VPN & Cisco Vpn Client

[Schoitl]

Hallo BSD Gemeinde

folgende Ausgangslage:
Auf meinem Firmenlaptop läuft WinXP. Zuhause hab ich als Router (inkl. NAT) OpenBSD 3.5 laufen. Auf dem Laptop ist der Cisco VPN Client installiert worden, damit ich ein VPN in Firma aufbauen kann. Lt. Einstellungen dieser Software wirden IPSec over UDP verwendet.
Hängt der Laptop nun bei mir zuhause im Netz kann ich leider keine VPN Verbindung aufbauen - ich erhalte bei der Authentifizierung immer die Fehlermeldung "you've no dial-in permisson". Lasse ich in der FW den kompletten Verkehr einfach durch, gehts leider auch nicht. User+PW sind korrekt, da ich von anderen Standorten eine Verbindung aufbauen kann.

Hat wer eine Idee, worans liegen könnte?

Danke im vorraus

Schoitl

 

[marty]

IPSec über NAT ist immer so eine Sache. Wenn der Cisco VPN Client voraussetzt, das mit AH (Authentication Header, also Hashwert über den IP Header) gearbeitet wird, ist es klar, das es in die Hose geht. Durch NAT wird da einiges im IP Header geändert und schon haut es mit dem AH nicht mehr hin. IPSec ist aber eh so eine Sache, gibt zwar ein paar Standarts, aber jeder legt die anders aus und bei manchen Sachen ist erst wieder "später" was rangefrickelt worden

marty

 

[obsduser]

Hallo BSD Gemeinde

folgende Ausgangslage:
Auf meinem Firmenlaptop läuft WinXP. Zuhause hab ich als Router (inkl. NAT) OpenBSD 3.5 laufen. Auf dem Laptop ist der Cisco VPN Client installiert worden, damit ich ein VPN in Firma aufbauen kann. Lt. Einstellungen dieser Software wirden IPSec over UDP verwendet.
Hängt der Laptop nun bei mir zuhause im Netz kann ich leider keine VPN Verbindung aufbauen - ich erhalte bei der Authentifizierung immer die Fehlermeldung "you've no dial-in permisson". Lasse ich in der FW den kompletten Verkehr einfach durch, gehts leider auch nicht. User+PW sind korrekt, da ich von anderen Standorten eine Verbindung aufbauen kann.

Hat wer eine Idee, worans liegen könnte?

Danke im vorraus

Schoitl

Ich hatte so eine Situation mal und habe folgendes gemacht:

Die Packetfilterregeln (OBSD 3.4) wurden so erstellt (man kann dies optimieren):

nat on $ext_iface proto udp from $laptop_ip to $vpn_gw port = 500 -> $ext_iface port 500
nat on $ext_iface proto udp from $laptop_ip to $vpn_gw port = 4500 -> $ext_iface port 4500
nat on $ext_iface proto ah from $laptop_ip to $vpn_gw -> $ext_iface
nat on $ext_iface proto esp from $laptop_ip to $vpn_gw -> $ext_iface

pass in quick on $int_iface inet proto udp from $laptop_ip port = 500 to $vpn_gw port = 500 keep state
pass in quick on $int_iface inet proto udp from $laptop_ip port = 4500 to $vpn_gw port = 4500 keep state
pass in quick on $int_iface proto ah from $laptop_ip to $vpn_gw keep state
pass in quick on $int_iface proto esp from $laptop_ip to $vpn_gw keep state
pass out quick on $ext_iface inet proto udp from $ext_iface port = 500 to $vpn_gw port = 500 keep state
pass out quick on $ext_iface proto ah from $ext_iface to $vpn_gw keep state
pass out quick on $ext_iface proto esp from $ext_iface to $vpn_gw keep state
pass out quick on $int_iface inet proto udp from $vpn_gw port = 500 to $laptop_ip port = 500
pass out quick on $int_iface inet proto udp from $vpn_gw port = 4500 to $laptop_ip port = 4500
pass out quick on $int_iface proto esp from $vpn_gw to $laptop_ip
pass out quick on $int_iface proto ah from $vpn_gw to $laptop_ip

Der VPN Client wurde so eingestellt:
(Version 4.0.1 (Rel))

Unter "Authentication" muß natürlich die Gruppe und das Gruppenpasswort eingegeben werden oder per Zertifikat die Authentifizierung gemacht werden.

Unter "Transport" die Option "Enable Transparent Tunneling" deaktivieren.
Die Option "Allow Local LAN Access" kannst Du meines Wissens nicht beeinflussen, da dies der Admin konfiguriert hat der den VPN Gateway "in der Hand" hat.

Unter "Backup Servers" kann (können) noch andere Gateways angegeben werden, falls einer ausfällt (Wenn andere Gateways angegeben werden die Packetfilterregeln für diese nicht vergessen!).

Unter "Dial Up" wurde alles deaktiviert.

Ist zwar schon ein bißchen spät aber ich hoffe Dir weitergeholfen zu haben (falls noch nötig)

Chris

 

[Josen]

Nimm einfach vpnc. Setz ich hir ein, um ins Uni-Vodrtmund Cisco-Vpn zu kommen:

http://www.unix-ag.uni-kl.de/~massar/vpnc/

-Falk

 

[worel]

Nat Traversal am Tunnelpunkt aktivieren?

Zumindest funktionierts bei meinen Fortinet Routern damit

Das heißt, auf beiden Seiten... VPN Client + Server (ob in Phase1 oder Phase2 weiß ich jetzt nicht auswendig )