VPN Windows Boardmittel mit RSA Signatur

[hornigunn]

Hallo,

die Windows IPSEC VPN-Verbindung mit PSK und die RSA Signatur-Methode mit dem ADV Client habe ich dank Hilfestellung hier im Forum hinbekommen-vielen Dank nochmals!

Jetzt hätte ich noch eine Frage zur Windows Boardmittel-IPSEC-Verbindung mit RSA:

Ich habe die Zertifikate am Clienten mittels ipsec.msc installiert und am Lancom eine RSA-Verbindung eingerichtet und die Routingtabelle wie bei der Methode für PSK nachbearbeitet.

Die VPN-Verbindung kommt auch erfolgreich zustande, aber nur, wenn ich wie bei der Methode mit PSK wiederum bei "externes Gateway" eine DYNDNS-Account-Adresse des Clienten eingebe.

Ich dachte nur, bei der RSA-Methode sei kein DYNDNS-Account des Clienten nötig (keine Zugangseinschränkungen)? Oder täusche ich mich da?

Gruß

[eddia]

Hallo hornigunn,

Die VPN-Verbindung kommt auch erfolgreich zustande, aber nur, wenn ich wie bei der Methode mit PSK wiederum bei "externes Gateway" eine DYNDNS-Account-Adresse des Clienten eingebe.

dann hast du offenbar mehrere VPN-Verbindungen für diesen Client eingerichtet und wirst gar nicht über RSA authentifiziert.

Das Zertifikat für den Lancom hast du aber ebenfalls eingespielt?

Ich dachte nur, bei der RSA-Methode sei kein DYNDNS-Account des Clienten nötig (keine Zugangseinschränkungen)? Oder täusche ich mich da?

'Keine Zugangseinschränkung' bezieht sich nur auf die Verwendung von privaten IP-Adressen des Clients. Für RSA benötigst du keine Auflösung des Clients durch den Lancom.

Gruß
Mario

[hornigunn]

Hallo Mario,

sorry, das verstehe ich jetzt noch nicht ganz

Am Lancom ist das Zertifikat richtig installiert, denn ich kann mit dem ADV Client erfolgreich eine Zertifikat-Verbindung herstellen.
An dem Remote-PC, von welchem aus ich per Windows Boardmittel zugreife, sind die Zertifikate auch im Betriebssystem richtig installiert, denn wenn ich z.B. eines der beiden installierten Zertifikate am PC wieder entferne, kommt kein Windows-VPN zustande, mit den installierten Zertifikaten aber schon. Also eigentlich müßte doch grundsätzlich schon alles richtig sein...

Bloß habe ich jetzt immer noch nicht richtig verstanden, ob für die RSA-Signatur die Änderungen in der Routingtabelle wie bei der PSK-Methode am Lancom überhaupt erfolgen müssen (also IP=255.255.255.255/Netzwerk 0.0.0.0/Routingtag=1) und welche IP unter "VPN-Verbindungen" im "Externes Gateway" eingetragen werden muß (LAN-IP des Clienten oder gar kein Eintrag???)

Bei mir ist es so: Das Firmennetzwerk hinter dem Lancomrouter hat ein DYNDNS-Account, über das VPN aufgebaut wird. Der Client ist ein privater PC ohne feste IP.

Kannst Du mir da bitte noch mal helfen?

Danke!

[eddia]

Hallo hornigunn,

An dem Remote-PC, von welchem aus ich per Windows Boardmittel zugreife, sind die Zertifikate auch im Betriebssystem richtig installiert, denn wenn ich z.B. eines der beiden installierten Zertifikate am PC wieder entferne, kommt kein Windows-VPN zustande, mit den installierten Zertifikaten aber schon.

Ja was denn nun? Vorher hattest du noch gesagt, dass du dann keine Verbindung herstellen könntest.

Du hast übrigens meine Frage nach einer eventuellen Mehrfachkonfiguration am Lancom für den Client nicht beantwortet. Ich vermute genau hier das Problem: Einmal Client für den ADV standardmässig mit AES und dann noch für das Windows-IPSec mit 3DES. Das funktioniert nur, wenn man für den ADV ein anderes Clientzertifikat als für die Windowslösung benutzt, da eben die Authentifizierung durch den Lancom über das vom Client übermittelte Zertifikat durchgeführt wird. Und wenn dann in der gemeinsam benutzten Proposalliste zuerst AES steht, hast du mit dem Windows-IPSec ein Problem...

Bloß habe ich jetzt immer noch nicht richtig verstanden, ob für die RSA-Signatur die Änderungen in der Routingtabelle wie bei der PSK-Methode am Lancom überhaupt erfolgen müssen (also IP=255.255.255.255/Netzwerk 0.0.0.0/Routingtag=1) und welche IP unter "VPN-Verbindungen" im "Externes Gateway" eingetragen werden muß (LAN-IP des Clienten oder gar kein Eintrag???)

Diese Änderung muss nur vorgenommen werden, falls der Client unterschiedliche WAN-IPs benutzt - egal ob das öffentliche oder private IPs sind. WAN-IP ist bei einem Dialup jene, welche das Dialup-Interface zugewiesen bekommt - bei einem Client im eigenen privaten Lan eben die IP des Clients im Lan.

Unter 'externes Gateway' muss gar nichts eingetragen werden. Entscheidend sind nur die Routingtabelle und die Firewallregel für diese VPN-Verbindung.

Gruß
Mario

[hornigunn]

Hallo Mario,

Ja was denn nun? Vorher hattest du noch gesagt, dass du dann keine Verbindung herstellen könntest.
Du hast übrigens meine Frage nach einer eventuellen Mehrfachkonfiguration am Lancom für den Client nicht beantwortet.

Das stimmt so nicht. Ich hatte geschrieben, daß es bei mir zwar funktioniert aber gefragt, ob man auf Clientenseite unbedingt ein DynDns-Account braucht, damit es funktioniert. Auch hattest Du mir so direkt keine Frage bezüglich der "Mehrfachkonfiguration" gestellt.

Okay, Problem ist gelöst. Nachdem ich die LAN-IP des Clienten anstelle einer virtuellen Büronetzwerk-IP in die Verbindung reingeschrieben habe und die ASN1-Namen der "konkurrierenden" Lancom-ADV-Client-Zertifikatsverbindung im Lancom deaktiviert habe, klappts.

Also: Herzlichen Dank!!!!

[eddia]

Hallo hornigunn,

Okay, Problem ist gelöst. Nachdem ich die LAN-IP des Clienten anstelle einer virtuellen Büronetzwerk-IP in die Verbindung reingeschrieben habe

man sollte eben dem FAQ-Hinweis "Bei der IP-Adresse gibt man jetzt die öffentliche IP des Clients bzw. (falls der Client selbst in einem LAN steht) dessen lokale IP an." Beachtung schenken.

Gruß
Mario