Hallo zusammen,
ich möchte/muss von meinem Arbeitsplatz eine VPN Verbindung zu einer Check Point Safe@Office Appliance herstellen. Normalerweise habe ich eine ganze Reihe von Kunden mit LANCOM Geräten in der Liste.
Da ich schon seit einigen Tagen versuche eine Verbindung zu diesem Gerätchen herzustellen, frage ich mich langsam wo der Hund begraben liegt.
Kann mir jemand von euch einen Tip geben, ob der LANCOM VPN Client vielleicht nur mit LANCOM Geräten kommunizieren kann (handelt es sich also um eine abgespeckte Version des NCP Clients?)
Welche Einstellungen werde ich wohl nehmen müssen, um eine Verbindung zu dieser Appliance erfolgreich herstellen zu können?
Vielen Dank!
MfG Michael
Advanced VPN Client nur mit LANCOM lauffähig?
Moderator: Lancom-Systems Moderatoren
Hi,
vielleicht hilft dir diese Anleitung weiter:
http://www.ncp.de/deutsch/filedownload/ ... .v2.00.pdf
Ferner sind das Root Zertifikat oder die Zertifikatskette aller CAs auf Clientseite erofrderlich, wenn die Checkpoint eine separate Benutzerauthentifizierung mittels Xauth durchfuehrt. Sog. Hybrid Authentification, dass so sicher wie ein Passwort bei SSH ist.
vielleicht hilft dir diese Anleitung weiter:
http://www.ncp.de/deutsch/filedownload/ ... .v2.00.pdf
Ferner sind das Root Zertifikat oder die Zertifikatskette aller CAs auf Clientseite erofrderlich, wenn die Checkpoint eine separate Benutzerauthentifizierung mittels Xauth durchfuehrt. Sog. Hybrid Authentification, dass so sicher wie ein Passwort bei SSH ist.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Der PSK ist ein solchen Faellen meist als Gruppenpasswort "Group Password" (so nennt es Cisco) bezeichnet.
Dieser ist zwindend fuer die Phase-1 erforderlich bevor die Xauth Phase 1,5 erfolgreich starten kann.
Dieser ist zwindend fuer die Phase-1 erforderlich bevor die Xauth Phase 1,5 erfolgreich starten kann.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi mporemski,
von XAUTH zusammen mit einem Group-Key kann man aus Sicherheitsgründen nur warnen - insbesondere, wenn man dann auch noch den Aggrssive-Mode verwendet... Da kann man auch gleich unverschlüsselt arbeiten...
Der Aggressive-Mode mit preshared Keys ist "offline" angreifbar, d.h. man schickt ein einziges Paket an den Server und analysiert dessen Antwort. Dieses eine Paket reicht aus, um den preshared Key zu brechen! Daher sollte diese Kombination tunlichst nicht verwendet werden. Stattdessen sollte auf Zertifikate umgestellt werden - dann braucht man aber auch keinen Aggressive-Mode mehr.
Auch auf XAUTH solte in jedem Fall verzichtet werden, da jeder, der den Group-Key kennt, sich als beliebiger User ausgeben kann - noch schlimmer: er könnte sich gar als Server ausgeben und Username/Paßwörter-Kombinationen ausspionieren (Man In The Middle)...
Und ein XAUTH mit Zertifikaten ist mehr als unsinnig, da das Zertifikat allein zur Authentifizierung völlig ausreicht - und zudem obige Lücke gar nicht erst aufgerissen wird...
Gruß
Backslash
von XAUTH zusammen mit einem Group-Key kann man aus Sicherheitsgründen nur warnen - insbesondere, wenn man dann auch noch den Aggrssive-Mode verwendet... Da kann man auch gleich unverschlüsselt arbeiten...
Der Aggressive-Mode mit preshared Keys ist "offline" angreifbar, d.h. man schickt ein einziges Paket an den Server und analysiert dessen Antwort. Dieses eine Paket reicht aus, um den preshared Key zu brechen! Daher sollte diese Kombination tunlichst nicht verwendet werden. Stattdessen sollte auf Zertifikate umgestellt werden - dann braucht man aber auch keinen Aggressive-Mode mehr.
Auch auf XAUTH solte in jedem Fall verzichtet werden, da jeder, der den Group-Key kennt, sich als beliebiger User ausgeben kann - noch schlimmer: er könnte sich gar als Server ausgeben und Username/Paßwörter-Kombinationen ausspionieren (Man In The Middle)...
Und ein XAUTH mit Zertifikaten ist mehr als unsinnig, da das Zertifikat allein zur Authentifizierung völlig ausreicht - und zudem obige Lücke gar nicht erst aufgerissen wird...
Gruß
Backslash