Hallo zusammen,
ich brauche irgendwie eine Lösung, einen VPN Client zur Einwahl in Lancom Router auf einem Windows 2003 Server zu installieren.
Der Advanced VPN - Client bricht bei der Installation leider ab (am Schluss bei der Installation der virtuellen Netzwerkkarte).
Ideen hierzu?
Welcher andere Client tut es evtl. sonst?
Danke...
Markus
[Welcher bzw. wie?] VPN Client auf Windows 2003 Server SP1
Moderator: Lancom-Systems Moderatoren
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
Hallo,
"TheGreenBow VPN" (www.thegreenbow.com) wäre eine Alternative. Erfolgreich benutzt im Zusammenspiel von Windows XP, LANCOM Router mit Main Mode und Zertifikaten.
Gruß,
omd
"TheGreenBow VPN" (www.thegreenbow.com) wäre eine Alternative. Erfolgreich benutzt im Zusammenspiel von Windows XP, LANCOM Router mit Main Mode und Zertifikaten.
Gruß,
omd
LC 1811 / LCOS 5.08
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
Hallo OMD!
Danke für den Tip mit Thegreenbow, habe ich mir auch schon angesehen und kommt eigentlich als einige der wenigen Clients in Frage, wenn das Ding denn auch mit Terminal (RDP) Sitzungen umgehen könnte.
Der technische Service schreibt, man würde an diesem "Bug" arbeiten.
Noch Ideen dazu (Benutzung als Terminal-User)?
Und: Wenn du den mit dem LANCOM laufen hast, gib mir doch mal bitte eine mögliche Config. Ist die dann ähnlich gut verschlüsselt wie mit dem NCP-Client?
Danke!
Gruß
Markus
Danke für den Tip mit Thegreenbow, habe ich mir auch schon angesehen und kommt eigentlich als einige der wenigen Clients in Frage, wenn das Ding denn auch mit Terminal (RDP) Sitzungen umgehen könnte.
Der technische Service schreibt, man würde an diesem "Bug" arbeiten.
Noch Ideen dazu (Benutzung als Terminal-User)?
Und: Wenn du den mit dem LANCOM laufen hast, gib mir doch mal bitte eine mögliche Config. Ist die dann ähnlich gut verschlüsselt wie mit dem NCP-Client?
Danke!
Gruß
Markus
Hallo,
hier ist noch die 2.5er-Version im Einsatz. RDP wird benutzt, jedoch mit TGB auf Clientseite (Remotedesktop-Zugriff auf einen Rechner hinter einem LANCOM Router).
Die VPN-Konfiguration ist LANCOM-seitig glaube unverändert die vom Assistenten erstellte (für Advanced Client, Main Mode + Zertifikate). Die Client-Konfiguration ist den Attachments entnehmbar. Sicherheitstechnisch sind die Parameter wohl noch steigerbar. Weshalb LANCOM per default MD5 verwendet wäre z.B. eine Frage, SHA ist glaube aus heutiger Sicht überlegen.
Es gibt einen kleinen Unterschied zum Advanced Client: Die Zertifikate müssen bei TGB offen auf dem Datenträger abgelegt werden. Beim Advanced Client sind sie verschlüsselt in einer PKCS12(?) Datei abgelegt. Das Passwort zum Entschlüsseln wird dann auf Wunsch bei jedem Verbindungsversuch abgefragt (der Adv. Client nennt es "PIN").
Wenn jemand Zugriff auf Deine VPN-Konfiguration+Zertifikat erlangt, braucht er also bei TGB nicht noch das Passwort der pkcs-Datei erraten... ist sicherheitstechnisch wohl erstmal ein Nachteil, ob es einen Angreifer letztlich abhält ist eine andere Frage.
Ich verwende den TGB im USB-Modus. Dort sind Konfiguration und Zertifikat auf einem USB-Stick abgelegt; wenn man den einsteckt, wird die VPN-Verbindung aufgebaut bzw. vorbereitet. (USB-Token für Arme..)
Gruß,
omd
hier ist noch die 2.5er-Version im Einsatz. RDP wird benutzt, jedoch mit TGB auf Clientseite (Remotedesktop-Zugriff auf einen Rechner hinter einem LANCOM Router).
Die VPN-Konfiguration ist LANCOM-seitig glaube unverändert die vom Assistenten erstellte (für Advanced Client, Main Mode + Zertifikate). Die Client-Konfiguration ist den Attachments entnehmbar. Sicherheitstechnisch sind die Parameter wohl noch steigerbar. Weshalb LANCOM per default MD5 verwendet wäre z.B. eine Frage, SHA ist glaube aus heutiger Sicht überlegen.
Es gibt einen kleinen Unterschied zum Advanced Client: Die Zertifikate müssen bei TGB offen auf dem Datenträger abgelegt werden. Beim Advanced Client sind sie verschlüsselt in einer PKCS12(?) Datei abgelegt. Das Passwort zum Entschlüsseln wird dann auf Wunsch bei jedem Verbindungsversuch abgefragt (der Adv. Client nennt es "PIN").
Wenn jemand Zugriff auf Deine VPN-Konfiguration+Zertifikat erlangt, braucht er also bei TGB nicht noch das Passwort der pkcs-Datei erraten... ist sicherheitstechnisch wohl erstmal ein Nachteil, ob es einen Angreifer letztlich abhält ist eine andere Frage.
Ich verwende den TGB im USB-Modus. Dort sind Konfiguration und Zertifikat auf einem USB-Stick abgelegt; wenn man den einsteckt, wird die VPN-Verbindung aufgebaut bzw. vorbereitet. (USB-Token für Arme..)
Gruß,
omd
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LC 1811 / LCOS 5.08
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
Hey omd,
nicht, dass wir aneinander vorbeireden: Der VPN Client funktioniert einwandfrei, solange ich lokal davor sitze und mich am Server als Benutzer oder Admin anmelde. Doch sobald von aussen eine RDP Verbindung zum Server mit dem installieren VPN Client aufgebaut wird, kann der VPN Client nicht mehr mit seinem Dienst kommunizieren... so kann kein RDP-User die Software nutzen. Und was will ich lokal vor der Maschine... ?
Probier es mal...
Mir würde es schon genügen, wenn sich EIN RDP-Benutzer vom Server aus raustunneln könnte - bei mehreren Tunneln simultan sicher schon wieder schwieriger...
Weißt du, was ich meine?
Gruß
Markus
nicht, dass wir aneinander vorbeireden: Der VPN Client funktioniert einwandfrei, solange ich lokal davor sitze und mich am Server als Benutzer oder Admin anmelde. Doch sobald von aussen eine RDP Verbindung zum Server mit dem installieren VPN Client aufgebaut wird, kann der VPN Client nicht mehr mit seinem Dienst kommunizieren... so kann kein RDP-User die Software nutzen. Und was will ich lokal vor der Maschine... ?
Probier es mal...
Mir würde es schon genügen, wenn sich EIN RDP-Benutzer vom Server aus raustunneln könnte - bei mehreren Tunneln simultan sicher schon wieder schwieriger...
Weißt du, was ich meine?
Gruß
Markus
Das war in der Tat ein Mißverständnis; Dachte Du wolltest die Terminaldienste über die VPN-Verbindung nutzen.
Ansonsten kann ich das Problem leider bestätigen: Zwar funktioniert hier die Nutzung über RDP an sich, jedoch stolpert die Software im Mehrbenutzerbetrieb. Die Software startet bei eingeschränkten Benutzerrechten überhaupt nicht; Beim zweiten Admin-Nutzer, der den Client gleichzeitig oder nacheinander startet, bleibt die GUI mit "IKE Modul wird gestartet" hängen.
Gruß,
omd
Ansonsten kann ich das Problem leider bestätigen: Zwar funktioniert hier die Nutzung über RDP an sich, jedoch stolpert die Software im Mehrbenutzerbetrieb. Die Software startet bei eingeschränkten Benutzerrechten überhaupt nicht; Beim zweiten Admin-Nutzer, der den Client gleichzeitig oder nacheinander startet, bleibt die GUI mit "IKE Modul wird gestartet" hängen.
Gruß,
omd
LC 1811 / LCOS 5.08
Eine Möglichkeit wäre, mit dem separat erhältlichen Tool "vpnstart.exe" die Startart auf "Boot" zu stellen und den vpnconf.exe-Eintrag (das ist die GUI) in der Registry aus dem Run-Ordner herauszunehmen.
Allerdings nur, wenn es akzeptabel ist, dass die VPN-Verbindung bei entsprechenden Verbindungen jederzeit etabliert wird...
Gruß,
omd
Allerdings nur, wenn es akzeptabel ist, dass die VPN-Verbindung bei entsprechenden Verbindungen jederzeit etabliert wird...
Gruß,
omd
LC 1811 / LCOS 5.08
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
Vpnstart.exe von der tgb website... damit kann man einstellen, dass die VPN-Geschichte direkt beim Start, noch vor einem Benutzer-Login, gestartet wird:
Eine VPN-Verbindung wird letztlich erst aufgebaut, wenn der erste Zugriff auf ein entferntes (konfiguriertes) Netzwerk geschieht. Das sieht man, wenn man einen Ping auf einen Rechner auf der anderen Seite eines VPN macht: Erst Timeouts, nach kurzer Zeit kommt ein Echo zurück.
Die GUI ist ja bei TheGreenBow letztlich nur zur Konfiguration da, die Verbindungen werden bei Bedarf selbsttätig aufgebaut. (Im Gegensatz zum Advanced Client, der sich in der GUI deutlicher des klassischen Einwahl-Prinzips bedient.)
omd
Eine VPN-Verbindung wird letztlich erst aufgebaut, wenn der erste Zugriff auf ein entferntes (konfiguriertes) Netzwerk geschieht. Das sieht man, wenn man einen Ping auf einen Rechner auf der anderen Seite eines VPN macht: Erst Timeouts, nach kurzer Zeit kommt ein Echo zurück.
Die GUI ist ja bei TheGreenBow letztlich nur zur Konfiguration da, die Verbindungen werden bei Bedarf selbsttätig aufgebaut. (Im Gegensatz zum Advanced Client, der sich in der GUI deutlicher des klassischen Einwahl-Prinzips bedient.)
omd
LC 1811 / LCOS 5.08
-
markusbutz
- Beiträge: 8
- Registriert: 20 Dez 2005, 18:13
Achso, siehst du, so weit war ich noch gar nicht...
Und so würde es in einer RDP Instanz funktionieren?
Und: Was passiert eigentlich, wenn ich zwei identische Ziel-Netze habe (und das auch nicht ändern kann) und jeweils nur eins benutzen will? Dann müsste ich ja doch mit der GUI den einen Tunnel deaktivieren, den anderen aktivieren?
Gruß
Markus
Und so würde es in einer RDP Instanz funktionieren?
Und: Was passiert eigentlich, wenn ich zwei identische Ziel-Netze habe (und das auch nicht ändern kann) und jeweils nur eins benutzen will? Dann müsste ich ja doch mit der GUI den einen Tunnel deaktivieren, den anderen aktivieren?
Gruß
Markus
Ja; Es ist dann meines Erachtens von Benutzer-Sessions abgekoppelt.markusbutz hat geschrieben:Und so würde es in einer RDP Instanz funktionieren?
Sehe ich auch so... was wohl wieder ein Problem darstellt.Und: Was passiert eigentlich, wenn ich zwei identische Ziel-Netze habe (und das auch nicht ändern kann) und jeweils nur eins benutzen will? Dann müsste ich ja doch mit der GUI den einen Tunnel deaktivieren, den anderen aktivieren?
Ein zweiter evtl. möglicher Ansatz:
Ich habe den Eindruck, dass der Client auch im Mehrbenutzerbetrieb funktioniert, solange man die Nutzung der VPNConf-GUI strikt auf einen Nutzer beschränkt. Man könnte also evtl. einen ausdrücklichen VPN-Nutzer hernehmen, und den VPN-Client (bzw. die GUI) nur in dessen Kontext ggf. über die "Ausführen als..."-Funktion bedienen. Da der TGB-Client jedoch scheinbar nicht mit normalen Benutzerrechten zurechtkommt, wäre das aber möglicherweise nicht praktikabel, wenn man damit in den Rechten eingeschränkten Nutzern das Passwort eines Admin-Nutzers an die Hand geben müsste.
Falls es reicht, dass nur ein Nutzer überhaupt den VPN-Client verwendet, und dieser auch noch über Admin-Rechte verfügt, dann sollte es eigentlich auch ohne weiteres funktionieren und auch per RDP. (Bin ja weiterhin der Ansicht, dass es mit RDP selbst nichts zu tun hat.)
Leider alles nicht so richtig überzeugend...
Gruß,
omd
LC 1811 / LCOS 5.08