Neues in der Kategorie IPSec

Wer mit dem Cisco oder NCP-Client als VPN und/oder IPSEC-Clients nicht zurecht kommt, der sollte sich mal folgende beiden Alternativen anschauen:

Shrew Soft VPN Client:

Dies ist ein Freeware-Client der in einer Version für Windows und in einer Version für Unix existiert. Ausführliche Anleitungen beschreiben die möglichen Konfigurationseinstellungen.

Link: http://www.shrew.net

TheGreenBow IPSEC VPN Client:

Dieser Client gibt es nur in einer Version für Windows 2000/XP/2003/Vista und ist auch nicht kostenfrei. Der Preis liegt zwischen 70 und 100 Euro, je nachdem ob man eine Update-Funktionalität möchte oder nicht.

Link: http://www.thegreenbow.de


Beide Clients sind unter Windows sehr leicht zu bedienen. Der TheGreenBow-Client sogar noch leichter als der Shrew-Client. Im Test wurde eine Verbindung mit virtuellen IPs zu einem Bintec-Router hergestellt. Mit dem Shrew-Client war keine saubere Verbindung möglich, da irgendwelche Einstellungen nicht gepasst haben. Mit dem TheGreenBow-Client war innerhalb von 10 Minuten eine funktionierende Verbindung hergestellt. Ahnung zu haben von IPSEC und den Einstellungen der Gegenseite ist trotzdem bei beiden Clients ratsam.

Wer, wie in einem früheren Artikel beschrieben, nach wie vor Probleme mit den ASUS-W-Lan-Treiber (AR5007EG) und dem FEC / Bintec IPSEC Client hat, sollte auf den Client von TheGreenBow ausweichen.

Hier der alte Artikel: http://www.undertec.de/blog/2008/09/lanemulationstreiber-von-binte.html

Wer noch eine ältere Version des Bintec Secure IPSEC Client (im Beispiel Version 1.10 Build 69) betreibt, der kann unter Windows XP mit Service Pack 2 ernsthafte Probleme bekommen, zumindest mit ASUS-Produkten die einen W-Lan-Chipsatz von Atheros nutzen (im Beispiel wurde ein Chipsatz mit AR5007EG verwendet).

Nach Installation des Lan-Emulations-Treiber kann zum Beispiel folgendes Problem auftreten, dass der PC nur kurz hochfährt, für Sekundenbruchteile einen Bluescreen zeigt und dann wieder neustartet. Dieses Spiel geht solange bis man in den abgesicherten Modus wechselt (beim Starten von Windows XP F8 drücken) und den IPSEC-Client wieder entfernt. Der Bluescreen der hierbei kurz angezeigt wird, wird meist mit folgender Fehlermeldung angezeigt: 0x000000A - IRQL_NOT_LESS_OR_EQUAL.

Wer es dennoch auf die Windows-Oberfläche schafft, kann mit einem neuen Problem konfrontiert sein: Nach Deaktivieren des W-Lan-Devices bekommt man eine Fehlermeldung und ein Countdown beendet nach 60 Sekunden das System. Im Ereignisprotokoll kann man unter Anwendung und System folgende Fehlermeldungen finden:

Ereignistyp: Fehler
Ereignisquelle: Application Error
Ereigniskategorie: (100)
Ereigniskennung: 1000
Datum:  01.09.2008
Zeit:  10:59:59
Benutzer:  Nicht zutreffend
Computer: ASUS-TESTCOMPUTER
Beschreibung:
Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.2180, fehlgeschlagenes Modul rpcss.dll, Version 5.1.2600.2180, Fehleradresse 0x00017bf0.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7031
Datum:  01.09.2008
Zeit:  10:59:59
Benutzer:  Nicht zutreffend
Computer: ASUS-TESTCOMPUTER
Beschreibung:
Der Dienst "DCOM-Server-Prozessstart" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu..

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7034
Datum:  01.09.2008
Zeit:  10:59:59
Benutzer:  Nicht zutreffend
Computer: ASUS-TESTCOMPUTER
Beschreibung:
Dienst "Terminaldienste" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Da man aber nicht die ganze Zeit mit aktiviertem W-Lan durch die Lande ziehen möchte, muss eine Lösung her. Der Bintec-Support bzw. Funkwerk-Support schlug vor, dass man doch die neuste Client-Version nehmen möchte, die nun nicht mehr "Bintec Secure IPSEC Client" sondern "FEC Secure IPSEC Client" heißt. Wer die Version 2.03 Build 45 einsetzt, sollte keine Probleme mehr haben. Dazu einfach den alten Client deinstallieren, aber vorher die Profildatei "ncpphone.cfg" sichern. Dann den neuen Client installieren und die Datei einfach wieder in das Programmverzeichnis kopieren.

Das Schöne an dem neuen Client ist, dass man seine alten Lizenzen weiter verwenden kann. Dazu muss man einfach mit seinen alten Lizenzdaten unter "Hilfe > Lizenzinfo und Aktivierung" eine neue Lizenz erstellen.

UPDATE:

Wer sich zu früh freut... Tja leider scheint die obige Problemlösung nicht auf Dauer zu funktionieren. Nach einer Weile kam es wieder zu den gleichen Problemen. Die einzige Möglichkeit besteht wohl darin auf einen anderen Client auszuweichen. Dazu gibt es auch einen Eintrag über einem funktionieren Client hier im Undertec-Blog: http://www.undertec.de/blog/2008/10/alternative-ipsecvpnclients.html

Dass diese Frage momentan zur Zeit von Olympia große Wellen schlägt ist klar. Schließlich munkelt man, dass diverse Firmen mit der großen chinesischen Firewall Millionen verdient haben sollen. Das man heutzutage diese Firewall einfach umgehen kann, ist den wenigsten klar. Dabei ist die Lösung mittlerweile ziemlich simpel wie das Linux-Magazin zeigt...

Dabei wird einfach auf einen VPN-Tunnel mit "openvpn" zurückgegriffen. Dieses Tool steht für Linux, Windows und auch für Mac zur Verfügung. Das Prinzip ist dabei ganz einfach: Von einem Punkt A (z.B. in Peking) wird ein verschlüsselter Tunnel über den Port 443 zu einem Punkt B (z.B. in den U.S.A.) aufgebaut. Da der Traffic der durch den Tunnel geht verschlüsselt ist, kann er ungehindert durch die chinesische Mauer durchsickern und wird nicht gefiltert. Vom Punkt B hingegen, hat man Zugriff auf das gesamte Internet und auf alle Dienste womit man die Zensur erfolgreich ausgehebelt hat.

Falls die chinesiche Staatsführung sich überlegen sollte Port 443 zu sperren, so ist das auch ein kein Problem. Man kann, wenn der Server im Punkt B an einem anderen Port lauscht, auch einen anderen Port verwenden.

Der Original-Artikel im Linux-Magazin:
http://www.linux-magazin.de/online_artikel/openvpn_gegen_zensur

Vor einiger Zeit gab es hier im Undertec-Blog einen Artikel über sicheres VNC per SSH. Dies ist ebenfalls eine Möglichkeit einen Tunnel aufzubauen und zum Beispiel einen Dienst wie VNC über den Tunnel laufen zu lassen:
http://www.undertec.de/blog/2008/02/sicheres-vnc-vom-windowsclient.html

Ebenfalls vor einiger Zeit gab es eine Seite mit der man Testen konnte ob diverse Seiten in China erreicht werden können, leider ist diese Tool zur Zeit nicht verfügbar. Hier aber trotzdem kurz der Link:
http://greatfirewallofchina.org/

Das verschiedene Tricks um die große chinesische Firewall auszutricksen schon älter sind, kann man an einem Heise-Artikel aus dem Juni 2006 sehen:
http://www.heise.de/newsticker/Chinas-Grosse-Firewall-austricksen--/meldung/74908

Und zu guter letzt der passende Wikipedia-Artikel:
http://de.wikipedia.org/wiki/Internetkontrolle_in_China

Wer einen guten IPSEC-Client mit L2TP-Tunnelfunktion sucht, der sollte sich den "NCP Secure Entry Linux Client" ansehen. Zwar wird er von NCP leider nicht mehr weiterentwickelt oder supportet, doch bietet er eine gute Alternative zum Cisco-Linux-Client oder zu den ganzen FreeS/Wan-, OpenSwan- oder StrongSwan-VPN-Implementierungen unter Linux.

Der Client bietet die gleiche Funktionalität, die man auch vom Windows-NCP-Client kennt. L2TP-Verbindungen, IPSEC-over-L2TP-Verbindungen, IPSEC (native) -Verbindungen und eine reine Internetverbindung.

In einem Test zeigte sich, dass die L2TP-Verbindungstypen hervorragend funktionierten und die Kommunikation zum NCP-Testserver einwandfrei war. Nur die Funktion IPSEC (native) ließ sich nicht verwenden, da der Menüpunkt nicht auswählbar war. (Falls jemand eine Idee hat warum nicht, der möge dies bitte in einen Kommentar schreiben)

Um den Client zum Laufen zu bringen, muss man das heruntergeladene sh-Skript ausführen (Im Test war es leider lauter Fehler doch mit einem Trick konnte auch das enthaltene kaputte Archiv entpackt werden. Wer dieses Problem ebenfalls hat, möge bitte im Kommentar eine Nachricht mit seiner E-Mail-Adresse hinterlassen.). Danach kann man die Dateien installieren. Falls es zu Problemen beim Start kommt, kann es sein dass diverse symbolische Verknüpfungen zu Bibliotheken in /usr/lib/ fehlen.

Um den Clienten zu starten muss man folgende Schritte befolgen:

1. Den TUN/TAP-Treiber laden mit "modprobe tun"

2. Den Clienten starten mit "clntdstart". Dieser Befehl startet die beiden Daemonen die benötigt werden.

3. Das NCP-Popup starten mit "startncppopup".

4. Den Clienten aufrufen mit "ncpmon".

Leider ist das Programm nur eine 30-Tage-Testversion. Mit einem passenden Schlüssel von NCP lässt sich das Programm aber zur Vollversion freischalten.

Die Original NCP-Download-Quelle:
ftp://ftp.ncp.de/products/ncp/secentcl/Bin/Linux/
(Falls es diese Adresse irgendwann nicht mehr gibt einfach nach "NCP Secure Entry Linux Client" googlen. Hier finden sich dann auch andere Download-Sourcen)

Das Original NCP-Linux-Client-Handbuch:
http://www.ncp-e.com/fileadmin/pdf/handbuecher/NCP_SecEnterpriseCl_Linux_de.pdf

Wer beim "Bintec Secure IPSec Client" folgende Fehermeldung erhält...

Connect request: Media Type is not ready

...der sollte sich unter "Konfiguration -> Profil-Einstellungen -> Profil konfigurieren -> Grundeinstellungen" einmal umschauen. Erst einmal sollte der Verbindungstyp stimmen. Wahlweise "VPN zu IPSec-Gegenstelle" oder "Internet-Verbindung ohne VPN". Als zweites sollte man prüfen, ob das Verbindungsmedium auch das Richtige ist. Hier hat man eine Vielzahl von Möglichkeiten: ISDN, Modem, LAN / WLAN (over IP), etc...

Sind diese Daten alle richtig eingestellt, so sollte auch der Fehler verschwinden.

Über dieses Archiv

Diese Seite enthält aktuelle Einträge der Kategorie IPSec.

Internet ist die vorherige Kategorie.

Kurioses ist die nächste Kategorie.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Juli 2013

So Mo Di Mi Do Fr Sa
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
Etter EDV- und IT-Dienstleistungen
Powered by Movable Type 5.04

Google Werbung:

Google Werbung: