt auch keine Verschlüsselung möglich).

schau mal hier im Forum in die FAQs - da steht, wie's sicher geht...

Gruß
Backslash

[alf29]

Moin,

- MS-PPTP vewendet RC4 als Verschlüsselungsalgorithmus - und der gilt spätestens seit der WEP-Schlappe als unsicher

RC4 ist nicht per se unsicher, es ist die Art und Weise, wie es bei WEP verwendet wird
(nämlich mit zu kurzen IVs, was zur 'RC4-Todsünde' der Wiederverwendung eines
Schlüssels führt). Auf einer SSL-Verbindung wird z.B. ein einziger RC4-Schlüssel zur
Verschlüsselung aller Daten benutzt (eben ein echter Stream-Cipher), und bei TKIP
wird RC4 mit einem 48 Bit langem IV benutzt - das gilt allgemein als sicher. Ich weiß
nicht, in welcher Form RC4 bei MPPE verwendet wird, aber es geht durchaus so, daß
es gegen RC4 keine Bedenken an sich gibt.

- es ist nicht sicher vor Man-In-The-Middle Attacken

Soweit ich weiß, läßt sich PPP auch mit EAP kombinieren (dazu wurde EAP ursprünglich
mal definiert, auch wenn es heute meistens zusammen mit 802.1x für WLAN-Clients
verwendet wird). Wird z.B. im EAP als Methode TLS mit Zertifikaten verwendet, würde
man damit eine ähnliche Sicherheit im Verbindungsaufbau wie bei IPSec erhalten. Ob
ein x-beliebiges Windows so etwas unterstützt, weiß ich nicht - eine billige D-Link-Büchse
mit Sicherheit nicht...

Gruß Alfred

[m-jelinski]

Hallo,

mir geht es ja hauptsächlich darum, mich einfach an das vorhandene Netz anzuschließen ohne beim Administrator großen Aufwand aufkommen zu lassen (der hat nämlich auch wichtigere Sachen zu tun, wie sich um meinen Zugang zu kümmern - gerade da der ja auch per Windows-Client geht).

Ich habe Lancom mal angeschrieben und das Problem bzw. die Ausstattungslücke erläutert.

Vielen Dank nochmal!