Fachrat Informatik - Forum

Quoted

Original von BLUESCREEN
Ist es möglich, statt mit dem Cisco VPN-Client auch mit OpenVPN auf das Uni-VPN zuzugreifen?

Geht meines Wissens nicht, da OpenVPN und VPN Marke Cisco zwei verschiedene Verfahren sind.

Mit vpnc geht es hingegen wunderbar (falls es Dir darum gehen sollte, den Cisco VPNClient loszuwerden).

Wie sieht das ganze denn mit dem VPN Client aus, der im Mac OS X (Tiger) integriert ist? Kann man den auch anstatt des Cisco client nutzen?

Quoted

Original von maxsz
Wie sieht das ganze denn mit dem VPN Client aus, der im Mac OS X (Tiger) integriert ist? Kann man den auch anstatt des Cisco client nutzen?

Nope. Leider nicht. Der versteht sich mit Cisco überhaupt nicht.
Doof, dass die Uni unbedingt Cisco einsetzt.

Aber na ja, der Cisco VPN Client läuft in der neuesten Version 4.7.x ganz gut. Von ein paar Kleinigkeiten mal abgesehen. Da hilft dann neuladen der Kernel-Extension. Hab mir da mal ein kleines AppleScript für gemacht.

und gibt es vlt. andere alternativen, die nicht so hässlich und aufdringlich sind? Die man dann möglicherweise in der menu-leiste hat, aber nicht im dock oder so?

Ich hab mal erfolgreich VPN Tracker ausprobiert. (http://www.equinux.com/vpntracker).
Kostet aber leider 79 EUR. Wem's das Wert ist...

Gibt aber auch ne Trial-Version. Und irgendwo ist auch nen Anleitung, wie man das für Cisco konfiguriert. Müsste ich mal suchen, wenn Bedarf besteht.

OpenVPN kanst du nicht verwenden, da es auf einer völlig anderen Technologie aufsetzt, als der Cisco VPN Concentrator 3000 (OpenVPN verwendet SSL gegenüber IPSec beim VPN3K)

Wenn Du - aus welchen Gründen auch immer - ein "echtes" VPN-System verwenden willst, guck Dir mal OpenSWAN an, das soll in den aktuellen Versionen XAUTH beherrschen: http://www.openswan.org/docs/local/README.XAUTHclient

Die letzte Version des Cisco Clients für Linux, die ich verwendet habe, hat den gesamten Traffic komplett am IP-Routing im Linux-Kernel vorbeigeleitet, so dass man selbst auf sein Routing keinen Einfluss mehr hatte. Alles ging durch den Client ins Uni-Netz. Wie das der aktuelle hadhabt, kann ich nicht sagen. Ich bin deshalb unter Linux auf vpnc umgestiegen, und habe damit wieder die Kontolle über meine Daten.

Shadow

Was ist denn an OpenVPN nicht echt? Das ist genauso ein VPN-System wie alle anderen?! Niemand legt fest, dass ein VPN unbedingt über IPSec laufen muss. Aber ich denke, dass muss man hier nicht nochmal diskutieren bei den vielen Pro/Contra-Seiten die es schon zu OpenVPN gibt. Seit Version 2 ist OpenVPN zu einer brauchbaren Lösung geworden.

Will man eine IPSec-Lösung nehmen, lohnt es sich vielleicht auch einmal das wohl bisher nicht so verbreitete strongSwan anzusehen. Das kann zwar in der aktuellen Version noch kein XAUTH, dafür aber CA/CRL-Management-Dinge und Attribut-Zertifikate. Ich bin damit voll zufrieden.

Läuft der vpnc eigentlich auch stabiler mit dem UHWLAN? Fliegt man damit vielleicht net so häufig aus dem Netz

OpenVPN ist natürlich ein echtes VPN-System, bloß funktioniert es mit dem Concentrator nicht.
Was ich meinte: Vpnc ist kein "echtes" VPN-System, sondern nur ein Client, der mit genau einer Art Server zurecht kommt: mit dem Cisco VPN3K.

zu strongSwan:
XAUTH-Client-Unterstützung ist leider zwingende Voraussetzung, um das Uni-VPN zu verwenden, denn es setzt darauf auf. Dass es von strongSwan nicht unterstützt wird, hat einen guten Grund: Es ist inhärent anfällig gegen MITM-Attacken. Sobald Du den GroupKey kennst (triviale Aufgabe, wenn Du die Config-Dateien des Cisco-Clients hast), kannst Du Dich in der IKE-Phase 1 zwischen Client und Server schmuggeln und hast einen Hash des UserKeys, auf den Du dann eine Wörterbuchattacke fahren kannst.
[edit]
Mehr dazu hier:
http://www.ima.umn.edu/~pliam/xauth/
[/edit]

zur Stabilität von vpnc:
Ich hab bisher noch keine negativen Erfahrungen mit vpnc gemacht. Das schön daran ist, dass man es - sollte es mal hängen bleiben - einfach abschießen neu starten kann. Der Cisco-Client verabschiedet sich dann jedes Mal mit einem Kernel-Ooops, woraufhin ein Systemneustart angesagt ist.
Dass die VPN-Verbindung abreißt, wenn die WLAN-Verbindung mehr als ein paar Sekunden weg ist, ist übrigens normal und liegt an Timeouts in der IPSec-Implementierung, da verhalten sich vpnc und der Cisco-Client gleich.

Shadow

Tatsache. Erster Eindruck von vpnc: Nett
Den werde ich nun ausgiebig testen. Ich denke der größte Vorteil ist es, bei einem Kernel-Update, ob nun per Hand oder z. B. per apt, kein neues cisco_ipsec immer wieder übersetzen zu müssen.

vpnc ändert ja die routing Tabelle schon von sich aus. Gibt es eigentlich ne komfortable Variante, die aktuelle Routing-Tabelle zu sichern und z.B. nach der Beendigung von vpnc wieder zu laden? Nachdem ich vpnc kille, muss ich die routen wieder per Hand korrigieren oder mir die Informationen über ein neues DHCP-Lease holen.

@ Shadow: bei Dir löst ein vpnclient-Abbruch nen Kernel oops aus? Bei mir hat sich unter Debian und Ubuntu immer nur brav das Programm beendet und musste nur neu gestartet werden.

Quoted

Original von metalhen
vpnc ändert ja die routing Tabelle schon von sich aus. Gibt es eigentlich ne komfortable Variante, die aktuelle Routing-Tabelle zu sichern und z.B. nach der Beendigung von vpnc wieder zu laden? Nachdem ich vpnc kille, muss ich die routen wieder per Hand korrigieren oder mir die Informationen über ein neues DHCP-Lease holen.

vpnc bringt Start- und Stop-Skripte mit. Wie die genau heißen steht auf der Website oder ist in der Mailingliste erwähnt, weiß ich gerade nicht auswendig. Kann auch sein, daß ich es in der Manpage gelesen habe.

Ich kann das leider gerade nicht nachschauen, da ich für Fedora ein angepaßtes RPM verwende, bei dem ein anderer Mechanismus zum Starten und Stoppen verwendet wird.

Also bei mir geht das mit einer einzigen Batchdatei. Ich hatte aber auch nen bischen rumprobiert.

Idee ist: ihm per "<" eine Textdatei zu übergeben, in der ein Y steht. Das bästätigt dann auf der Kommandozeile die Begrüßung. Allerdings auch jegliche Fehlermeldungen (kann ich aber mit leben).

Die genaue Commandozeile hab ich im Moment allerdings nicht im Kopf, ich sitz am Rechner und nicht an meinem Laptop.

Ist als owas in der Art wie xxx.exe -parameter ffdff <Y.txt

und Y.txt liegt im gleichen Verzeichnis und hat nichts als nen Y und ich glaub nen Enter drin stehen.

Es gibt bestimmt ne elegantere Möglichkeit, vor allem das Y zu übergeben, aber mir war damals auf die schnelle keine bessere eingefallen.

Und das Provisorium tut nun seit über 2 Semestern klaglos seinen Dienst

oixio

PS: Für elegantere Methoden bin ich natülrich offen.
PPS: Achja - damit das dann ganz ohne Eingreifen funktioniert, muss man im normalen Client einmal das Passwort eingegeben und gespeichert haben, dass nutzt der dann auch auf der Commandozeile

Hallo,

da ich grad wieder jemanden das eingerichtet habe, will ich es mal im Forum verewigen, vielleicht ist es für den einen oder andern nützlich:

Nervig ist bei dem Cisco-VPN-Client: jedes mal muss man den Client öffnen, auf "Verbinden" klicken und dann mit OK bestätigen. Also habe ich nach einer Möglichkeit gesucht, den Client über eine Verknüpfung direkt zu verbinden. Und ich habe sie gefunden:
Folgende Befehlszeile startet die VPN-Verbindung mit dem Profil XXX (XXX z.B. durch >Zugang aus dem WLAN der Uni Hannover< ersetzen) :Einfach in eine *.bat schreiben und darauf eine Verknüpfung setzen. Beendet wird die Verbindung über:Passende Icons findet man in der Programmdatei.
Einziger Nachteil (oder auch Vorteil), das Icon im Systray gibt es bei dieser Methode nicht. Das erhält man nur über die graphische Oberfläche. Genutzt wird hier aber der Kommandozeilenclient.

Achja - das funktioniert natürlich nur, wenn man das Passwort im Client gespeichert hat. Nicht schön, aber leider nicht zu ändern. Besser als das Passwort als Parameter zu übergeben.

Wer mag, trägt die bat dann auch noch im Intel-WLAN-Treiber ein und lässt sie automatisch ausführen wenn mit UHWLAN verbunden wird. Dann muss man sich nur noch per Hand ausloggen....

Also auf meinem Rechner zuhause setzt der vpnc nach dem Beenden das Routing automatisch zurück, bzw. der Rechner sucht sich die Routen automatisch neu. Anfangs hatte ich etwas Probleme, dass das Routing nach dem Starten nicht richtig gesetzt wurde (passierte vorher nicht automatisch, war aber eine ältere Version). Seit dem Update auf die neuere Version, klappt das Routing problemlos.

Unter Linux hatte ich mit dem Cisco VPN arge Probleme. Wie schon angesprochen, reißt der gerne mal andere Programme mit, wenn er sich aufhängt. Einen Kernel Oops hatte ich zwar nicht, aber andere Probleme.

Mit VPNC habe ich durchweg gute Erfahrungen gemacht. Bei der Einwahl von zuhause kommte es eiegentlich nie zu Verbindungsabbrüchen. Wenn es aber zwischenzeitlich zu einem Disconnect kommt, bricht die Verbindung natürlich ab. Man sollte dann aber nicht vergessen den VPN neu zu starten, bzw. ihn zu beenden, weil man ansonsten normaler Weise nicht mehr ins Internet kommt, weil er weiterhin Verbindungen durch tunnelt, die aber im Nichts verschwinden.

Das passiert aber wie gesagt nur bei einem Disconnect und man kann ihn per Closeup-Script oder auch per GUI-Tool (angeblich, nicht getestet ) problemlos beenden.

Ansonsten spricht er auch auf ein killall vpnc sicher an und verschwindet dann auch normaler Weise sauber aus dem System.

Unter Linux ist er sicherlich deutlich besser als der Cisco client.