VPN Verbindung mit Linux und Mac und Windows VPN Client

[joblack]

Ich haben einen 7100+ installiert.

Aktuell benutzen wir für die VPN Client Verbindung den Shrewsoft Client mit IKEv1.

Das geht unter Windows ganz gut aber unter Linux und Mac funktioniert es nicht immer einwandfrei. Des weiteren muss ich das Routing in die verschiedenen Netze in jedem Profil einstellen und das VPN-Profil bei jeder Änderung für alle Mitarbeiter neu anpassen. Dass er die Routen automatisch auf den Shrewsoft VPN Client pusht habe ich noch nicht hinbekommen.

Meine Fragen
- Geht das überhaupt die Routen auf den (Shrewsoft) VPN Client zu pushen? Falls ja, wie?
- Falls nein, gibt es einen (kostenlosen) VPN Client, am besten auf allen drei Systemen, wo das geht? Wenn es sein muss auch mit IKEv2?

Wie sind eure Erfahrungen mit Multi OS VPN-Verbindungen in den Router rein? Gibt es weitere Tipps?

[MariusP]

Hi,
Wir verwenden, für u.a. interne Tests auf Linux, Strongswan.
Recht umfangreich und bietet viele Einstellungsbeispiele in deren Wikis/webpage.
Gruß

[Koppelfeld]

Probiere es einmal mit vpnc.

[PappaBaer]

Hallo,

unter MAC nutze ich seit Jahren den integrierten VPN-Cliient. Einstellungen->Netzwerk->+->VPN->Cisco IPSec
Da ist zwar kein Split-Tunneling möglich, d.h. bei aktiver Verbindung läuft sämtlicher Netzwerkverkehr über den Tunnel, aber zumindest brauchst Du Dir dann über Routen keinen Kopf machen.

Grüße,
Torsten

[joblack]

Danke für die bisherigen Antworten.

- StrongSwan hatte ich ausprobiert. Bis jetzt habe ich es aber noch nicht mit unseren aktuellen Einstellungen zum laufen gebracht. Gäbe es denn auch einen Windows Client?
- vpnc hatte ich auch abgecheckt. Aber das wird anscheinend seit Jahren nicht weiterentwickelt und hatte auch nicht alle Features (Xauth, ...) die wir benutzen
- Split Tunneling müsste leider schon sein. Sonst Streamen ein paar Mitarbeiter zu Hause ihre Musik und unsere Leitung ist zu.

Der Lancom Router kann die VPN-Routen/Netze aber grundsätzlich auf die Clients schieben? Geht dasbei euch unter Strongswan und vpnc? Und falls ja, welche Optionen habt ihr im LCOS aktiviert?

[MariusP]

Hi,

StrongSwan hatte ich ausprobiert. Bis jetzt habe ich es aber noch nicht mit unseren aktuellen Einstellungen zum laufen gebracht

Magst das aktuelle Einstellungen etwas genauer beschreiben. Oder hast du Traces/Wireshark-Captures vom Fehlerfall?
Bei Strongswan gibst es auch ein Logging: https://wiki.strongswan.org/projects/st ... figuration

Code: Alles auswählen

# strongswan.conf - strongSwan configuration file

charon {
	# number of worker threads in charon
	threads = 16

	# send strongswan vendor ID?
	# send_vendor_id = yes
	filelog{
		/home/marius/IKEv2_TESTs/charon.log{
			esp=3
			time_format = %b %e %T
			flush_line = yes
			auth {
				default = -1
				ike = 3
				enc= 4
				net=4
				esp=3				
                	}
		}
	}

        syslog {
                # default level to the LOG_DAEMON facility
                daemon {
			esp = 3
                }
                # very minimalistic IKE auditing logs to LOG_AUTHPRIV
                auth {
			default = -1
			ike = 2
			enc= 4
			esp = 3
		}
	}
	# ...
}

pluto {

}

libstrongswan {

	#  set to no, the DH exponent size is optimized
	#  dh_exponent_ansi_x9_42 = no
}

Weitere Post von mir zu dem Thema: http://www.lancom-forum.de/search.php?k ... bmit=Suche

Gruß

[joblack]

Hallo MariusP,

danke für die Konfiguration.

Ich hatte es mit der IKEv1 Konfiguration ausprobiert. Die IP und die IDs habe ich für das Posting ausgetauscht.

config setup
# strictcrlpolicy=yes
# uniqueids = no

conn %default
ikelifetime=24h
keyexchange=ikev1
# Add connections here.

conn conname
left=%any
leftid=email@addresse.de
leftsourceip=%config
leftauth=psk
leftauth2=xauth
leftfirewall=yes
right=$GW_IP
rightid=$GW_IP
rightsubnet=192.168.0.0/24
rightauth=psk
xauth_identity=someid
auto=add

StrongSwan

root@v73221:/home/asdfk# ipsec up someid
initiating Aggressive Mode IKE_SA qudo[1] to IP
generating AGGRESSIVE request 0 [ SA KE No ID V V V V ]
sending packet: from 178.254.41.185[500] to IP[500] (592 bytes)
received packet: from IP[500] to 178.254.41.185[500] (40 bytes)
parsed INFORMATIONAL_V1 request 0 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'someid' failed

LANCOM

[VPN-Status] 2017/03/23 16:21:55,201
IKE info: Phase-2 failed for peer VPN_OOO: no rule matches the phase-2 ids 192.168.11.107 <-> $IP
IKE log: 162155.202381 Default message_negotiate_sa: no compatible proposal found
IKE log: 162155.202417 Default dropped message from 178.254.41.185 port 500 due to notific ation type NO_PROPOSAL_CHOSEN

Ich wollte erst mal den Fall mit festen Policies / Routen abchecken. Besser wäre es wenn die Routen vom Lancom Router rübergepusht werden.

StrongSwan sieht ingesamt ziemlich gut aus. Ich finde die Dokumentation allerdings noch nicht ausführlich genug so dass ich rumprobieren musste.

[MariusP]

Hi,
Was hast du denn in der conn section als ike&esp Werte stehen?
https://wiki.strongswan.org/projects/st ... onnSection
Und wie hast du den Lancom von den Proposals her verwendet?

Code: Alles auswählen

show vpn long

oder ähnlich Angaben für die verwendeten Proposals wären praktisch.
Ansonsten kannst du noch den vpn-ike trace anwerfen und die Pakete dir im Detail anschauen.

Ich hatte es mit der IKEv1 Konfiguration ausprobiert

Strongswan und IKEv1 haben wir nicht soo viel verwendet sondern eher im Zusammenhang mit IKEv2. IKEv2 sollte dir auch wesentlich mehr Möglichkeiten bieten, als IKEv1, außer du bist natürlich wegen andere Vorraussetzungen an IKEv1 gebunden.

Bis Dienstag.
Gruß

[joblack]

Kann ich mit dem Lancom unter IKEv2 auch xauth verwenden? Und falls ja wie?

[MariusP]

Hi,
https://www2.lancom.de/kb.nsf/1275/22AE ... enDocument

Zu deiner Frage IKEv2 bietet RADIUS-Unterstüzung, welche dem selben Zweck dient.
Beispiel hier zu finden: https://www2.lancom.de/kb.nsf/1275/55E4 ... enDocument

Habe ich aber selber nichts mit gemacht, aber vielleicht kann ein anderer im Forum helfen, sofern die Tutorials nicht reichen. (Du kannst gerne per PM anmerken wenn ein Tutorial nicht ausreichend beschrieben oder ein bestimmtes Thema nicht behandelt wird)
Gruß

[joblack]

Danke. Allerdings einen vollständigen Radiusserver dafür aufzubauen sieht etwas nach Overkill aus.

Unter IKEv1 ging das immer unter

Kommunikation -> Protokolle -> PPP-Liste

dann der entsprechende Eintrag und fertig war das XAUTH.

[MariusP]

Hi,
Für was brauchst du denn die Challenge Request Anmeldung?
Reichen zertifikate, PSK, usw. nicht aus?
Gruß

[joblack]

Wenn jemand einen Notebook klaut muss die Person nur auf Connect drücken und wäre im Firmennetz. Klar man kann Festplatten verschlüsseln aber das geht bei uns nicht mit allen Notebooks.

[MariusP]

Hi,
Du willst also zur Sicherheit, dass der User Live während des Aufbaus ein Kennwort eingibt?
Denn das bisherige war ja auch über auf dem Notebook hinterlegte Daten.

Wenn jemand einen Notebook klaut muss die Person nur auf Connect drücken und wäre im Firmennetz. Klar man kann Festplatten verschlüsseln aber das geht bei uns nicht mit allen Notebooks.

Und wie soll dich Standard IKEv1 Xauth dagegen schützen?
Gruß

[joblack]

Hi,
Du willst also zur Sicherheit, dass der User Live während des Aufbaus ein Kennwort eingibt?
Denn das bisherige war ja auch über auf dem Notebook hinterlegte Daten.

Wenn jemand einen Notebook klaut muss die Person nur auf Connect drücken und wäre im Firmennetz. Klar man kann Festplatten verschlüsseln aber das geht bei uns nicht mit allen Notebooks.

Und wie soll dich Standard IKEv1 Xauth dagegen schützen?
Gruß

XAuth ist ja die zweite Stufe der Autorisierung bzw. Authentifizierung. Ohne Username und Passwort kommt man auch mit einem korrekte VPN-Profil und Shared Secret nicht ins VPN.

Und wenn man nicht gerade asdf123 als Kennwort genommen hat dürfte es einem Dieb schwer fallen ins VPN einzubrechen. Zumindest bis man das Profil auf dem Router deaktiviert.