Vista IPSEC Vpn mit Boardmitteln zu Lancom 1722/Swyxconnect
Moderator: Lancom-Systems Moderatoren
hab schon danach gesucht aber man findet so gut wie nix zu dem thema. hab im mmc überall geschaut aber da ist nix...das einzige was ich halt gefunden habe war das pdf von draytek wo beschrieben wird das es damit ohne probs funtzt. Mein vorschlag wäre ja das jemand von LC sich dem Thema annimmt und das durchtestet dann wüssten wir mehr, aber ich vermute das wird niemand machen da der Advanced Client auch seine Berechtigung braucht.
Hi,
das ist mal wieder MS-typisch daran werden die auch nichts aendern. Die wollen eine Benutzerauthenzifizierung ohne Xauth (das setzt Cisco ein), also wurde etwas eignes entwickelt statt gleich IKEv1 und IKEv2 kompatibel zu sein. Dasselbe Spiel galt mit L2TP oder IPSec, dass ja dadurch auch eine Benutzerauthentifizierung ermoeglicht hat.
Da wird LC sehr wahrscheinlich nichts dran aendern.
Du kannst mal versuchen einen reine Tunnelverbindung per Security Rule Wizard aufzubauen Typ "Tunnel".
und folgenden Regkey vor einem durchzufuehrenden Rechnerneustart in die Registry einzutragen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule
und den wert ggf mit 2 versehen
Das dekativiert das L2TP fuer den L2TP over IPSec Tunnel. Du koenntest also damit versuchen dein Vista so wie ein 2000/XP mit reinen IPSec-Tunneln zu konfigurieren.
das ist mal wieder MS-typisch daran werden die auch nichts aendern. Die wollen eine Benutzerauthenzifizierung ohne Xauth (das setzt Cisco ein), also wurde etwas eignes entwickelt statt gleich IKEv1 und IKEv2 kompatibel zu sein. Dasselbe Spiel galt mit L2TP oder IPSec, dass ja dadurch auch eine Benutzerauthentifizierung ermoeglicht hat.
Da wird LC sehr wahrscheinlich nichts dran aendern.
Du kannst mal versuchen einen reine Tunnelverbindung per Security Rule Wizard aufzubauen Typ "Tunnel".
und folgenden Regkey vor einem durchzufuehrenden Rechnerneustart in die Registry einzutragen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule
und den wert ggf mit 2 versehen
Das dekativiert das L2TP fuer den L2TP over IPSec Tunnel. Du koenntest also damit versuchen dein Vista so wie ein 2000/XP mit reinen IPSec-Tunneln zu konfigurieren.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
hab schon danach gesucht aber man findet so gut wie nix zu dem thema. hab im mmc überall geschaut aber da ist nix...das einzige was ich halt gefunden habe war das pdf von draytek wo beschrieben wird das es damit ohne probs funtzt. Mein vorschlag wäre ja das jemand von LC sich dem Thema annimmt und das durchtestet dann wüssten wir mehr, aber ich vermute das wird niemand machen da der Advanced Client auch seine Berechtigung braucht.
werd ich mal versuchenittk hat geschrieben: Du kannst mal versuchen einen reine Tunnelverbindung per Security Rule Wizard aufzubauen Typ "Tunnel".
und folgenden Regkey vor einem durchzufuehrenden Rechnerneustart in die Registry einzutragen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec\AssumeUDPEncapsulationContextOnSendRule
und den wert ggf mit 2 versehen
Das dekativiert das L2TP fuer den L2TP over IPSec Tunnel. Du koenntest also damit versuchen dein Vista so wie ein 2000/XP mit reinen IPSec-Tunneln zu konfigurieren.
unter folgender seite wird das Problem genau erklärt punkt 10.4 http://www.jacco2.dds.nl/networking/vis ... tml#AuthIP
Unfortunately, WFwAS and netsh advfirewall insist on doing a second authentication, even if you have not asked for it. Vista sends IKE packets containing 'Next Payload type' 133 with 'Exchange type' 246. These types are unknown to Openswan because they are non-standard numbers reserved for private (i.e. in-house) use. Normally an IPsec implementation should negotiate proprietary extensions by sending and receiving Vendor IDs. But Microsoft ignores this and sends these non-standard packets right away. So Openswan has not choice but to reject these packets:
packet from x.x.x.x:500: next payload type of ISAKMP Message has an unknown value: 133
Although the first authentication succeeds, the second authentication fails because Openswan does not support Microsoft's proprietary AuthIP scheme. So Vista will fail to connect.
wie man das vista abgewöhnen könnte ist unbekannt und verm. erst garnicht möglich. der key, welchen ittk erwähnt hat ist wohl umgezoben in vista hilft mir aber glaube auch nicht weiter da dieser nur dafür sorgt das vista auf einen vpn-server zugreifen kann, welcher genattet wird.
hier ist noch ein forum in welchem vista als vpnclient für einen linuxvpnserver konfiguriert wurde, hier wird erwähnt das linux wohl mit einem PSK funktioniert, mit dem LC ist dies auch nicht hinzubekommen.
http://lists.openswan.org/pipermail/use ... 13075.html
Unfortunately, WFwAS and netsh advfirewall insist on doing a second authentication, even if you have not asked for it. Vista sends IKE packets containing 'Next Payload type' 133 with 'Exchange type' 246. These types are unknown to Openswan because they are non-standard numbers reserved for private (i.e. in-house) use. Normally an IPsec implementation should negotiate proprietary extensions by sending and receiving Vendor IDs. But Microsoft ignores this and sends these non-standard packets right away. So Openswan has not choice but to reject these packets:
packet from x.x.x.x:500: next payload type of ISAKMP Message has an unknown value: 133
Although the first authentication succeeds, the second authentication fails because Openswan does not support Microsoft's proprietary AuthIP scheme. So Vista will fail to connect.
wie man das vista abgewöhnen könnte ist unbekannt und verm. erst garnicht möglich. der key, welchen ittk erwähnt hat ist wohl umgezoben in vista hilft mir aber glaube auch nicht weiter da dieser nur dafür sorgt das vista auf einen vpn-server zugreifen kann, welcher genattet wird.
hier ist noch ein forum in welchem vista als vpnclient für einen linuxvpnserver konfiguriert wurde, hier wird erwähnt das linux wohl mit einem PSK funktioniert, mit dem LC ist dies auch nicht hinzubekommen.
http://lists.openswan.org/pipermail/use ... 13075.html
das hab ich erst gefunden nachdem ittk mir den tip mit dem regkey gegeben hatte...ich hatte damals schon gesucht nur nach den falschen schlagworten. ich war von anfang nicht so eingestellt das ich nichts zu einer lösung beitragen möchte. wie auch immer wir wissen jetzt genau woran es liegt, von einer lösung bin ich trotzdem noch weit entfernt. soweit ich das verstehe müsste der lc auf die "komischen" Anfragen von vista in einer bestimmten form antworten und vista würde normal mit IKE weitermachen...so arbeitet (vermute ich) der draytek. dann würds fluppen.
Hi tisso
Eine solche Username/Paßwort Authentifizierung wird es aber im LANCOM niemals geben, weil sie (genauso wie XAUTH) eine Sicherheitslücke darstellt!. Jeder der den Gruppenkey kennt, kann sich dabei als Server ausgeben und einen Man-In-The-Middle Angriff fahren. Daher wird es im LANCOM niemals implementiert werden.
Es ist - wie du auch in dem Artikel von openswan selbst gefunden hast - ein Fehler von Microsoft, den auch nur Microsoft beheben kann. Nerve also den MS-Support damit, daß sie dir eine funktionsfähige Version ihres VPN-Stacks geben.
Gruß
Backslash
nein. Vista müßte AUTHIP in den Verdor-Informationen aushandeln und es NICHT machen, wenn die Gegenseite es nicht kann.soweit ich das verstehe müsste der lc auf die "komischen" Anfragen von vista in einer bestimmten form antworten und vista würde normal mit IKE weitermachen
Eine solche Username/Paßwort Authentifizierung wird es aber im LANCOM niemals geben, weil sie (genauso wie XAUTH) eine Sicherheitslücke darstellt!. Jeder der den Gruppenkey kennt, kann sich dabei als Server ausgeben und einen Man-In-The-Middle Angriff fahren. Daher wird es im LANCOM niemals implementiert werden.
Es ist - wie du auch in dem Artikel von openswan selbst gefunden hast - ein Fehler von Microsoft, den auch nur Microsoft beheben kann. Nerve also den MS-Support damit, daß sie dir eine funktionsfähige Version ihres VPN-Stacks geben.
Gruß
Backslash
ich versuchs...
edit:
versucht und gescheitert...der spass würde 72€ kosten und ich vermute nicht das ein zufriedenstellendes ergebnis rauskäme.
Man müsste hier eine englische supportanfrage für 72€ netto abschicken...das isses mir nicht wert http://support.microsoft.com/oas/defaul ... prid=11707&
edit:
versucht und gescheitert...der spass würde 72€ kosten und ich vermute nicht das ein zufriedenstellendes ergebnis rauskäme.
Man müsste hier eine englische supportanfrage für 72€ netto abschicken...das isses mir nicht wert http://support.microsoft.com/oas/defaul ... prid=11707&