1611+ und Checkpoint VPN1 Gateway

NetMan · Beitrag von **NetMan** » 05 Dez 2005, 19:51

Hallo !
Ich hoffe hier kann mir jemand helfen.

Ich bin gerade dabei ein neues WAN über T-Systems zu implementieren, dabei möchte ich 2 kleinere Standorte über einen Lancom 1611+ und (dem von T-Systems gemanagten) Checkpoint VPN1 Gateway ins WAN hinzufügen.
Seitens T-Systems ist die Unterstützung sehr mager, sie wollen Ihr eigenes Produnkt verkaufen. Zumindest würden Sie mir entsprechende Dienste am VPN1 freischalten.

- Ist es überhautpt möglich ?
- Hat jemand Erfahrung mit dieser Konstellation ?
- Benötige ich zusätzlich das VPN Option Paket ?
- Welche Dienste müsste mit T-Systems freischalten.

Da ich etwas unter Zeitdruck stehe wäre ich selbst über Anregungen sehr erfreut.
DANKE !

froeschi62 · Beitrag von **froeschi62** » 07 Dez 2005, 05:58

Hallöchen,

also ich mache hier VPN Passthrough mit VPN-1 Secure Client -> Lancom 1821 -> VPN-1 Gateway -> Citrix Metaframe. Das klappt hervorragend. Ob sich der Lancom direkt über VPN mit dem VPN-1 Gateway verbinden kann, keine Ahnung.

Gruß
Dietmar
Ps: den VPN-1 Secure Client kann man sich ja kostenlos von der Fa. Checkpoint runterladen

goermet · Beitrag von **goermet** » 08 Dez 2005, 06:15

Checkpoint = Lancom geht, haben wir im Einsatz

froeschi62 · Beitrag von **froeschi62** » 08 Dez 2005, 06:24

Hallöchen,

könntest Du da mal eine Konfigurationsaufstellung posten, dann kann ich mir den VPN-1 Secure Client sparen.

Gruß
Dietmar

goermet · Beitrag von **goermet** » 08 Dez 2005, 06:27

Kann ich nachher mal raussuchen. War ganrnicht so schwer

froeschi62 · Beitrag von **froeschi62** » 08 Dez 2005, 06:30

Goermet,

super, da würde ich mich freuen!

Gruß
Dietmar

goermet · Beitrag von **goermet** » 08 Dez 2005, 18:29

Also

auf der Lancom Seite Siehts wie folgt aus

Verbidungsparameter:
kein PFS | IKE Gruppe 2 |

IKE Proposal
PSK-DES-SHA | PSK-DES-MD5

IKE Schlüssel: nur PKS

IPS
TN-DES-MD5-96 | TN-DES-SHA-96 | TR-DES-MD5-96

Die Checkpoint-Parameter hab ich noch nicht bekommen, die wollte der Kollege eigentlich noch schicken.

froeschi62 · Beitrag von **froeschi62** » 09 Dez 2005, 00:15

Goermet,

herzlichen Dank! Ja, wäre schön, wenn ich die Checkpoint-Parameter auch noch bekommen könnte.

Gruß
Dietmar

NetMan · Beitrag von **NetMan** » 09 Dez 2005, 17:28

Da habe ich ja das richtige angefragt und sogar jemanden gefunden der es einsetzt.

Goermet, ich kenne leider die Lancom 1611+ Konfigurationsparameter nicht 100%ig. Im ersten Moment war ich erschalgen von dem Umfang des Lanconfig.

Die von Dir angegebenen Parameter kann ich leider nicht alle finden.
Es ist die neueste Firmware 5.20 drauf.
Die Verbindungsparameter
- "kein PFS" finde ich so nicht.
- IKE Prosportal enthält bei mir kein PSK-DES
- IKE Schlüssel "nur PFS" muss erstellt werden
- IPS "TR-DES-MD5-96" ist ebenfalls nicht enthalten.
Bei der Fülle von Konfigurationsmöglichkeiten jeder einzelnen Punkte stehe ich ehrlich gesagt vollkommen auf dem Schlauch.

Mein größtest Problem ist: Am Montag den 12.12.05 müsste ich eine funktionierende Verbindung haben (Standort mit 8 Clients und 1 Server, die sich zur Zentrale verbinden). T-Systems stellt sich leider quer (alles zu bürokratisch) und ich versuche dieses Wochenende eine Notlösung vorbei an T-Systems zu finden.

Es wäre toll wenn Du noch weitere Tipps liefern könntest. so das ich im Nachhinein eine saubere Lösung aufbauen kann.

Im Voraus - Vielen Dank !

backslash · Beitrag von **backslash** » 09 Dez 2005, 18:59

Hi NetMan

- "kein PFS" finde ich so nicht.

das findest du bei den Verbindungs-Parametern unter PFS-Gruppe. Da ist zur Auswahl:

kein PFS, 1(MODP-768), 2(MODP-1024) und 5(MODP1536)

- IKE Prosportal enthält bei mir kein PSK-DES

Dann mußt du dir ein passendes Proposal erstellen:

Unter IKE-Param -> IKE-Proposals trägst du es passend ein:

Code: Alles auswählen

Bezeichnung:       PSK-DES-MD5
Verschlüsselung:   DES-CBC
Schlüssel:         56 Bit (nicht änderbar)
Hash:              MD5
Authentifizierung: Preshared Key

Danach erstellst du eine Proposal-Liste (unter IKE-Param -> Proposal-Listen), die eben dieses Poropsal enthält:

Code: Alles auswählen

Bezeichnung:       IKE-PSK-DES
1.Proposal:        PSK-DES-MD5
2. - 8. Proposal:

Nun kannst du in den Verbindungs-Parametern IKE-PSK-DES für die IKE-Proposals eintragen.

- IKE Schlüssel "nur PFS" muss erstellt werden

ich glaube goermet meinte damit (IKE Schlüssel: nur PKS), daß die Checkpoint nicht mit Zertifikaten umgehen kann und deshalb nur PSK macht. Das ist aber mit obigem Proposal eh' erledigt.

- IPS "TR-DES-MD5-96" ist ebenfalls nicht enthalten

Ein Transport-Mode Proposal zusammen mit einem Tunnel-Mode Proposal geht eh' nicht gut, vergiss es einfach... nimm nur TN-DES-MD5-96 | TN-DES-SHA-96, die du wie auch beim IKE-Proposal in einer eigenen Proposal-Liste unter IPSec-Param -> IPSec-Proposal-Listen zusammen fasst:

Code: Alles auswählen

Bezeichnung:       IPS-DES
1.Proposal:        TN-DES-MD5-96
2.Proposal:        TN-DES-SHA-96
3. - 8. Proposal:

und in den Verbindungs-Parametern als IPSec-Proposals zuweist.

Fehlt als letztes noch der Preshaed Key. Den erstellst du unter IKE-Param -> IKE-Schlüssel und weist in den Verbindungs-Parametern zu.

Gruß
Backlsash