Hallo,
das XAUTH jetzt unterstützt ist und das iPhone auch als Zielgruppe dafür aufgeführt wird, habe ich versucht die Sache einmal zu konfigurieren. Wo ist mit LCOS der "Group Name" einzustellen? Mit Zertifikaten hatte ich bisher auch mit dem VPN Tracker kein Glück, so dass ich erst einmal ohne arbeiten möchte.
Viele Dank für das schöne Weihnachtsgeschenk.
Henri
Lancom 7.60 RC1 mit iPhone
Moderator: Lancom-Systems Moderatoren
Hallo Henri,
ich hatte mal eine schnelle Anleitung zusammengeschrieben, evtl. hilft es Dir ja weiter.
Ciao
LoUiS
ich hatte mal eine schnelle Anleitung zusammengeschrieben, evtl. hilft es Dir ja weiter.
Ciao
LoUiS
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von LoUiS am 23 Dez 2008, 12:26, insgesamt 1-mal geändert.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
LoUiS hat geschrieben:Hallo Henri,
ich hatte mal eine schnelle Anleitung zusammengeschrieben, evtl. hilft es Dir ja weiter.
Meinst du eine Anleitung vor LC7.6(RC1) und ohne XAUTH?
Da seit heute das IPhone VPN von Lancom beworben und damit sicher auch offiziell von unterstützt wird, wäre ein kleines "howto iPhone Lancom VPN" mit XAUTH speziell für das iPhone (+ vermutl. iPod Touch) sicher sehr nett. Das ist doch für die Lancom Spezialisten kein Problem und man könnt mit einem Papier echt punkten. Ich glaube auf ein VPN zum iPhone warten schon eine Menge Leute.
Ach ja: Danke Lancom Team für das nette Weihnachtsgeschenk, auch das Webinterface sieht deutlich besser aus. Weiter so!
Frohe Weihnachten! - tom
Hi,
die Anleitung haengt als Attachement an meinem ersten Posting und kann durch anklicken einfach heruntergeladen werden!
Ciao
LoUiS
die Anleitung haengt als Attachement an meinem ersten Posting und kann durch anklicken einfach heruntergeladen werden!
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hi tbc233,
das Sicherheits-Problem bei XAUTH ist unverändert vorhanden, da aber die Kunden eine Möglichkeit haben wollen mit ihrem iphone eine VPN-Verbindung aufzubauen, muß man in den sauren Apfel beissen...
Das LANCOM unterstützt bisher nur eine XAUTH-Verbindung pro "Gruppe", d.h. der sog. Gruppen-Key ist hier - wie bei einer normalen VPN-Verbindung auch - als individueller Key zu betrachten. In diesem Szenario ist XAUTH genauso sicher/unsicher wie der Aggressive-Mode alleine.
XAUTH wird "erst" dann ein Problem, wenn man wirklich mit Gruppen arbeitet, also einen Gruppen-Key an mehrere User ausgibt (oder im schlimmsten Fall sogar veröffentlicht, wie z.B. die RWTH Aachen mit ihrem MoPS-Netz) und die Authentifizierung letztendlich nur über Username und Paßwort macht. In diesem Fall kann sich jeder, der den Gruppenkey kennt, dazwischen klemmen und und alles im Klartext mitlesen
Gruß
Backslash
das Sicherheits-Problem bei XAUTH ist unverändert vorhanden, da aber die Kunden eine Möglichkeit haben wollen mit ihrem iphone eine VPN-Verbindung aufzubauen, muß man in den sauren Apfel beissen...
Das LANCOM unterstützt bisher nur eine XAUTH-Verbindung pro "Gruppe", d.h. der sog. Gruppen-Key ist hier - wie bei einer normalen VPN-Verbindung auch - als individueller Key zu betrachten. In diesem Szenario ist XAUTH genauso sicher/unsicher wie der Aggressive-Mode alleine.
XAUTH wird "erst" dann ein Problem, wenn man wirklich mit Gruppen arbeitet, also einen Gruppen-Key an mehrere User ausgibt (oder im schlimmsten Fall sogar veröffentlicht, wie z.B. die RWTH Aachen mit ihrem MoPS-Netz) und die Authentifizierung letztendlich nur über Username und Paßwort macht. In diesem Fall kann sich jeder, der den Gruppenkey kennt, dazwischen klemmen und und alles im Klartext mitlesen
Gruß
Backslash
Hi,LoUiS hat geschrieben:die Anleitung haengt als Attachement an meinem ersten Posting und kann durch anklicken einfach heruntergeladen werden!
auch von mir ein "Danke für Anleitung". Hat auf Anhieb prefekt funktioniert.
Schöne Sache das man mit dem iPhone auch mal auf das Home-Netzwerk per VPN zugreifen kann.
mfg
JLacky
-
Jan_im_Forum
- Beiträge: 1
- Registriert: 01 Feb 2009, 19:02
Bei mir funktioniert es leider nicht
Hallo zusammen,
ich habe bei uns hier einen Lancom DSL/I-1611 mit der aktuellen 7.6 RC1 Firmware.
Generell funktionieren VPN Verbindungen ohne Probleme, sowohl von Router zu Router, als auch von Lancom VPN Client zu Router...
Jetzt möchte ich eine VPN-Verbindung von meine iPhone aus nutzen. Ich habe die Einstellung genau nach Anleitung durchgeführt, aber leider funktioniert es bei mir nicht und ich weiß nicht warum.
Das iPhone sagt ständigt nach einige Sekunen: "Der VPN-server antwortet nicht".
Der Router sagt im Log:
Vielen Dank.
Jan
ich habe bei uns hier einen Lancom DSL/I-1611 mit der aktuellen 7.6 RC1 Firmware.
Generell funktionieren VPN Verbindungen ohne Probleme, sowohl von Router zu Router, als auch von Lancom VPN Client zu Router...
Jetzt möchte ich eine VPN-Verbindung von meine iPhone aus nutzen. Ich habe die Einstellung genau nach Anleitung durchgeführt, aber leider funktioniert es bei mir nicht und ich weiß nicht warum.
Das iPhone sagt ständigt nach einige Sekunen: "Der VPN-server antwortet nicht".
Der Router sagt im Log:
Kann mir jemand weiterhelfen? Ich bin am verzweifeln und probiere schon seit Stunden alles mögliche aus.[VPN-Status] 2009/02/01 18:52:04,180
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection
[VPN-Status] 2009/02/01 18:52:04,200
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 2
[VPN-Status] 2009/02/01 18:52:05,240
IKE info: Phase-1 [responder] for peer VPNIPHONE between initiator id iphonetest
, responder id iphonetest done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is
behind a nat
IKE info: SA ISAKMP for peer VPNIPHONE encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPNIPHONE set to 324
0 seconds (Responder)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPNIPHONE set to 3600 seconds
(Responder)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: NOTIFY received of type INITIAL_CONTACT for peer VPNIPHONE
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 [responder] got initial contact from peer <unknown> (81.XX.XX
.XX)
[VPN-Status] 2009/02/01 18:52:15,260
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb603
[VPN-Status] 2009/02/01 18:52:15,420
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer VPNIP
HONE Seq-Nr 0x1bfdb603, expected 0x1bfdb603
[VPN-Status] 2009/02/01 18:52:34,430
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer VPNIPHONE
Seq-Nr 0xea3, expected 0xea3
[VPN-Status] 2009/02/01 18:52:34,430
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer VPNIPHONE,
sequence nr 0xea3
[VPN-Status] 2009/02/01 18:53:15,440
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb604
[VPN-Status] 2009/02/01 18:53:25,450
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb604
: retry detection
[VPN-Status] 2009/02/01 18:53:25,450
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb605
[VPN-Status] 2009/02/01 18:53:35,460
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb605
: retry detection
[VPN-Status] 2009/02/01 18:53:35,460
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb606
[VPN-Status] 2009/02/01 18:53:45,470
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb606
: tear down connections
[VPN-Status] 2009/02/01 18:53:45,470
VPN: Error: IKE-R-DPD-Timeout (0x220d) for VPNIPHONE (81.XX.XX.XX)
[VPN-Status] 2009/02/01 18:53:45,470
VPN: selecting next remote gateway using strategy eFirst for VPNIPHONE
=> no remote gateway selected
[VPN-Status] 2009/02/01 18:53:45,470
VPN: selecting first remote gateway using strategy eFirst for VPNIPHONE
=> no remote gateway selected
[VPN-Status] 2009/02/01 18:53:45,470
VPN: installing ruleset for VPNIPHONE (0.0.0.0)
[VPN-Status] 2009/02/01 18:53:45,480
IKE info: Phase-1 SA removed: peer VPNIPHONE rule VPNIPHONE removed
Vielen Dank.
Jan
Hat irgend jemand eine Lösung für die Ansage "VPN-Server antwortet nicht" wenn eine statische IP verwendet wird?Jan_im_Forum hat geschrieben:Hallo zusammen,
ich habe bei uns hier einen Lancom DSL/I-1611 mit der aktuellen 7.6 RC1 Firmware.
Generell funktionieren VPN Verbindungen ohne Probleme, sowohl von Router zu Router, als auch von Lancom VPN Client zu Router...
Jetzt möchte ich eine VPN-Verbindung von meine iPhone aus nutzen. Ich habe die Einstellung genau nach Anleitung durchgeführt, aber leider funktioniert es bei mir nicht und ich weiß nicht warum.
Das iPhone sagt ständigt nach einige Sekunen: "Der VPN-server antwortet nicht".
Der Router sagt im Log:Kann mir jemand weiterhelfen? Ich bin am verzweifeln und probiere schon seit Stunden alles mögliche aus.[VPN-Status] 2009/02/01 18:52:04,180
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> suppo
rts NAT-T in mode rfc
IKE info: The remote server 81.XX.XX.XX:500 peer def-aggr-peer id <no_id> negot
iated rfc-3706-dead-peer-detection
[VPN-Status] 2009/02/01 18:52:04,200
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No
1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 1 for peer def-aggr-peer matched with local pr
oposal 2
[VPN-Status] 2009/02/01 18:52:05,240
IKE info: Phase-1 [responder] for peer VPNIPHONE between initiator id iphonetest
, responder id iphonetest done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is
behind a nat
IKE info: SA ISAKMP for peer VPNIPHONE encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer VPNIPHONE set to 324
0 seconds (Responder)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 SA Timeout (Hard-Event) for peer VPNIPHONE set to 3600 seconds
(Responder)
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: NOTIFY received of type INITIAL_CONTACT for peer VPNIPHONE
[VPN-Status] 2009/02/01 18:52:05,250
IKE info: Phase-1 [responder] got initial contact from peer <unknown> (81.XX.XX
.XX)
[VPN-Status] 2009/02/01 18:52:15,260
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb603
[VPN-Status] 2009/02/01 18:52:15,420
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE_ACK for peer VPNIP
HONE Seq-Nr 0x1bfdb603, expected 0x1bfdb603
[VPN-Status] 2009/02/01 18:52:34,430
IKE info: NOTIFY received of type ISAKMP_NOTIFY_DPD_R_U_THERE for peer VPNIPHONE
Seq-Nr 0xea3, expected 0xea3
[VPN-Status] 2009/02/01 18:52:34,430
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE_ACK sent for Phase-1 SA to peer VPNIPHONE,
sequence nr 0xea3
[VPN-Status] 2009/02/01 18:53:15,440
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb604
[VPN-Status] 2009/02/01 18:53:25,450
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb604
: retry detection
[VPN-Status] 2009/02/01 18:53:25,450
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb605
[VPN-Status] 2009/02/01 18:53:35,460
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb605
: retry detection
[VPN-Status] 2009/02/01 18:53:35,460
IKE info: ISAKMP_NOTIFY_DPD_R_U_THERE sent for Phase-1 SA to peer VPNIPHONE, seq
uence nr 0x1bfdb606
[VPN-Status] 2009/02/01 18:53:45,470
IKE info: DEAD PEER DETECTION Timeout for peer VPNIPHONE, sequence nr 0x1bfdb606
: tear down connections
[VPN-Status] 2009/02/01 18:53:45,470
VPN: Error: IKE-R-DPD-Timeout (0x220d) for VPNIPHONE (81.XX.XX.XX)
[VPN-Status] 2009/02/01 18:53:45,470
VPN: selecting next remote gateway using strategy eFirst for VPNIPHONE
=> no remote gateway selected
[VPN-Status] 2009/02/01 18:53:45,470
VPN: selecting first remote gateway using strategy eFirst for VPNIPHONE
=> no remote gateway selected
[VPN-Status] 2009/02/01 18:53:45,470
VPN: installing ruleset for VPNIPHONE (0.0.0.0)
[VPN-Status] 2009/02/01 18:53:45,480
IKE info: Phase-1 SA removed: peer VPNIPHONE rule VPNIPHONE removed
Vielen Dank.
Jan
Wo definiere ich, dass der LANCOM 1611+ der VPN Server ist?
Die Anleitung habe ich umgesetzt - nur bekomme ich den oben genannten Fehler vom IPHONE.
Eine Antwort wäre echt prickelnd.
Gruß
Markus
Jetzt habe ich den Fehler mit dem "VPN Server antwortet nicht" gelöst. Bei der IKE-Auth war nicht ID-TP Gruppenname eingestellt.
Jetzt wird der Benutzer nicht akzeptiert - was ist das nun????
Gruß
Markus
Jetzt wird der Benutzer nicht akzeptiert - was ist das nun????
Gruß
Markus
Zuletzt geändert von mamastade am 30 Mär 2009, 19:31, insgesamt 1-mal geändert.
Die VPN Verbindung klappt jetzt. Bei mir musste die Gruppen ID genau so lauten wie die VPN-Konfiguration. In der Beschreibung war der VPN Name "VPN_IPHONE" - demzufolge war bei die Gruppen ID "vpn_iphone".
Gruß
Markus
PS: Jetzt kämpfe ich mit Exchange. Das VPN steht, Kontozugang ist geprüft und OK. Nur das mit dem eMail hochladen - das ist noch ein Geheimnis.
Gruß
Markus
PS: Jetzt kämpfe ich mit Exchange. Das VPN steht, Kontozugang ist geprüft und OK. Nur das mit dem eMail hochladen - das ist noch ein Geheimnis.