hier eine Anleitung, wie man mit den Bordmitteln von Windows (also ohne zusätzlichen VPN-Client) eine VPN-Verbindung über IPSec ohne den PPTP-Unterbau zu einem Lancom herstellt:
Ich hab das jetzt mal mit Windows XP gemacht - darauf bezieht sich auch meine Beschreibung. Prinzipiell sollte es auch mit Windows 2000 funktionieren.
Die VPN-Verbindung lässt sich mit Zertifikaten oder Preshared Keys herstellen. Bei der Verwendung von Zertifikaten gibt es keine Zugangseinschränkungen. Bei der Verwendung von Preshared Keys muss der VPN-Client über eine öffentliche IP verfügen. Diese IP kann eine feste IP oder auch eine durch den Lancom per dynamischen DNS auflösbare IP sein. Somit muss bei Verbindungen aus einem LAN mit privaten IP-Adressen (eigenes LAN oder auch private Netze der Mobilfunkprovider bzw. HotSpots) zwingend die zertifikatsbasierte Variante benutzt werden.
Da die IPSec-Konfiguration unter Windows wohl für einen Normalsterblichen kaum überblickbar ist, sollte man unbedingt das IPSec-Tool von Marcus Müller nutzen.
http://vpn.ebootis.de/package.zip
Das Paket entpackt man am besten in einen eigenen Ordner. Die ipsec.conf ist dann entsprechend den eigenen Verbindungsparameter anzupassen.
Das IPSec-Tool benötigt die ipseccmd von Microsoft. Diese befindet sich in den Support-Tools und können von der XP-CD aus dem Verzeichnis \SUPPORT\TOOLS durch Aufruf der setup.exe installiert werden. Es muss unbedingt die vollständige Installation ausgewählt werden. Falls sich der aktuelle Servicepack-Level der Windows-Installation von der XP-CD unterscheidet, müssen die aktuellen Support-Tools von Microsoft installiert werden:
http://www.microsoft.com/downloads/deta ... 8011fabf38
Clientkonfiguration mit Zertifikaten
Voraussetzung ist mindestens die Firmware 5.0 mit der Konverter-Firmware 1.86 und entsprechend ausgestellten und installierten Zertifikaten. Die Installation der Zertifikate auf dem Lancom ist im Referenzmanual beschrieben.
Zur Installation des Client-Zertifikates sollte die beim IPSec-Tool mitgelieferte IPSec.msc benutzt werden. Dabei ist unbedingt die Option “Zertifikatsspeicher automatisch auswählen” auszuwählen. Auf keinen Fall darf das Zertifikat per Doppelclick installiert werden. Nach dem Import des Zertifikates müssen sich unter Zertifikate (Lokaler Computer) -> Eigene Zertifikate -> Zertifikate das Client-Zertifikat und unter Vertrauenswürdige Stammzertifizierungstellen -> Zertifikate das Zertifikat der Root CA befinden.
Wichtig für die ipsec.conf ist der DN (Distinguished Name) der Root CA. In den Eigenschaften des Zertifikates der Root CA findet man diesen im Feld 'Aussteller'. Dieser DN muss genau umgekehrt in der ipsec.conf angegeben werden. Steht im Ausstellerfeld z.B. "CN=Firma Root CA C=DE E=mail@firma.de, so ist dies wie im unten angeführten Beispiel einzutragen.
Die ipsec.conf sollte so aussehen:
Code: Alles auswählen
conn <Name der Verbindung>
left=%any
right=<öffentliche IP oder DNS-Name des VPN-Gateways>
rightsubnet=<Netz hinter dem VPN-Gateway>
rightca="<Distinguished Name der Root-CA>"
network=auto
auto=start
pfs=yes
Code: Alles auswählen
conn Firma
left=%any
right=gateway.firma.com
rightsubnet=192.168.0.0/24
rightca="E=mail@firma.de, C=DE, CN=Firma Root CA"
network=auto
auto=start
pfs=yes
Clientkonfiguration mit Preshared Keys
Die ipsec.conf sollte so aussehen:
Code: Alles auswählen
conn <Name der Verbindung>
left=%any
right=<öffentliche IP oder DNS-Name des VPN-Gateways>
rightsubnet=<Netz hinter dem VPN-Gateway>
presharedkey=<PSK>
network=ras
auto=start
pfs=yes
Code: Alles auswählen
conn Firma
left=%any
right=gateway.firma.com
rightsubnet=192.168.0.0/24
presharedkey=passwort
network=ras
auto=start
pfs=yes
allgemeine Konfiguration am Lancom
Am Lancom richtet man per Assistent eine neue Einwahlverbindung mit benutzerdefinierten Parametern ein. Die meisten Sachen können wie vorgeschlagen belassen werden - wichtig ist nur, dass als Verschlüsselungsverfahren 3DES benutzt wird. Natürlich ist die passende Variante PSK oder Zertifikate auszuwählen.
Bei der PSK-Variante wird man nach der Identität gefragt. Hier müsste man eigentlich für beide Identitäten 'keine' eintragen. Da bei der Remote-Identität diese Auswahl nicht zur Verfügung steht, trägt man erst mal irgendwelche Dummy-Werte ein, welche später wieder gelöscht werden müssen.
Bei der IP-Adresse gibt man jetzt die öffentliche IP des Clients bzw. (falls der Client selbst in einem LAN steht) dessen lokale IP an. Falls man eine dynamische IP hat, muss nach dem Durchlauf des Assistenten noch nachgearbeitet werden. Dazu wird in der Routing Tabelle des Lancom der vom Assistenten erzeugte Eintrag modifiziert. Als IP-Adresse ist 255.255.255.255 mit der Netzmaske 0.0.0.0 anzugeben. Der Routingtag ist abweichend von der vorhandenen Default-Route einzustellen, also z.B. 1. Dieser Routingtag muss auch in der vom Lancom für diese VPN-Verbindung erzeugten VPN-Regel gesetzt werden.
Konfiguration am Lancom für Zertifikate
Die Default IKE-Proposalliste für Main-Mode Verbindungen (standardmäßig IKE_RSA_SIG) muss das Proposal für 3DES enthalten (ist bei neueren Lancoms bereits vorhanden). Falls nicht, ist das Proposal zu erstellen und in die Liste aufzunehmen. Dazu kopiert man sich am besten in den Proposals den Eintrag PSK-3DES-MD5, benennt ihn RSA-3DES-MD5 und schaltet die Authentifizierung auf RSA-Signatur.
Konfiguration am Lancom für Preshared Keys
In der VPN-Verbindungsliste ist unter Gateway die öffentliche IP bzw. der DNS-Name des VPN-Clients einzutragen. Der IKE-Exchange ist auf Main-Mode abzuändern.
Unter IKE-Parameter -> IKE-Schlüssel sind die vorher eingetragenen Dummy-Werte für die Identitäten zu löschen und beide Identitäts-Typen auf 'keine Identität' zu setzen.
Aufbau der Verbindung
Nun kann man durch Aufruf der ipsec.exe die Regeln für die VPN-Verbindung erzeugen lassen. Aufgebaut wird die Verbindung erst bei entsprechendem Datenverkehr. Also am besten per ping auf einen Host hinter dem VPN-Gateway prüfen. Da kommt dann ein- bis zweimal 'IP-Sicherheit wird verhandelt' und eventuell auch eine Zeitüberschreitung, aber dann sollten Antworten auf den ping kommen.
Anmerkungen zur IPSec.conf
Der Parameter 'network' steuert die Bindung der IPSec-Konfiguration an das zu verwendende Interface. Welche Bindung erfolgt, sieht man nach Aufruf der IPSec.exe. Der Wert 'auto' bedeutet, dass automatisch das am höchsten priorisierte aktive Interface (LAN oder RAS) ermittelt wird. Dies kann bei bestimmten Konfigurationen (LAN- und RAS-Verbindung gleichzeitig aktiv) zu falschen Bindungen führen. Dann ist mit den Werten 'LAN' bzw. 'RAS' explizit das zu verwendende Interface zu bestimmen.
Viel Spaß!
Gruß
Mario
Edit 08.12.06: Fehlendes Komma in DN-Angabe ergänzt