[erledigt] Wie als Client mit Ipsec ins Arcor-VPN?

[stollenreiter]

Hallo zusammen.

Seit ein paar Tagen versuche ich mit Linux in unser VPN zu kommen. Leider ohne jeglichen Erfolg. Momentan mache ich es über Virtualbox und Windows.

Da ich nur als Client rein will, kann es doch nicht so schwierig sein, oder?

Ich selber sitz hier an einem Etch, der über einen Router ins Netz geht. Die Zugangsdaten von Arcor habe ich und ein Zertifikat aus meiner Windows-Emu liegt auch vor.

Jetzt habe ich schon vpns, kvpnc usw. probiert. Keine Chance. Installiert hatte ich schon die ipsec-tools, openswan, racoon..... Alles umsonst.

Was ich mit Hilfe von google gefunden habe, sind immer Installationen für Server. Ich will aber nur als Client in das VPN.

Kennt jemand eine Dokumentation, die mir da weiterhelfen kann? Möchte ungern weiterhin mit Windows arbeiten.


Gruß Andreas

[Danielx]

Welche Software benutzt du denn dafür unter Windows?

[stollenreiter]

Hallo.


Tja, genau da liegt das Problem. Unter Windows habe ich keine Software installieren müßen. Da wird alles über den Browser eingerichtet. Das muß dann auch noch der IE sein. Mit aktiviertem ActiveX! Ach so, das dann auch noch als Administrator. Das waren die schlimmsten Minuten meines EDV-Lebens.....

Na jedenfalls habe ich jetzt unter dem IE ein Zertifikat und auf dem Desktop einen Link zu einer Netzwerkverbindung. Nur das ich das halt nicht nutzen will. Es soll alles unter Linux laufen. Bin auch gerne bereit, dafür eine andere Desktop-Umgebung zu installieren. Momentan habe ich fluxbox drauf.

Gruß

[stollenreiter]

Ich nochmal.


Kennt vielleicht jemand ein HowTo für mein Problem? Das muß doch irgendwie machbar sein. Oder muss ich mir ein anderes Zertifikat erstellen/besorgen?

Gruß Andreas

[kryzir]

Also für die Uni funktioniert sowohl Cisco vpn als auch vpnc.

Vlt hilft dir dieser link: http://wiki.ubuntuusers.de/Cisco-VPN-Client

[Danielx]

Handelt es sich hierbei vielleicht um "Arcor-Company Net":
http://www.arcor.de/business/vpn.jsp

Wenn ja, dann scheint da Cisco dahinter zu stecken, siehe hier:
http://www.cisco.com/web/DE/pdfs/soluti ... ny-net.pdf

Hast du genauere Infos zu dem Zertifikat, evtl. eine Dateiendung?

Kannst du den Namen der Software (bzw. ActiveX) unter Windows herausfinden, hat sich die Software irgendwo in Windows eingetragen?

Wenn es sich um Cisco mit Zertifikat handeln sollte, dann könnte es möglicherweise mit dem proprietären Cisco-Client (gibt es auch für Linux) funktionieren, vpnc unterstützt leider noch keine Zertifikate.

Hast du mal bei deiner Firma nachgefragt um was es sich da handelt?

Gruß,
Daniel

[haertie]

Hallo,

also ich stehe vor dem gleichen Problem. Das Ganze funktioniert folgender Maßen:

1. Speichern Sie die Zerifikatsdatei arcorRootCA.cer auf Ihrem Rechner.
2. Starten Sie den MS Internet Explorer.
3. Öffnen Sie die Ansicht Internetoptionen > Inhalte > Zertifikate.
4. Selektieren Sie den Register Vertrauenswürdige Stammzertifizierungsstellen.
5. Wählen Sie die Funktion Importieren und geben Sie den Pfad zu der heruntergeladenen Datei arcorRootCA.cer an.
6. Nach der Installation können Sie die heruntergeladene Datei löschen.


Anschließend muss man innerhalb des Companynetzes auf eine Seite von Arcor gehen. Das erfordert den IE6 mit activeX. Dort klickt man auf einen Link. Dort gibt man sein Login sein Passwort und eine TAN-Nummer ein die der Admin erstellt hat. War dies erfolgreich kommt man auf eine Seite mit einem Button "install". Drück man diesen, wird eine DFÜ Verbindung angelegt. dies ist die VPN-Verbindung wo man mit seinem Login und Passwort sich einloggen kann.

Das ganze klingt für mich nach L2TP oder PPTP mit IpSec. wie es jetzt unter Linux eingerichtet wird ist mir auch noch rätselhaft.

[haertie]

hat niemand eine idee?

soweit ich mitbekommen habe, wird im windows im ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys ein RSA-Key angelegt. ob das jetzt der Key oder das Zertifikat ist weiß ich nicht. Da kenne ichmich zu wenig damit aus, aber eventuell hilft es.

[stollenreiter]

Hallo.

Altes Thema, ich weiß. Aber bin immer noch nicht weiter. Mittlerweile habe ich erfahren (Hotline) das es wohl User gibt die das zum Laufen gebracht haben. Es soll mit ipsec gehen. Aber leider konnte mir keiner sagen, wie?


Ist hier vielleicht einer unter uns der das gemacht hat?

Gruß Andreas

[xdanx]

Wenn es sich um Cisco mit Zertifikat handeln sollte, dann könnte es möglicherweise mit dem proprietären Cisco-Client (gibt es auch für Linux) funktionieren, vpnc unterstützt leider noch keine Zertifikate.

Inzwischen schon, muss man aber im Makefile einkommentieren und dann selber kompilieren.

Siehe hier: http://wiki.ubuntuusers.de/VPNC#Kompili ... ifizierung

[Danielx]

Es soll mit ipsec gehen. Aber leider konnte mir keiner sagen, wie?

Ja, das hört sich alles nach IPSec an.
Du kannst ja mal Wireshark oder so bei einem Verbindungsaufbau mitlaufen lassen um herauszufinden, bei welchem Server sich das Programm anmeldet und auch gleich noch den Port ermitteln.
Damit lässt sich dann evtl. schon eine entsprechende Konfig-Datei im Internet finden, da es ja anscheinend schon Linux-Benutzer gibt, die das zum Laufen bekommen haben.

Inzwischen schon, muss man aber im Makefile einkommentieren und dann selber kompilieren.

Siehe hier: http://wiki.ubuntuusers.de/VPNC#Kompili ... ifizierung

Ja, ich habe mir den VPNC auch selbst gebaut und diesen im hybrid-Modus laufen, also mit Passwort und Zertifikat.

Gruß,
Daniel

[stollenreiter]

Hallo.

Vielen Dank für die vielen Tipps. Da ich mir nicht vorstellen konnte dass es an Debian liegt, habe ich noch ein wenig weiter gesucht. Das Problem liegt bei meinem UMTS-Anbieter. Ich bekomme damit keine öffentliche IP und somit kann die Gegenstelle nicht "zurück rufen".

Es gibt Anbieter, die auch eine öffentliche IP anbieten. Allerdings kostet das wieder einiges mehr. So ein Problem gibt es halt bei DSL nicht. Aber ich bleib trotzdem erstmal bei UMTS.


Schönen Dank nochmal für die Hilfe.


Gruß Andreas

[Danielx]

Da ich mir nicht vorstellen konnte dass es an Debian liegt, habe ich noch ein wenig weiter gesucht. Das Problem liegt bei meinem UMTS-Anbieter. Ich bekomme damit keine öffentliche IP und somit kann die Gegenstelle nicht "zurück rufen".

Wie sähe denn die Lösung unter Debian aus, wenn du eine "normale" IP hättest?

Gruß,
Daniel

[stollenreiter]

Siehe hier: http://wiki.ubuntuusers.de/VPNC#Kompili ... ifizierung


Das hat mir ja leider nicht weitergeholfen, aber so soll es funktionieren (unter normalen Umständen).

Gruß

[Danielx]

Ok, also handelt es sich bei "Arcor-Company Net" um ein normales Cisco VPN mit Zertifikat, welches mit VPNC (Zertifikat-Unterstützung einkompiliert) funktioniert, wenn man eine (eigene, "normale") öffentliche IP hat.

Gruß,
Daniel

[haertie]

Die Theorie klingt einfach, nur wirklich funktionieren tut es nicht. mich würde mal interessieren was in der /etc/vpnc/default.conf alles stehen muss:

IPSec gateway <gateway>
IPSec ID <group-id>
IPSec secret <group-psk>
IKE Authmode hybrid
Xauth username <username>
Xauth password <password>

Was genau muss in die "IPSec secret <group-psk>" eingetragen werden? Wo kommt das Zertifikat rein? Man hat von Arcor 2 Zertifikate. Einmal das öffentliche RootCA von arcor "arcorRootCA.cer" und einmal das private vom User "0815.cer" wo und wie muss ich das in die config schreiben? Hat es hier schon jemand zum laufen gebracht?

[Halle]

Hallo,

ich muss das Thema wieder öffen da ich vor dem selben Problem stehe!

Ich benötige für unsere Aussendienstmitarbeiter eine sichere mobile Lösung, mit Windows will ich die nicht raus lassen.
Mir schwebt eine VPN-Einwahl via Arcor Company Schrott vor, allerdings bekomme ich die VPN Verbindung nicht hin, ich hoffe ihr könnt mir helfen!

Nutzen will ich Notes (WEB/Offline-Web) und Citrix, das läuft auch schon im lokalen Netz!

Gebt mir bitte mal ein Paar Tips


mfg


Halle

[stollenreiter]

So, mittlerweile habe ich eine UMTS-Verbindung mit öffentlicher IP.

Leider klappt das alles immer noch nicht.

Das Root-Zertifikat habe ich ja, aber wie komme ich an den Rest ran und hat das schon mal jemand zum laufen gebracht?

[Travelmarker]

huhu,

habt ihr denn nun auch eine Lösung, wie der Weg für VPN-Einwahl via Arcor unter Linux ist?