Hallo,
bekanntermaßen ist VPN ja leider nicht gleich VPN. Da ich mich auch noch nicht so sehr gut mit der Geschichte auskenne und das VPN der LANCOMs ja eher auf dem üblichen IPSec basiert, hier also meine Frage.
Ich möchte mit einem LANCOM 1811 eine PPTP-VPN-Verbindung aufbauen, die man z. B. mit Windows XP wie folgt einrichtet:
- Assistent für neue Verbindungen aufrufen
- Verbindung mit dem Netzwerk am Arbeitsplatz herstellen (Stellt eine ... VPN-Verbindung her)
- VPN-Verbindung auswählen
- IP-Adresse eingeben zu dem eine Verbindung hergestellt werden soll (diese feste IP ist mir natürlich bekannt).
(- Fertig stellen)
- (Eigenschaften -> Netzwerk -> VPN-Typ) PPTP-VPN einstellen
Das ganze funktioniert mit Windows, nun möchte ich aber, dass die Verbindung der LANCOM herstellt, da alle Rechner im LAN bei WAN-Verbindungen über diese VPN-Verbindung rausgehen sollen.
Geht das oder geht das nicht? Falls ja, wie? Falls nein, warum nicht und gibt es Aussichten, dass sich das mal ändert?
P.S.: Wenn man die VPN-Verbindung aufbauen will, muss natürlich noch Benutzername und Passwort angegeben werden.
Vielen Dank und viele Grüße,
Jirka
VPN-Verbindung mit PPTP möglich?
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Jirka,
normalerweise Verbinde ich mich anstelle von ISDN per PPTP auf einen DSL/10i. Das geht ganz gut(Netbios/Wins geht nicht so toll), wird jedoch immer vom Client initiiert. Wenn ich mehrere Rechner verbinden möchte, aktiviere ich eine PPTP Verbindung in meinem Router (DSL/10 bzw. 1811) dabei muss ich mangels statischer IP die aktuelle IP der Gegenstelle Eintragen. Dann übernimmt der Router die Verbindung.
In deinem Fall würde ich sagen, es ist möglich allerdings nur ohne Verschlüsselung der Strecke, AUTH Verfahren ist Wählbar, z.B.Chap.
Und hier nochmals eine Bitte an die Lancom Entwickler.
Könnt ihr nicht FQDNs anstelle der IP bei PPTP erlauben/einbauen. Ich weiß, eine DNS Auflösung unter TCP/IP ist anders, als bei den Pings(ICMP) oder Timeservern(UDP), aber da hat es ja auch mittlerweile geklappt.
Hoffentlich wünscht sich das mal ein einflussreicher Kunde und ihr dürft euch offiziell drum kümmern.
Keep it up
Michael
normalerweise Verbinde ich mich anstelle von ISDN per PPTP auf einen DSL/10i. Das geht ganz gut(Netbios/Wins geht nicht so toll), wird jedoch immer vom Client initiiert. Wenn ich mehrere Rechner verbinden möchte, aktiviere ich eine PPTP Verbindung in meinem Router (DSL/10 bzw. 1811) dabei muss ich mangels statischer IP die aktuelle IP der Gegenstelle Eintragen. Dann übernimmt der Router die Verbindung.
In deinem Fall würde ich sagen, es ist möglich allerdings nur ohne Verschlüsselung der Strecke, AUTH Verfahren ist Wählbar, z.B.Chap.
Und hier nochmals eine Bitte an die Lancom Entwickler.
Könnt ihr nicht FQDNs anstelle der IP bei PPTP erlauben/einbauen. Ich weiß, eine DNS Auflösung unter TCP/IP ist anders, als bei den Pings(ICMP) oder Timeservern(UDP), aber da hat es ja auch mittlerweile geklappt.
Hoffentlich wünscht sich das mal ein einflussreicher Kunde und ihr dürft euch offiziell drum kümmern.
Keep it up
Michael
Hi Michael,
danke erst mal für deine Antwort - mal sehen was andere schlaue Leute noch so zu sagen ...
> In deinem Fall würde ich sagen, es ist möglich allerdings nur ohne Verschlüsselung der Strecke, AUTH Verfahren ist Wählbar, z.B.Chap
Hmm - und mit Datenverschlüsselung?! Also das ist hier schon verschlüsselt und sollte es dann natürlich auch sein - ich glaube ohne erlaubt die Gegenseite gar nicht.
Viele Grüße,
Jirka
danke erst mal für deine Antwort - mal sehen was andere schlaue Leute noch so zu sagen ...
> In deinem Fall würde ich sagen, es ist möglich allerdings nur ohne Verschlüsselung der Strecke, AUTH Verfahren ist Wählbar, z.B.Chap
Hmm - und mit Datenverschlüsselung?! Also das ist hier schon verschlüsselt und sollte es dann natürlich auch sein - ich glaube ohne erlaubt die Gegenseite gar nicht.
Viele Grüße,
Jirka
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Jirka,
soweit ich weiß können Lancoms "nur" unverschlüsselte VPN Tunnel mit PPTP.
Ob das lizensrechtlich (Microsoft?) bedingt ist weiß ich nicht.
Nur allzu gerne würde ich mich hier irren.
Allerdings habe ich hierzu auch noch keinen Etherreal/Dump Test durchgeführt.
PPTP Verschlüsselung wäre super auf WEP Strecken.
Michael
soweit ich weiß können Lancoms "nur" unverschlüsselte VPN Tunnel mit PPTP.
Ob das lizensrechtlich (Microsoft?) bedingt ist weiß ich nicht.
Nur allzu gerne würde ich mich hier irren.
Allerdings habe ich hierzu auch noch keinen Etherreal/Dump Test durchgeführt.
PPTP Verschlüsselung wäre super auf WEP Strecken.
Michael
Da hast Du recht, PPTP ist bei LANCOM immer unverschlüsselt (sonst könnte ein nicht VPN Router wie ein DSL 10/I10 kaum solche Verbindungen aufbauen).Michael008 hat geschrieben:Hi Jirka,
soweit ich weiß können Lancoms "nur" unverschlüsselte VPN Tunnel mit PPTP.
Ob das lizensrechtlich (Microsoft?) bedingt ist weiß ich nicht.
Nur allzu gerne würde ich mich hier irren.
Allerdings habe ich hierzu auch noch keinen Etherreal/Dump Test durchgeführt.
PPTP Verschlüsselung wäre super auf WEP Strecken.
Michael
Daher geht auch keine Windows PPTP oder L2TP VPN Verbindung gegen einen LANCOM VPN Router.
Mfg. Lestat
Hi Lestat
Damit das Windows-PPTP zu einem LANCOM eine Verbindung aufbauen kann, mußt du nur einstellen, daß auch eine unverschlüsselte Verbindung zulässig ist...
Gruß
Backslash
Das PPTP beim LANCOM ist zwar unverschlüsselt, aber das heißt nicht, daß Windows keine PPTP-Verbindung aufbauen könnte. Was meinst Du, was der Standard-VPN Client macht? Der ist nur ein Frontend, das eine PPTP-Verbindung einrichtet, diese aufbaut und dann den Windows-eigenen VPN-Stack konfiguriert.Daher geht auch keine Windows PPTP oder L2TP VPN Verbindung gegen einen LANCOM VPN Router
Damit das Windows-PPTP zu einem LANCOM eine Verbindung aufbauen kann, mußt du nur einstellen, daß auch eine unverschlüsselte Verbindung zulässig ist...
Gruß
Backslash
Hallo,
vielen Dank für die bisherigen Antworten.
Also ich hab's bisher noch nicht hinbekommen (vielleicht geht es auch gar nicht - aber versuchen wollte ich es, weil die Ausweichvariante wird sonst noch schwieriger).
> Daher geht auch keine Windows PPTP oder L2TP VPN Verbindung gegen einen LANCOM VPN Router.
Aha. Aber ich möchte auch keine Verbindung mit Windows gegen einen LANCOM VPN-Router aufbauen.
Ich möchte, dass der LANCOM eine PPTP-Verbindung auf der Standard-Gegenstelle aufbaut (und somit eine Internetnutzung möglich ist). Mit Windows geht das - und wie das geht, hatte ich ganz oben beschrieben. Und das ganze soll jetzt der LANCOM machen.
So, ich habe jetzt eine Gegenstelle, nennen wir sie mal INET, in der DSL-Namensliste. Layer ist DHCPOE und Haltezeit 9.999 s. In der PPTP-Liste könnte ich jetzt einen Eintrag machen - ok. Und wo gebe ich jetzt Benutzername und Passwort ein? In der PPP-Liste? Wird das PPP denn im Zusammenhang mit PPTP genutzt?
Viele Grüße,
Jirka
vielen Dank für die bisherigen Antworten.
Also ich hab's bisher noch nicht hinbekommen (vielleicht geht es auch gar nicht - aber versuchen wollte ich es, weil die Ausweichvariante wird sonst noch schwieriger).
> Daher geht auch keine Windows PPTP oder L2TP VPN Verbindung gegen einen LANCOM VPN Router.
Aha. Aber ich möchte auch keine Verbindung mit Windows gegen einen LANCOM VPN-Router aufbauen.
Ich möchte, dass der LANCOM eine PPTP-Verbindung auf der Standard-Gegenstelle aufbaut (und somit eine Internetnutzung möglich ist). Mit Windows geht das - und wie das geht, hatte ich ganz oben beschrieben. Und das ganze soll jetzt der LANCOM machen.
So, ich habe jetzt eine Gegenstelle, nennen wir sie mal INET, in der DSL-Namensliste. Layer ist DHCPOE und Haltezeit 9.999 s. In der PPTP-Liste könnte ich jetzt einen Eintrag machen - ok. Und wo gebe ich jetzt Benutzername und Passwort ein? In der PPP-Liste? Wird das PPP denn im Zusammenhang mit PPTP genutzt?
Viele Grüße,
Jirka
Zuletzt geändert von Jirka am 03 Mai 2005, 22:27, insgesamt 1-mal geändert.
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Jirka,
in der PPP-Liste ist der Gegenstellennamen=Loginname.
Benutzername leer
und Passwort, na ja..
Dann kannst du die Auth Methode noch wählen. CHAP ist da gut.
Dann noch bei PPTP-Liste überpefen ob der Gegenstellennamen gleich ist, wie beim PPP s.o.
So weit.
Jetzt muss noch die IP der Gegenstelle bei PPTP-Liste rein.
(Hier sollten praktischer weise auch FQDN erlaubt werden, für Dyndns Adressen)
Dein PPTP Server darf aber keine Verschlüsselung an haben.
Also gegen einen anderen Lancom klappt das so.
Michael
in der PPP-Liste ist der Gegenstellennamen=Loginname.
Benutzername leer
und Passwort, na ja..
Dann kannst du die Auth Methode noch wählen. CHAP ist da gut.
Dann noch bei PPTP-Liste überpefen ob der Gegenstellennamen gleich ist, wie beim PPP s.o.
So weit.
Jetzt muss noch die IP der Gegenstelle bei PPTP-Liste rein.
(Hier sollten praktischer weise auch FQDN erlaubt werden, für Dyndns Adressen)
Dein PPTP Server darf aber keine Verschlüsselung an haben.
Also gegen einen anderen Lancom klappt das so.
Michael
Hi,
> in der PPP-Liste ist der Gegenstellennamen=Loginname.
Hää?! Also der Meinung bin ich nicht, da kann man doch in den beiden folgenden Feldern Benutzername und Passwort angeben. Da sollte der Gegenstellenname also nichts mit einem Loginnamen zu tun haben. Vielleicht meinst du ja den Fall, dass sich jemand auf den LANCOM per PPTP einwählen soll - aber das soll keiner.
> Dann kannst du die Auth Methode noch wählen. CHAP ist da gut.
Das sollte bei mir auch nicht zutreffen, da dies Sicherungsverfahren sind, mit denen sich Gegenstellen bei meinem Router anmelden müssen. Dies ist bei mir aber nicht der Fall - da meine Gegenstelle mehr oder weniger mein Internetprovider ist.
> Dein PPTP Server darf aber keine Verschlüsselung an haben.
Hat er garantiert - aber vielleicht geht es auch ohne Verschlüsselung! Ansonsten muss ich die überreden, dass sie sowohl mit als auch ohne Verschlüsselung anbieten. Am liebsten wäre mir ja IPSec, aber davon war leider bisher gar keine Rede, man meint mit dem PPTP optimal ausgerüstet zu sein.
Zwischenstand: Ich hab mir mal angeschaut, was der Assistent so einrichtet, wenn man einen Internetzugang mit PPTP einrichtet. Interessant finde ich ja, das war mir damals schon bei dem einen Österreicher hier im Forum aufgefallen, dass der Gegenstellenname in der PPP-Liste nicht mit dem der Namenliste übereinstimmt - das finde ich nicht ganz nachvollziehbar. Aber immerhin trifft der gleiche Gegenstellenname (um das "-PPTP" erweitert) auch wieder in der PPTP-Liste auf.
Woher soll man eigentlich wissen, dass PPTP-Verbindungen nur unverschlüsselt ablaufen? Im Referenzhandbuch auf Seite 91 heißt es hierzu: "PPTP ermöglicht es, „Tunnel“ über IP-Netze zu einer Gegenstelle aufzubauen. Unter einem Tunnel versteht man eine logisch abgeschirmte Verbindung, die die übertragenen Daten vor dem unbefugten Zugriff Dritter schützen soll. Dazu wird der Verschlüsselungsalgorithmus RC4 eingesetzt."
Viele Grüße,
Jirka
> in der PPP-Liste ist der Gegenstellennamen=Loginname.
Hää?! Also der Meinung bin ich nicht, da kann man doch in den beiden folgenden Feldern Benutzername und Passwort angeben. Da sollte der Gegenstellenname also nichts mit einem Loginnamen zu tun haben. Vielleicht meinst du ja den Fall, dass sich jemand auf den LANCOM per PPTP einwählen soll - aber das soll keiner.
> Dann kannst du die Auth Methode noch wählen. CHAP ist da gut.
Das sollte bei mir auch nicht zutreffen, da dies Sicherungsverfahren sind, mit denen sich Gegenstellen bei meinem Router anmelden müssen. Dies ist bei mir aber nicht der Fall - da meine Gegenstelle mehr oder weniger mein Internetprovider ist.
> Dein PPTP Server darf aber keine Verschlüsselung an haben.
Hat er garantiert - aber vielleicht geht es auch ohne Verschlüsselung! Ansonsten muss ich die überreden, dass sie sowohl mit als auch ohne Verschlüsselung anbieten. Am liebsten wäre mir ja IPSec, aber davon war leider bisher gar keine Rede, man meint mit dem PPTP optimal ausgerüstet zu sein.
Zwischenstand: Ich hab mir mal angeschaut, was der Assistent so einrichtet, wenn man einen Internetzugang mit PPTP einrichtet. Interessant finde ich ja, das war mir damals schon bei dem einen Österreicher hier im Forum aufgefallen, dass der Gegenstellenname in der PPP-Liste nicht mit dem der Namenliste übereinstimmt - das finde ich nicht ganz nachvollziehbar. Aber immerhin trifft der gleiche Gegenstellenname (um das "-PPTP" erweitert) auch wieder in der PPTP-Liste auf.
Woher soll man eigentlich wissen, dass PPTP-Verbindungen nur unverschlüsselt ablaufen? Im Referenzhandbuch auf Seite 91 heißt es hierzu: "PPTP ermöglicht es, „Tunnel“ über IP-Netze zu einer Gegenstelle aufzubauen. Unter einem Tunnel versteht man eine logisch abgeschirmte Verbindung, die die übertragenen Daten vor dem unbefugten Zugriff Dritter schützen soll. Dazu wird der Verschlüsselungsalgorithmus RC4 eingesetzt."
Viele Grüße,
Jirka
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi Jirka,
Die Auth Art muss folglich = der vom Server verlangten sein.
VPN heißt nur: Ein Datenstrom wird getunnelt Verschlüsselung ist zwar sinnvoll bzw. ohne ist echt Käse aber das hat mit VPN direkt nix zu tun. Konnotativ wird dies jedoch in vielen Fällen impliziert.
Ein Virtuelles Privates Netzwerk (VPN) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netzwerk (zum Beispiel das Internet) nutzt. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netzwerk wird üblicherweise verschlüsselt. Der Begriff "Privat" impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netzwerke wird über einen Tunnel zwischen VPN-Client und VPN-Server ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN.Quelle: http://de.wikipedia.org/wiki/Vpn
Leider glaube ich nicht dass du dich per PPTP auf einen PPTP-Server mit Verschlüsselung verbinden kannst.
Falls doch würde mich das sehr interessieren.
Gruß
Michael
Ja, ich hab zwar die Einwahl gemeint. Aber es sollte für abgehende Verbindungen gleich sein.- Glaube ich, bin aber nicht ganz sicher.Hää?! Also der Meinung bin ich nicht, da kann man doch in den beiden folgenden Feldern Benutzername und Passwort angeben. Da sollte der Gegenstellenname also nichts mit einem Loginnamen zu tun haben. Vielleicht meinst du ja den Fall, dass sich jemand auf den LANCOM per PPTP einwählen soll - aber das soll keiner.
Die Gegenstelle sollte bei einer PPTP Verbindung der PPTP Server sein, zu dem du dich verbinden willst.> Dann kannst du die Auth Methode noch wählen. CHAP ist da gut.
Das sollte bei mir auch nicht zutreffen, da dies Sicherungsverfahren sind, mit denen sich Gegenstellen bei meinem Router anmelden müssen. Dies ist bei mir aber nicht der Fall - da meine Gegenstelle mehr oder weniger mein Internetprovider ist.
Die Auth Art muss folglich = der vom Server verlangten sein.
Woher kommt die Definition?Unter einem Tunnel versteht man eine logisch abgeschirmte Verbindung, die die übertragenen Daten vor dem unbefugten Zugriff Dritter schützen soll. Dazu wird der Verschlüsselungsalgorithmus RC4 eingesetzt.
VPN heißt nur: Ein Datenstrom wird getunnelt Verschlüsselung ist zwar sinnvoll bzw. ohne ist echt Käse aber das hat mit VPN direkt nix zu tun. Konnotativ wird dies jedoch in vielen Fällen impliziert.
Ein Virtuelles Privates Netzwerk (VPN) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netzwerk (zum Beispiel das Internet) nutzt. Teilnehmer eines VPN können Daten wie in einem internen LAN austauschen. Die einzelnen Teilnehmer selbst müssen hierzu nicht direkt verbunden sein. Die Verbindung über das öffentliche Netzwerk wird üblicherweise verschlüsselt. Der Begriff "Privat" impliziert jedoch nicht, wie vielfach angenommen, dass es sich um eine verschlüsselte Übertragung handelt. Eine Verbindung der Netzwerke wird über einen Tunnel zwischen VPN-Client und VPN-Server ermöglicht. Meist wird der Tunnel dabei gesichert, aber auch ein ungesicherter Klartexttunnel ist ein VPN.Quelle: http://de.wikipedia.org/wiki/Vpn
Leider glaube ich nicht dass du dich per PPTP auf einen PPTP-Server mit Verschlüsselung verbinden kannst.
Falls doch würde mich das sehr interessieren.
Gruß
Michael
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi,
> Sorry, ... Tschuldi
Das war in keiner Weise als Vorwurf gedacht!
Ich habe jetzt mal die Verbindung mit Windows hergestellt, folgendes kann ich noch ablesen:
Eigenschaft | Wert
---------------------
Gerätename WAN-Miniport (PPTP)
Gerätetyp vpn
Servertyp PPP
Übertragungen TCP/IP
Authentifizierung MS CHAP V2
Verschlüsselung MPPE 128
Komprimierung (keine)
PPP-Multilinkframing Inaktiv
Server-IP-Adresse (v.w.x.y möchte ich hier nicht angeben)
Client-IP-Adresse (v.w.x.z möchte ich hier nicht angeben)
Viele Grüße,
Jirka
> Sorry, ... Tschuldi
Das war in keiner Weise als Vorwurf gedacht!
Ich habe jetzt mal die Verbindung mit Windows hergestellt, folgendes kann ich noch ablesen:
Eigenschaft | Wert
---------------------
Gerätename WAN-Miniport (PPTP)
Gerätetyp vpn
Servertyp PPP
Übertragungen TCP/IP
Authentifizierung MS CHAP V2
Verschlüsselung MPPE 128
Komprimierung (keine)
PPP-Multilinkframing Inaktiv
Server-IP-Adresse (v.w.x.y möchte ich hier nicht angeben)
Client-IP-Adresse (v.w.x.z möchte ich hier nicht angeben)
Viele Grüße,
Jirka
Hi Jirka,
Die Erste enthält den gewählten Namen enthält und dazu dient, die Verbindung zum PPTP-Server zu erreichen. Dazu wird in der Routing-Tabelle ein Eintrag der nur den PPTP-Server enthält auf diese Gegenstelle eingerichtet.
Die zweite ist dann die PPTP-Verbindung (also mit dem Zusatz "-PPTP") auf der dann die Default-Route liegt.
a) einen Internetzugang bereitzustellen (für Österreich)
b) als zugrunde liegender Transportweg für den "Standard VPN Client"
c) um auch IPX über eine mit IPSec gesicherte Strecke übertragen zu können
Wird das LANCOM von der Gegenstelle überprüft, so übermittelt es den für die jeweilige Gegnstelle konfigurierten Benutzernamen (ist kein Benutzername konfiguriert, so übermittelt es seinen Gerätenamen).
Normalerweise prüft immer nur der "angerufene" den "Anrufer", weshalb man bei einem Internetzugang "keine Überprüfung" und bei einer RAS-Einwahl eine Prüfung mit CHAP einrichtet.
Wenn man jedoch eine LAN-LAN-Kopplung einrichtet, dann wird normalerweise eine Kreuzauthentifizierung durchgeführt, d.h. beide Seiten überprüfen die jeweils andere.
- Eine Route für das zu erreichende Netz anlegen (ggf. mit Maskierung)
- ggf. noch eine Route anlegen unter der der PPTP-Server erreichbar ist (normalerweise die Default-Route)
- einen Eintrag in der PPTP-Tabelle aufnehmen und dort die Server-Adresse eintragen
- einen Eintrag in der PPP-Tabelle aufnehmen und dort Username und Paßwort eintragen und IP-Routing aktivieren
Gruß
Backslash
Der Wizard richtet zwei Gegenstellen ein.Zwischenstand: Ich hab mir mal angeschaut, was der Assistent so einrichtet, wenn man einen Internetzugang mit PPTP einrichtet. Interessant finde ich ja, das war mir damals schon bei dem einen Österreicher hier im Forum aufgefallen, dass der Gegenstellenname in der PPP-Liste nicht mit dem der Namenliste übereinstimmt - das finde ich nicht ganz nachvollziehbar. Aber immerhin trifft der gleiche Gegenstellenname (um das "-PPTP" erweitert) auch wieder in der PPTP-Liste auf
Die Erste enthält den gewählten Namen enthält und dazu dient, die Verbindung zum PPTP-Server zu erreichen. Dazu wird in der Routing-Tabelle ein Eintrag der nur den PPTP-Server enthält auf diese Gegenstelle eingerichtet.
Die zweite ist dann die PPTP-Verbindung (also mit dem Zusatz "-PPTP") auf der dann die Default-Route liegt.
Das ist dann ein Fehler im Referenzhandbuch (da hat wohl der Schreiber bei Microsoft abgeschrieben...). Beim LANCOM ist das PPTP jedenfalls unverschlüsselt und dient letztendlich nur drei Zwecken:Woher soll man eigentlich wissen, dass PPTP-Verbindungen nur unverschlüsselt ablaufen? Im Referenzhandbuch auf Seite 91 heißt es hierzu: "PPTP ermöglicht es, „Tunnel“ über IP-Netze zu einer Gegenstelle aufzubauen. Unter einem Tunnel versteht man eine logisch abgeschirmte Verbindung, die die übertragenen Daten vor dem unbefugten Zugriff Dritter schützen soll. Dazu wird der Verschlüsselungsalgorithmus RC4 eingesetzt."
a) einen Internetzugang bereitzustellen (für Österreich)
b) als zugrunde liegender Transportweg für den "Standard VPN Client"
c) um auch IPX über eine mit IPSec gesicherte Strecke übertragen zu können
Wenn das LANCOM die Gegenstelle prüft (über PAP oder CHAP) dann muß die Gegenstelle als ihren Usernamen den Gegenstellennamen übermitteln.> in der PPP-Liste ist der Gegenstellennamen=Loginname.
Hää?! Also der Meinung bin ich nicht, da kann man doch in den beiden folgenden Feldern Benutzername und Passwort angeben. Da sollte der Gegenstellenname also nichts mit einem Loginnamen zu tun haben. Vielleicht meinst du ja den Fall, dass sich jemand auf den LANCOM per PPTP einwählen soll - aber das soll keiner.
Wird das LANCOM von der Gegenstelle überprüft, so übermittelt es den für die jeweilige Gegnstelle konfigurierten Benutzernamen (ist kein Benutzername konfiguriert, so übermittelt es seinen Gerätenamen).
Normalerweise prüft immer nur der "angerufene" den "Anrufer", weshalb man bei einem Internetzugang "keine Überprüfung" und bei einer RAS-Einwahl eine Prüfung mit CHAP einrichtet.
Wenn man jedoch eine LAN-LAN-Kopplung einrichtet, dann wird normalerweise eine Kreuzauthentifizierung durchgeführt, d.h. beide Seiten überprüfen die jeweils andere.
bis auf die Verschlüsselung ist das auch mit dem LANCOM möglich:Ich habe jetzt mal die Verbindung mit Windows hergestellt, folgendes kann ich noch ablesen:
Eigenschaft | Wert
---------------------
Gerätename WAN-Miniport (PPTP)
Gerätetyp vpn
Servertyp PPP
Übertragungen TCP/IP
Authentifizierung MS CHAP V2
Verschlüsselung MPPE 128
Komprimierung (keine)
PPP-Multilinkframing Inaktiv
Server-IP-Adresse (v.w.x.y möchte ich hier nicht angeben)
Client-IP-Adresse (v.w.x.z möchte ich hier nicht angeben
- Eine Route für das zu erreichende Netz anlegen (ggf. mit Maskierung)
- ggf. noch eine Route anlegen unter der der PPTP-Server erreichbar ist (normalerweise die Default-Route)
- einen Eintrag in der PPTP-Tabelle aufnehmen und dort die Server-Adresse eintragen
- einen Eintrag in der PPP-Tabelle aufnehmen und dort Username und Paßwort eintragen und IP-Routing aktivieren
Gruß
Backslash
Hallo an alle,
vielen Dank für den klasse Beitrag Backslash! Damit sind jetzt wirklich alle Unklarheiten beseitigt und ich habe auch verstanden, wie das mit dem -PPTP wirklich funktioniert.
In den letzten Tagen habe ich noch etwas experimentiert. Trotzdem habe ich es nicht hinbekommen - als Info für Michael - , da der Server wirklich nur 40 und 128 bit Verschlüsselung unterstützt. Irgendwo sicher auch verständlich, da über dieses PPTP ja die Authentifizierung stattfinden soll und das ist ohne Verschlüsselung wohl nicht so der Hit.
Wie auch immer, das geht also nicht. Damit fällt aber auch diese Variante der Authentifizierung weg und ich müßte mich auf einer https-Seite mit Benutzernamen und Passwort erst mal anmelden - das wird der LANCOM mir wohl auch nicht abnehmen können. Weil das unterm Strich auch nicht so der Hit ist und ich nach Verbindungsab- und -aufbauten (warum auch immer) jedesmal erst neu "manuell" den Zugang herstellen müßte (und man ist ja nicht immer da) gefällt mir das also nicht so wirklich. Nun muss ich mal sehen, was ich organisiert bekomme, vielleicht lässt man sich mit einigem bitten und betteln auch auf MAC-Adresse mit fester IP und IPSec ein. Mal sehen ...
IPSec wäre dann vielleicht mit folgenden Einstellungen möglich:
(Zeichenerklärung: [x] ja, aktiv, möglich [ ] nein, nicht aktiv, leer)
IKE Settings
Exchange Mode
[x] Aggressive [ ] Main
Authentication method
[ ] Certificates [x] Pre-shared keys
Local Authentication
[x] User Name and Password/Pre-Shared Key
Encryption
[x] ESP - Triple DES with SHA1 Integrity
[x] ESP - Triple DES with MD5 Integrity
[x] ESP - 56-bit DES with SHA1 Integrity
[x] ESP - 56-bit DES with MD5 Integrity
[ ] ESP - 128-bit AES with MD5 Integrity
[ ] ESP - 128-bit AES with SHA1 Integrity
[ ] ESP - 192-bit AES with MD5 Integrity
[ ] ESP - 192-bit AES with SHA1 Integrity
[ ] ESP - 256-bit AES with MD5 Integrity
[ ] ESP - 256-bit AES with SHA1 Integrity
IKE Encryption
[ ] Diffie-Hellman Group 1
[x] Diffie-Hellman Group 2
[x] Diffie-Hellman Group 5
PFS
[x] Perfect forward secrecy (PFS) mode
Compression
[ ] Deflate
[ ] LZS
Das sollte doch erstmal gut aussehen, oder nicht?
Viele Grüße,
Jirka
vielen Dank für den klasse Beitrag Backslash! Damit sind jetzt wirklich alle Unklarheiten beseitigt und ich habe auch verstanden, wie das mit dem -PPTP wirklich funktioniert.
In den letzten Tagen habe ich noch etwas experimentiert. Trotzdem habe ich es nicht hinbekommen - als Info für Michael - , da der Server wirklich nur 40 und 128 bit Verschlüsselung unterstützt. Irgendwo sicher auch verständlich, da über dieses PPTP ja die Authentifizierung stattfinden soll und das ist ohne Verschlüsselung wohl nicht so der Hit.
Wie auch immer, das geht also nicht. Damit fällt aber auch diese Variante der Authentifizierung weg und ich müßte mich auf einer https-Seite mit Benutzernamen und Passwort erst mal anmelden - das wird der LANCOM mir wohl auch nicht abnehmen können. Weil das unterm Strich auch nicht so der Hit ist und ich nach Verbindungsab- und -aufbauten (warum auch immer) jedesmal erst neu "manuell" den Zugang herstellen müßte (und man ist ja nicht immer da) gefällt mir das also nicht so wirklich. Nun muss ich mal sehen, was ich organisiert bekomme, vielleicht lässt man sich mit einigem bitten und betteln auch auf MAC-Adresse mit fester IP und IPSec ein. Mal sehen ...
IPSec wäre dann vielleicht mit folgenden Einstellungen möglich:
(Zeichenerklärung: [x] ja, aktiv, möglich [ ] nein, nicht aktiv, leer)
IKE Settings
Exchange Mode
[x] Aggressive [ ] Main
Authentication method
[ ] Certificates [x] Pre-shared keys
Local Authentication
[x] User Name and Password/Pre-Shared Key
Encryption
[x] ESP - Triple DES with SHA1 Integrity
[x] ESP - Triple DES with MD5 Integrity
[x] ESP - 56-bit DES with SHA1 Integrity
[x] ESP - 56-bit DES with MD5 Integrity
[ ] ESP - 128-bit AES with MD5 Integrity
[ ] ESP - 128-bit AES with SHA1 Integrity
[ ] ESP - 192-bit AES with MD5 Integrity
[ ] ESP - 192-bit AES with SHA1 Integrity
[ ] ESP - 256-bit AES with MD5 Integrity
[ ] ESP - 256-bit AES with SHA1 Integrity
IKE Encryption
[ ] Diffie-Hellman Group 1
[x] Diffie-Hellman Group 2
[x] Diffie-Hellman Group 5
PFS
[x] Perfect forward secrecy (PFS) mode
Compression
[ ] Deflate
[ ] LZS
Das sollte doch erstmal gut aussehen, oder nicht?
Viele Grüße,
Jirka