Hallo,
ich habe eine 1 Click VPN Verbindung zu meinem Lancom 1811n LCOS 8.0R2 mit VPN Pathfinder funktionalität eingerichtet.
Importiere ich die .ini in einen Lancom Advanced Client funktioniert alles wunderbar.
Importiere ich die .ini in den NCP Client erhalte ich die Fehlermeldung das
dass Pre-Shared Secret falsch ist.
Kennt sich evtl jemand mit dem NCP Client aus? Ist ja eigentlich genauso wie der Lancom Client und sollte doch funktionieren.
Ich benötige die Pathfinder funktion um durch eine FW zu tunneln.
dank vorab + viele Grüße
Andi
NCP Client + 1 Click VPN
Moderator: Lancom-Systems Moderatoren
Hi mountain
Ja, das ist so ein Problem... Beim NCP-Client funktioniert der automatische "Rückfall" auf SSL nicht sauber - er verhaspelt sich dann mit den Diffie-Hellman-Schlüsseln: Beim Aufbau der SSL-Verbidnung wird ein neuer Diffie-Hellman-Schlüssel ausgewürfelt und dessen öffentlicher Teil an die Gegenstelle übermittelt. Sobald diese nun ihren Teil zurückschickt, wird dieser mit dem Diffie-Hellman-Schlüssel der ursprünglichen UDP-Verbindung geprüft, worauf natürlich die Meldung des falschen Preshared-Keys kommt...
Es gibt aber einen Workarround, der die Automatik umgeht und sofort eine SSL Verbindung aufbaut und daher auch keinen zweiten Diffie-Hellman-Schlüssel berechnet:
Hierzu mußt du im NCP-Client auf der Seite, auf der der Pathfinder aktiviert wird, zusätzlich noch die UDP-Encapsulation auf Port 444 aktivieren (das funktioniert i.Ü. auch im LANCOM-Client).
Oder du fragst bei NCP einen aktuelleren Client an, der das Problem nicht mehr hat
Gruß
Backslash
du meinst beim Verbindunghsaufbau?Importiere ich die .ini in einen Lancom Advanced Client funktioniert alles wunderbar.
Importiere ich die .ini in den NCP Client erhalte ich die Fehlermeldung das
dass Pre-Shared Secret falsch ist.
Ja, das ist so ein Problem... Beim NCP-Client funktioniert der automatische "Rückfall" auf SSL nicht sauber - er verhaspelt sich dann mit den Diffie-Hellman-Schlüsseln: Beim Aufbau der SSL-Verbidnung wird ein neuer Diffie-Hellman-Schlüssel ausgewürfelt und dessen öffentlicher Teil an die Gegenstelle übermittelt. Sobald diese nun ihren Teil zurückschickt, wird dieser mit dem Diffie-Hellman-Schlüssel der ursprünglichen UDP-Verbindung geprüft, worauf natürlich die Meldung des falschen Preshared-Keys kommt...
Es gibt aber einen Workarround, der die Automatik umgeht und sofort eine SSL Verbindung aufbaut und daher auch keinen zweiten Diffie-Hellman-Schlüssel berechnet:
Hierzu mußt du im NCP-Client auf der Seite, auf der der Pathfinder aktiviert wird, zusätzlich noch die UDP-Encapsulation auf Port 444 aktivieren (das funktioniert i.Ü. auch im LANCOM-Client).
Oder du fragst bei NCP einen aktuelleren Client an, der das Problem nicht mehr hat
Gruß
Backslash
Hi mountain
Gruß
Backslash
Wenn du Port 444 dort einträgst, wird gar keine UDP-Verbindung aufgebaut. Das ist einfach ein versteckter Schalter um die Automatik beim Pathfinder abzuschalten - Port 444 wurde gewählt, weil es einfach sehr ungewöhnlich wäre, wenn jemand tatsächlich ein VPN auf dem Port laufen hätte... Das heißt natürlich auch, daß der Port 444 nicht für eine UDP-Kapselung genutzt werden kann...Aber wieso mit Port 444, habs' mit Port 4500 probiert, gait net.
Gruß
Backslash