Hallo Zusammen,
ich bin ein Newbie, was VPN anbelangt und möchte für mich folgendes Szenario umsetzen:
Ich habe einen SBS2003, der als Domänencontroller läuft. Weiterhin habe ich einen Lancom 1711VPN, sowie den Lancom Advanced VPN Client.
Nun möchte ich, daß ein Laptop über den Client einen Tunnel zum Router aufbaut, der Router nachsieht wer angemeldet ist oder nach User und Passwort (AD) fragt und das entsprechende Logonscript des User ausführt.
Momentan funktioniert der Tunnel und damit der Zugriff auf das Netzwerk, aber Berechtigungen oder Scripts greifen nicht, bzw. werden nicht abgearbeitet. Auf dem Server ist der IAS aktiviert, Radius Authentification ist nach Anleitung auch konfiguriert:
http://technet2.microsoft.com/windowsse ... x?mfr=true
Ich möchte mich in das Thema einarbeiten, bin auch für eine Anleitung dankbar, grundsätzliche Erklärungen helfen mir aber auch weiter!
Vielen Dank für jede Hilfe,
Mattes
VPN mit Radius (IAS) und EAP
Moderator: Lancom-Systems Moderatoren
Hi,
kurz gesagt, dass gibt es nicht, da kein Xauth supported wird und es gewissermassen ein Sicherheitsrisiko darstellt. Arbeite mit Benutzerzertifikaten.
kurz gesagt, dass gibt es nicht, da kein Xauth supported wird und es gewissermassen ein Sicherheitsrisiko darstellt. Arbeite mit Benutzerzertifikaten.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi ittk,
Danke für Deinen Beitrag. Ich habe im Vorfeld natürlich Beiträge zu diesem Thema gesucht. Dabei bin ich hier auch über Beiträge gestolpert, daß xauth nicht vom VPN Modul supported wird und diese Vorgehensweise anfällig für Man in the Middle Angriffe ist.
Was xauth ist, weiß ich nicht!
MS bietet den IAS als Dienst an, ebenso die Authentifizierung per Radius. Was heißt denn "das gibt es nicht"?
Es muß doch möglich sein dem Router zu sagen: "Wenn da ein Tunnel kommt, dann frag nach den Userdaten! Die kannst Du dann per Radius mit dem AD abgleichen, den Radius findest Du hier <IP Adress, Port 1821>
(siehe Link)
Vielen Dank für jeden Input,
Mattes
Danke für Deinen Beitrag. Ich habe im Vorfeld natürlich Beiträge zu diesem Thema gesucht. Dabei bin ich hier auch über Beiträge gestolpert, daß xauth nicht vom VPN Modul supported wird und diese Vorgehensweise anfällig für Man in the Middle Angriffe ist.
Was xauth ist, weiß ich nicht!
MS bietet den IAS als Dienst an, ebenso die Authentifizierung per Radius. Was heißt denn "das gibt es nicht"?
Es muß doch möglich sein dem Router zu sagen: "Wenn da ein Tunnel kommt, dann frag nach den Userdaten! Die kannst Du dann per Radius mit dem AD abgleichen, den Radius findest Du hier <IP Adress, Port 1821>
(siehe Link)
Gerne! Wie genau mache ich das denn? Ich hätte da gerne genauere Infos.Arbeite mit Benutzerzertifikaten
Vielen Dank für jeden Input,
Mattes
Hi MattesP
a) Usernamen und Paßwort für XAUTH oder
b) einfach nur die übertragen Daten im Klartext mitzulesen
Arbeite stattdessen mit Userzertifiken....
Die Anmeldung am AD hat zudem nichts mit VPN zu tun. Das ist eine ganz normale "Windows-Anmeldung" durch den Tunnel hindurch, entweder
- beim Zugriff auf freigegeben Ressourcen oder
- direkt beim Windows-Logon (dazu mußt du den Client so konfigurieren, daß er den Tunnel automatisch aufbaut)
Gruß
Backslash
Ganau das wäre XAUTH... und XAUTH ist nunmal eine Sicherheitslücke, weil jeder, der den Gruppenkey kennt - und das ist nunmal jeder User -, sich gegenüber anderen Clients als Server ausgeben kann, umEs muß doch möglich sein dem Router zu sagen: "Wenn da ein Tunnel kommt, dann frag nach den Userdaten!
a) Usernamen und Paßwort für XAUTH oder
b) einfach nur die übertragen Daten im Klartext mitzulesen
Arbeite stattdessen mit Userzertifiken....
Die Anmeldung am AD hat zudem nichts mit VPN zu tun. Das ist eine ganz normale "Windows-Anmeldung" durch den Tunnel hindurch, entweder
- beim Zugriff auf freigegeben Ressourcen oder
- direkt beim Windows-Logon (dazu mußt du den Client so konfigurieren, daß er den Tunnel automatisch aufbaut)
Gruß
Backslash
Hi Backslash,
vielleicht werfe ich ja Begriffe durcheinander, aber was ist xauth? Der 1711 VPN bietet an einen Radius Server zu spezifizieren. Das ist mein SBS2003 der folgendes kann:
IAS, das Internet Authentication Service, ist ein leistungsfähiger RADIUS Server, der mit Windows Server 2003 mitgeliefert wird. Im Deutschen als Internetauthentifizierungsdienst bezeichnet beherrscht er die 802.1X-Typen EAP-TLS und PEAP, und lässt sich flexibel konfigurieren, und besitzt natürlich auch eine Active Directory Integration.
Es ist zu beachten, das die Server 2003 Standard Edition nur eine beschränkte Anzahl (50) an RADIUS Clients und RADIUS-Server-Gruppen unterstützt.[/quote]
Ein mobiler User soll sich z.B lokal am Laptop unterwegs anmelden. Ween er dann eine VPN Verbindung aufbaut, soll geprüft werden, ob der PC Mitglied der Dömäne ist und der User ein Konto in der Domäne besitzt. Wenn ja, sollen alle Laufwerke gemappt und dir Rechte gesetzt werden.
Momentan habe ich den VPN Client so konfiguriert, daß nach Anmeldung das logonskript auf dem Server ausgeführt wird. Klappt auch. Was aber, wenn ein Laptop von mehreren Usern benutzt wird?
Das verstehe ich noch nicht.
Danke für eure Geduld,
Mattes
vielleicht werfe ich ja Begriffe durcheinander, aber was ist xauth? Der 1711 VPN bietet an einen Radius Server zu spezifizieren. Das ist mein SBS2003 der folgendes kann:
IAS, das Internet Authentication Service, ist ein leistungsfähiger RADIUS Server, der mit Windows Server 2003 mitgeliefert wird. Im Deutschen als Internetauthentifizierungsdienst bezeichnet beherrscht er die 802.1X-Typen EAP-TLS und PEAP, und lässt sich flexibel konfigurieren, und besitzt natürlich auch eine Active Directory Integration.
Es ist zu beachten, das die Server 2003 Standard Edition nur eine beschränkte Anzahl (50) an RADIUS Clients und RADIUS-Server-Gruppen unterstützt.[/quote]
Ein mobiler User soll sich z.B lokal am Laptop unterwegs anmelden. Ween er dann eine VPN Verbindung aufbaut, soll geprüft werden, ob der PC Mitglied der Dömäne ist und der User ein Konto in der Domäne besitzt. Wenn ja, sollen alle Laufwerke gemappt und dir Rechte gesetzt werden.
Momentan habe ich den VPN Client so konfiguriert, daß nach Anmeldung das logonskript auf dem Server ausgeführt wird. Klappt auch. Was aber, wenn ein Laptop von mehreren Usern benutzt wird?
Das verstehe ich noch nicht.
Danke für eure Geduld,
Mattes
Hi MattesP
Das Problem ist halt, daß jeder, der den Gruppenkey kennt, sich gegenüber einem Einwählenden als Server ausgeben und somit Username und Paßwort mitlesen kann.
Im WLAN - ja
bei PPP, PPTP und PPPoE - ja
bei VPN - nein
Wenn du hingegen sichergehen willst, daß nichtmal der Tunnel aufgebaut wird, dann mußt du mit Zertifikaten für jeden User arbeiten, die paßwortgesichert ("PIN") auf dem Laptop liegen. Jeder User hat dabei sein eigenes Zertifikat UND seine eigene PIN für dieses Zertifikat. Ach ja: Du mußt den Client dafür natürlich auch noch so einstellen, daß er bei jedem Verbindungsaufbau nach der PIN fragt (das wird auf die Dauer auch sehr lästig).
Da ist es einfach besser, den Laptop zu personalisieren...
Gruß
Backslash
XAUTH ist eine Cisco-Erweiterung der IKE-Verhandlung, bei der alle User zunächst einen Gruppen-Key (oder ein Gruppenzertifikat) erhalten, der zum Aufbau der Phase 1 genutzt wird. Innerhalb dieses "ersten" Tunnels wird dann eine Username/Paßwort-Abfrage gemacht. Erst wenn die erfolgreich abgeschlossen ist, wird die Phase 2 (also die Datenübertragungsphase) ausgehandelt.vielleicht werfe ich ja Begriffe durcheinander, aber was ist xauth?
Das Problem ist halt, daß jeder, der den Gruppenkey kennt, sich gegenüber einem Einwählenden als Server ausgeben und somit Username und Paßwort mitlesen kann.
wo bitetet der 1711 an, einen Radius-Server zu spezifizieren?Der 1711 VPN bietet an einen Radius Server zu spezifizieren
Im WLAN - ja
bei PPP, PPTP und PPPoE - ja
bei VPN - nein
Die melden sich dann doch auch mit eigenem Usernamen und Paßwort an der Domäne an. Das hat erstmal nichts mit VPN und dem Client zu tun... Du mußt nur dafür sorgen, daß sich die User auch wieder abmelden, bevor ein neuer User den Laprop benutzt...Momentan habe ich den VPN Client so konfiguriert, daß nach Anmeldung das logonskript auf dem Server ausgeführt wird. Klappt auch. Was aber, wenn ein Laptop von mehreren Usern benutzt wird?
Wenn du hingegen sichergehen willst, daß nichtmal der Tunnel aufgebaut wird, dann mußt du mit Zertifikaten für jeden User arbeiten, die paßwortgesichert ("PIN") auf dem Laptop liegen. Jeder User hat dabei sein eigenes Zertifikat UND seine eigene PIN für dieses Zertifikat. Ach ja: Du mußt den Client dafür natürlich auch noch so einstellen, daß er bei jedem Verbindungsaufbau nach der PIN fragt (das wird auf die Dauer auch sehr lästig).
Da ist es einfach besser, den Laptop zu personalisieren...
Gruß
Backslash
Hi Backslash,
Ich habe den Lancom Advanced VPN client auf einem Laptotp installiert und per 1Click VPN konfiguriert. Da der Laptop dem User A gehört, habe ich in den Einstellungen des Client gesagt, daß nach Verbindungsaufbau zum Server aus netlogon die a.bat ausgeführt werden soll. Nun werden alle Laufwerke gemappt.
Bisher keinerlei Passwortabfrage bis auf das Anmelden am Laptop!
Nun nehme ich das Laptop mit und es wird geklaut. Der Dieb legt ne Knoppix ein, oder sonst eine ToolCD, startet das Laptop, setzt das lokale Adminpasswort zurück, startet mit seinen neuen Adminpasswort das Laptop, doppelklick auf den VPN Client, Anmeldung am Server, a.bat etc.
Da liegt ja genau mein Problem! wo findet denn eine Verifizierung von User und Passwort an der Domäne statt? Ich dachte immer, daß genau dazu EAP und Radius da sind.
Wäre toll, wenn einer mein Brett wegnehmen könnte.
Vielen Dank,
Mattes
Ich mach da wohl etwas grundlegendes verkehrt, ich hoffe ich überstrapaziere Deine Geduld nicht.Die melden sich dann doch auch mit eigenem Usernamen und Paßwort an der Domäne an
Ich habe den Lancom Advanced VPN client auf einem Laptotp installiert und per 1Click VPN konfiguriert. Da der Laptop dem User A gehört, habe ich in den Einstellungen des Client gesagt, daß nach Verbindungsaufbau zum Server aus netlogon die a.bat ausgeführt werden soll. Nun werden alle Laufwerke gemappt.
Bisher keinerlei Passwortabfrage bis auf das Anmelden am Laptop!
Nun nehme ich das Laptop mit und es wird geklaut. Der Dieb legt ne Knoppix ein, oder sonst eine ToolCD, startet das Laptop, setzt das lokale Adminpasswort zurück, startet mit seinen neuen Adminpasswort das Laptop, doppelklick auf den VPN Client, Anmeldung am Server, a.bat etc.
Da liegt ja genau mein Problem! wo findet denn eine Verifizierung von User und Passwort an der Domäne statt? Ich dachte immer, daß genau dazu EAP und Radius da sind.
Wäre toll, wenn einer mein Brett wegnehmen könnte.
Vielen Dank,
Mattes
Hi MattesP,
Wenn du das Ganze mit Zertifikaten löst, dann kannst du das Zertifikat jederzeit zurückziehen (d.h. für ungültzig erklären) und der Tunnel wird nicht mal mehr aufgebaut. Zudem kannst du das Zertifikat auf dem Laptop mit einer PIN sichern, so daß der Dieb nicht mal an das Zertifikat herankommt...
Gruß
Backslash
Das ist richtig, da sich der Laptop beim Mappen der Laufwerke mit dem Usernamen und dem Paßwort identifiziert, daß du beim Windowslogin benutzt hast.Ich habe den Lancom Advanced VPN client auf einem Laptotp installiert und per 1Click VPN konfiguriert. Da der Laptop dem User A gehört, habe ich in den Einstellungen des Client gesagt, daß nach Verbindungsaufbau zum Server aus netlogon die a.bat ausgeführt werden soll. Nun werden alle Laufwerke gemappt.
Bisher keinerlei Passwortabfrage bis auf das Anmelden am Laptop!
nein, da du dich vor dem Zugriff auf Freigaben authentifizieren mußt (s.o.) - und das funktioniert nicht mit einem falschen Paßwort. Es sei denn die gemappten Laufwerke wären für den Gastuser freigegeben...Der Dieb legt ne Knoppix ein, oder sonst eine ToolCD, startet das Laptop, setzt das lokale Adminpasswort zurück, startet mit seinen neuen Adminpasswort das Laptop, doppelklick auf den VPN Client, Anmeldung am Server, a.bat etc.
Wenn du das Ganze mit Zertifikaten löst, dann kannst du das Zertifikat jederzeit zurückziehen (d.h. für ungültzig erklären) und der Tunnel wird nicht mal mehr aufgebaut. Zudem kannst du das Zertifikat auf dem Laptop mit einer PIN sichern, so daß der Dieb nicht mal an das Zertifikat herankommt...
Gruß
Backslash