Hallo,
ich habe einen Lancom DSL/I-1611. Einer meiner Kunden hat mir einen VPN-Zugang bereitgestellt. Diesen kann ich mittels Cisco-VPN-Client auch anwählen. Ich würde aber gerne eine Verbindung über den Router direkt aufbauen. Folgende angaben habe ich:
- Gateway-Adresse
- Name einer Group Authentication
- Passwort dazu (sozusagen der Key)
- Benutzername beim Connecten
- Passwort dazu
Geht sowas ? Wie kann ich das einrichten ? Danke schon mal.
Grüße, S?
--------------------------------------
Cisco-Client ersetzen
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi S?
Gruß
Backslash
nein, denn das VPN-Gateway verlangt XAUTH (=> Group-Authentication, Group-Key), was das LANCOM nicht beherrscht. Der Kunde muß dir einen "ganz normalen" VPN-Zugang (also ohne XAUTH) zur Verfügung stellen...- Gateway-Adresse
- Name einer Group Authentication
- Passwort dazu (sozusagen der Key)
- Benutzername beim Connecten
- Passwort dazu
Geht sowas ? Wie kann ich das einrichten ? Danke schon mal.
Gruß
Backslash
Hi Michael008
Gruß
Backslash
schalte am Cisco-Client XAUTH ab und du kannst dich in ein LANCOM einwählen. Dabei wird aus der Group-Authentication deine Identity und aus dem Group-Key der ganz normale pre shared key. Username und Anmeldepaßwort entfallenWeil es so ähnlich ist noch ne Frage hierzu.
Kann ich am LC den VPN Server so einrichten, dass ich mich mit dem Cisco Client und den oben angegebenen Infomationen einwählen kann?
Wenn ja, gibt es dazu eine kleine Anleitung?
Client Version: 4.04b
Danke Michael
Gruß
Backslash
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@Backslash,
kannst du noch kurz sagen wo ich im Cisco Client das XAUTH abstelle?
Aber wo ich im Lancom die Identity und den Pre Shared Key finde weiß ich nicht.
Der VPN-Assistent für den Standard Client fragt nach:
Name (PPTP und VPN)
PPTP-Passwort
danach nach einem Preshared Key.
Leider habe ich auch nach vielen Versuchen keinen Erfolg gehabt.
Ich weiß auch nicht wirklich was ich hier mache, da ich mit VPN noch keine Erfahrung habe.
Ein trace # vpn gibt unbeeindruckt von meinen Eingaben im Client oder Angaben im Lancom (z.B. EMail Adress Authentifikation) folgendes aus.
[VPN-Status] 2005/03/20 00:49:42,610
VpnIpm: info; dropped message from peer unknown 192.168.2.103 port 500 due to notification type UNEQUAL_PAYLOAD_LENGTHS
Danke für die Hilfe
Michael
kannst du noch kurz sagen wo ich im Cisco Client das XAUTH abstelle?
Im Client finde ich unter Goup-Authentication Name und Passwort.Dabei wird aus der Group-Authentication deine Identity und aus dem Group-Key der ganz normale pre shared key. Username und Anmeldepaßwort entfallen
Aber wo ich im Lancom die Identity und den Pre Shared Key finde weiß ich nicht.
Der VPN-Assistent für den Standard Client fragt nach:
Name (PPTP und VPN)
PPTP-Passwort
danach nach einem Preshared Key.
Leider habe ich auch nach vielen Versuchen keinen Erfolg gehabt.
Ich weiß auch nicht wirklich was ich hier mache, da ich mit VPN noch keine Erfahrung habe.
Ein trace # vpn gibt unbeeindruckt von meinen Eingaben im Client oder Angaben im Lancom (z.B. EMail Adress Authentifikation) folgendes aus.
[VPN-Status] 2005/03/20 00:49:42,610
VpnIpm: info; dropped message from peer unknown 192.168.2.103 port 500 due to notification type UNEQUAL_PAYLOAD_LENGTHS
Danke für die Hilfe
Michael
Hi Michael008
Um mit dem Cisco-Client arbeiten zu können mußt du im Assistenten den "Advanced Client" auswählen. Damit richtet der Assistent eine Aggressive-Mode Verbindung ein, die als Verschlüsselungsalgorithmus AES oder 3DES und als Hashalgorithmus MD5 verwendet. Als Identity wird UFQDN (also deine Email-Adresse) verwendet.
Wenn du es im Cisco-Client entsprechend konfigurierst, sollte eine Verbindung kein Problem sein.
Gruß
Backslash
leider nein - den Cisco Client als solchen kenne ich nicht. Ich gehe nur davon aus, daß mit dem Client auch Verbindungen ohne XAUTH möglich sein müssen - zumal XAUTH in gewissem Maße auch eine Sicherheitslücke darstellt.kannst du noch kurz sagen wo ich im Cisco Client das XAUTH abstelle?
Das sind die Einstellungen für XAUTH - das funktioniert mit dem LANCOM nicht!Im Client finde ich unter Goup-Authentication Name und Passwort.
Das findest Du im LANconfig unter VPN -> IKE-Param. -> IKE-SchlüsselAber wo ich im Lancom die Identity und den Pre Shared Key finde weiß ich nicht.
Das sind die Parameter für den LANCOM Standard-Client. Dieser baut zunächst eine PPTP-Verbindung auf und darüber den VPN-Tunnel. PPTP wurde aus zwei Gründen gewählt: Zum einen ist es deutlich einfacher zu maskieren als IPSec und zum anderen kennt der Microsoft-Client den Agressive-Mode nicht und kann daher keine Verbindung aufbauen, wenn der Rechner eine dynamische Adresse hat...Der VPN-Assistent für den Standard Client fragt nach:
Name (PPTP und VPN)
PPTP-Passwort
danach nach einem Preshared Key.
Um mit dem Cisco-Client arbeiten zu können mußt du im Assistenten den "Advanced Client" auswählen. Damit richtet der Assistent eine Aggressive-Mode Verbindung ein, die als Verschlüsselungsalgorithmus AES oder 3DES und als Hashalgorithmus MD5 verwendet. Als Identity wird UFQDN (also deine Email-Adresse) verwendet.
Wenn du es im Cisco-Client entsprechend konfigurierst, sollte eine Verbindung kein Problem sein.
Hier hilft maximal eine Trace-Möglichkeit am Client, denn dieser hat dem LANCOM eine Fehlermeldung geschickt ("UNEQUAL_PAYLOAD_LENGTHS"). Das könnte damit zu tun haben, daß der Client XAUTH machen will und das LANCOM das beim besten Willen nicht versteht...Ein trace # vpn gibt unbeeindruckt von meinen Eingaben im Client oder Angaben im Lancom (z.B. EMail Adress Authentifikation) folgendes aus.
[VPN-Status] 2005/03/20 00:49:42,610
VpnIpm: info; dropped message from peer unknown 192.168.2.103 port 500 due to notification type UNEQUAL_PAYLOAD_LENGTHS
Gruß
Backslash
Hallo,
wir haben in unserer Firma eine Cisco Firewall (Pix520) und einen Cisco Radius Server (Cisco ACS), der diese Extended Authentication macht.
Das heisst, daß jeder Gruppe bestimmte Zugriffe (IP-Adressen und Ports)
zugewiesen werden.
Dieses kann nur der "Kunde" ändern, kann aber nicht im Client eingestellt
werden.
mfg
joachim
wir haben in unserer Firma eine Cisco Firewall (Pix520) und einen Cisco Radius Server (Cisco ACS), der diese Extended Authentication macht.
Das heisst, daß jeder Gruppe bestimmte Zugriffe (IP-Adressen und Ports)
zugewiesen werden.
Dieses kann nur der "Kunde" ändern, kann aber nicht im Client eingestellt
werden.
mfg
joachim