13
Wie richtet man bei einem Cisco-1921-Router VPN für Windows-Clients (Windows XP und Windows 7) ein?
Hallo!
Wie richtet man bei einem Cisco-1921-Router (Ausführung 1921/K9) VPN für Windows-Clients (Windows XP und Windows 7) ein und wie funktioniert hierbei dann die Einrichtung der Windows-Client-PCs?
http://www.cisco.com/c/en/us/products/collateral/routers/1900-series-in ...
Vielen Dank vorab!
Wie richtet man bei einem Cisco-1921-Router (Ausführung 1921/K9) VPN für Windows-Clients (Windows XP und Windows 7) ein und wie funktioniert hierbei dann die Einrichtung der Windows-Client-PCs?
http://www.cisco.com/c/en/us/products/collateral/routers/1900-series-in ...
Vielen Dank vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 265467
Url: https://administrator.de/contentid/265467
Printed on: April 26, 2024 at 12:04 o'clock
13 Comments
Latest comment
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Kommando Syntax ist beim 1921 vollkommen identisch ! Du musst ggf. nur die Interface Nummerierung anpassen und natürlich deine IP Adressierung ansonsten ist alles gleich.
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Die Kommando Syntax ist beim 1921 vollkommen identisch ! Du musst ggf. nur die Interface Nummerierung anpassen und natürlich deine IP Adressierung ansonsten ist alles gleich.
Noch ein paar Fragen in Bezug auf den Cisco-VPN-Configuration-Wizard:
1) Welchen Privilige-Level (wählbar im Bereich von 0 bis 15) vergibt man dabei üblicherweise an VPN-Benutzer?
2) Der VPN-Benutzernamen muss nicht mit dem Windows-Benutzernamen identisch sein, oder?
3) Welchen Domainnamen gibt man bei den DNS/WINS-Einstellungen an, wenn sich im LAN kein Webserver, sondern nur ein Emailserver befindet und der Domainname der Firma musterfirma.de lautet: musterfirma.de oder musterfirma.local
Und warum wird hierbei überhaupt nach dem Domainnamen gefragt?
4) Wann sollte man bei "Enable Split Tunneling" einen Haken setzen und was muss dann "enter the protected subnet" eingegeben werden, wenn der IP-Bereich im LAN beispielsweise 192.186.1.0 bis 192.168.1.254 wäre?
5) Wann sollte bei "Enable Perfect Forward Secrecy (PFS)" ein Haken gesetzt werden?
6) Wann sollte bei "Enable cTCP" (Cisco Tunneling Control Protocoll) ein Haken gesetzt werden und was muss, wenn man hier einen Haken gesetzt hat, als Portnummern (vorgegeben ist nur 10000) eingetragen werden?
1) Welchen Privilige-Level (wählbar im Bereich von 0 bis 15) vergibt man dabei üblicherweise an VPN-Benutzer?
2) Der VPN-Benutzernamen muss nicht mit dem Windows-Benutzernamen identisch sein, oder?
3) Welchen Domainnamen gibt man bei den DNS/WINS-Einstellungen an, wenn sich im LAN kein Webserver, sondern nur ein Emailserver befindet und der Domainname der Firma musterfirma.de lautet: musterfirma.de oder musterfirma.local
Und warum wird hierbei überhaupt nach dem Domainnamen gefragt?
4) Wann sollte man bei "Enable Split Tunneling" einen Haken setzen und was muss dann "enter the protected subnet" eingegeben werden, wenn der IP-Bereich im LAN beispielsweise 192.186.1.0 bis 192.168.1.254 wäre?
5) Wann sollte bei "Enable Perfect Forward Secrecy (PFS)" ein Haken gesetzt werden?
6) Wann sollte bei "Enable cTCP" (Cisco Tunneling Control Protocoll) ein Haken gesetzt werden und was muss, wenn man hier einen Haken gesetzt hat, als Portnummern (vorgegeben ist nur 10000) eingetragen werden?
1.)
Privilige Level in Bezug auf IOS Zugriffsrechte im Cisco ?
Das hat mit VPN rein gar nichts zu tun sondern bestimmt was ein Router Admin darf und was nicht:
http://www.techrepublic.com/blog/data-center/understand-the-levels-of-p ...
https://learningnetwork.cisco.com/docs/DOC-15878
2.)
Nein.
3.)
musterfirma.de
4.)
Das setzt du wenn du noch einen Backup VPN Router hast. Man kann dann vom Client einen Backup Tunnel aufbauen falls einer mal ausfällt.
subnet immer das Netz selber angeben 192.168.1.0 /24 Die Netzadresse ist immer die wo alle Hostbits auf 0 sind ! .0 ist KEINE gültige Hostadresse !
5.)
Guckst du hier:
http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit- ...
6.)
Nur wenn du einen Cisco VPN Client hast. Nicht bei standartisierten Clients wie Shrew oder brodeigenen Clients etc.
Privilige Level in Bezug auf IOS Zugriffsrechte im Cisco ?
Das hat mit VPN rein gar nichts zu tun sondern bestimmt was ein Router Admin darf und was nicht:
http://www.techrepublic.com/blog/data-center/understand-the-levels-of-p ...
https://learningnetwork.cisco.com/docs/DOC-15878
2.)
Nein.
3.)
musterfirma.de
4.)
Das setzt du wenn du noch einen Backup VPN Router hast. Man kann dann vom Client einen Backup Tunnel aufbauen falls einer mal ausfällt.
subnet immer das Netz selber angeben 192.168.1.0 /24 Die Netzadresse ist immer die wo alle Hostbits auf 0 sind ! .0 ist KEINE gültige Hostadresse !
5.)
Guckst du hier:
http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit- ...
6.)
Nur wenn du einen Cisco VPN Client hast. Nicht bei standartisierten Clients wie Shrew oder brodeigenen Clients etc.
Vielen Dank für die Beantwortung der Fragen!
Habe noch noch acht weitere Fragen:
1) Wann muss man bei "Firewall Are-U-There" einen Haken setzen?
2) Wann muss man bei "Include Local LAN" einen Haken setzen?
3) Würde der Verbindungsaufbau auch dann funktionieren, wenn bei cTCP ein Haken gesetzt ist und die Client-Software cTCP nicht beherscht?
4) Würde der Verbindungsaufbau auch dann funktionieren, wenn bei PFS ein Haken gesetzt ist und die Client-Software PFS nicht beherscht?
5) Wenn der Router unter der (Sub-)Domain xyz.firmenname.de erreichbar ist, muss man dann bei den DNS/WINS-Einstellungen als Domain firmenname.de oder xyz.firmenname.de eingeben?
6) Kann die Cisco-VPN-Client-Software (Version 5.0.07.0410) PFS? Und wenn ja, muss man zur Nutzung von PFS bei diesem VPN-Client noch etwas einstellen?
7) Wann muss man bei der Cisco-VPN-Client-Software bei "Allow Local LAN Access" einen Haken setzen?
8) Was sind brodeigene Clients?
Habe noch noch acht weitere Fragen:
1) Wann muss man bei "Firewall Are-U-There" einen Haken setzen?
2) Wann muss man bei "Include Local LAN" einen Haken setzen?
3) Würde der Verbindungsaufbau auch dann funktionieren, wenn bei cTCP ein Haken gesetzt ist und die Client-Software cTCP nicht beherscht?
4) Würde der Verbindungsaufbau auch dann funktionieren, wenn bei PFS ein Haken gesetzt ist und die Client-Software PFS nicht beherscht?
5) Wenn der Router unter der (Sub-)Domain xyz.firmenname.de erreichbar ist, muss man dann bei den DNS/WINS-Einstellungen als Domain firmenname.de oder xyz.firmenname.de eingeben?
6) Kann die Cisco-VPN-Client-Software (Version 5.0.07.0410) PFS? Und wenn ja, muss man zur Nutzung von PFS bei diesem VPN-Client noch etwas einstellen?
7) Wann muss man bei der Cisco-VPN-Client-Software bei "Allow Local LAN Access" einen Haken setzen?
8) Was sind brodeigene Clients?
1.)
Wenn man einen Keepalive auf dem Tunnellink haben möchte. (Ausfallerkennung)
2.)
Wenn man das remote Netzwerk in der Routing Table anounced haben möchte.
3.)
Nein
4.)
Ja, sollte das ist negotiatable
5.)
Nein, nicht zwingend. Für die Funktion des VPN ist DNS erstmal nur Schall und Rauch.
6.)
Ja. Lese bitte die Release Notes zur Software !! PFS muss aktiviert werden im Setup.
7.)
Wenn man möchte das VPN Clients bei aktiver VPN Verbindung trotzdem noch Zugriff auf ihr lokales LAN / WLAN bekomen.
Aus Sicherheitsgründen ist das tödlich und sollte man nie machen, denn so besteht immer eine direkte Verbindung von diesen ungeschützten und ggf. verseuchten Netzwerken zum VPN. Man denke da nur mal an öffentliche Hotspots usw.
8.)
"Bordeigen" meinst du sicher, oder ?
Das isnd Clients die ALLE Betreibssysteme und Smartphones schon von sich aus an Bord haben. Z.B. Alle Apple Produkte haben einen Cisco VPN Client an Bord im Betriebssystem. Windows L2TP, PPTP
Weis man aber auch als Netzwerker !
Wenn man einen Keepalive auf dem Tunnellink haben möchte. (Ausfallerkennung)
2.)
Wenn man das remote Netzwerk in der Routing Table anounced haben möchte.
3.)
Nein
4.)
Ja, sollte das ist negotiatable
5.)
Nein, nicht zwingend. Für die Funktion des VPN ist DNS erstmal nur Schall und Rauch.
6.)
Ja. Lese bitte die Release Notes zur Software !! PFS muss aktiviert werden im Setup.
7.)
Wenn man möchte das VPN Clients bei aktiver VPN Verbindung trotzdem noch Zugriff auf ihr lokales LAN / WLAN bekomen.
Aus Sicherheitsgründen ist das tödlich und sollte man nie machen, denn so besteht immer eine direkte Verbindung von diesen ungeschützten und ggf. verseuchten Netzwerken zum VPN. Man denke da nur mal an öffentliche Hotspots usw.
8.)
"Bordeigen" meinst du sicher, oder ?
Das isnd Clients die ALLE Betreibssysteme und Smartphones schon von sich aus an Bord haben. Z.B. Alle Apple Produkte haben einen Cisco VPN Client an Bord im Betriebssystem. Windows L2TP, PPTP
Weis man aber auch als Netzwerker !
1
@ aqui
Ich vermute, dass ein Teil Deiner Antworten falsch sind. Wie kann ich denn hier bei den Antworten Screenshots einfügen, um dies zu erklären?
Ich vermute, dass ein Teil Deiner Antworten falsch sind. Wie kann ich denn hier bei den Antworten Screenshots einfügen, um dies zu erklären?
- Mit "Meine Fragen" den Original Thread auswählen
- Auf "Bearbeiten" klicken
- "Bilder Hochladen" Button oben rechts klicken
- Bild hochladen und den dann präsentierten Bilderlink mit Rechtsklick und Copy und Paste sichern
- In jeglichen Text hier (Antworten etc.) pasten.
- Statt des Bilderlinks in Klammern wird dann immer dein Bild im Text angezeigt
- FAQs lesen...
Ein einziger Blick in die gute Cisco Dokumentation und Manauls bzw. Command Reference sollte doch hier sofort Klarheit schaffen ?!
Falsch dürften Deine Ausführungen bezüglich "Enable Split Tunneling" sein, denn Backup-Server werden in der Registerkarte "Client Settings" eingereichtet.
Falsch dürften Deine Ausführungen bezüglich "Firewall Are-U-There" sein, denn hierbei geht es um Black Ice oder Zone Alarm Personal Firewalls.
Sorry, falsche Baustelle in der Hektik. Du hattest Recht. Split Tunnel schaltet den Zugriff aufs lokale netz ab:
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
https://www.lrz.de/fragen/faq/vpn/vpn12/
http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
https://www.lrz.de/fragen/faq/vpn/vpn12/
Falsch dürften außerdem Deine Ausführungen sein bezüglich PFS beim Cisco-VPN-Client, da in den Release-Notes (http://www.vpn.eb.mil.br/5.0.07.0410-rel-notes.txt) ) davon nichts zu lesen ist und weil bei der Installation und bei den Einstellungen der Client-Software nichts bezüglich PFS zu sehen war. Außerdem kann man wohl zu Recht davon ausgehen, dass die NSA zu den Top-Kunden von Cisco zählt und dass Cisco aufgrund dieses Interessenkonflikts keine PFS-Verschlüsselung in die Cisco-VPN-Clientsoftware einbaut.
Falsch dürften desweiteren Deines Ausführungen bezüglich cTCP sein, da ein Verbindungsaufbau auch dann funktioniert, wenn einerseits beim Router das Häkchen bei cTCP gesetzt ist, andererseits man aber beim Cisco-VPN-Client nicht IPSec over TCP (TCP Port 10000), sondern IPSec oder UDP (NAT/PAT) gewählt hat.
Außerdem dürfte Deine Einschätzung, dass die DSN-Einstellungen unbedeutend sind, falsch sein, weil man schließlich die VPN-Verbindung nicht nur als reinen Selbstzweck aufbaut, sondern um das entsprechende LAN per VPN zu erreichen. Bei mir ist es nämlich so, dass der VPN-Verbindungsaufbau zwar problemlos klappt, ich aber keine im LAN befindlichen Geräte über die VPN-Verbindung erreiche.
Falsch dürften desweiteren Deines Ausführungen bezüglich cTCP sein, da ein Verbindungsaufbau auch dann funktioniert, wenn einerseits beim Router das Häkchen bei cTCP gesetzt ist, andererseits man aber beim Cisco-VPN-Client nicht IPSec over TCP (TCP Port 10000), sondern IPSec oder UDP (NAT/PAT) gewählt hat.
Außerdem dürfte Deine Einschätzung, dass die DSN-Einstellungen unbedeutend sind, falsch sein, weil man schließlich die VPN-Verbindung nicht nur als reinen Selbstzweck aufbaut, sondern um das entsprechende LAN per VPN zu erreichen. Bei mir ist es nämlich so, dass der VPN-Verbindungsaufbau zwar problemlos klappt, ich aber keine im LAN befindlichen Geräte über die VPN-Verbindung erreiche.
dass die NSA zu den Top-Kunden von Cisco zählt und dass Cisco aufgrund dieses Interessenkonflikts keine PFS-Verschlüsselung in die Cisco-VPN-Clientsoftware einbaut.
Das wird wohl stimmen. Deshalb auch der Tip immer die Release Notes zu lesen, da steht immer alles schwarz auf weiss drin.Es gibt leider mehrere VPN Clients von Cisco und andere supporten es.
Falsch dürften desweiteren Deines Ausführungen bezüglich cTCP sein, da ein Verbindungsaufbau auch dann funktioniert, wenn einerseits beim Router das Häkchen bei cTCP gesetzt ist,
Funktioniert hier mit aktueller SW nicht mehr. Dann hast du vermutlich veraltete IOS Firmware.Bei mir ist es nämlich so, dass der VPN-Verbindungsaufbau zwar problemlos klappt, ich aber keine im LAN befindlichen Geräte über die VPN-Verbindung erreiche.
Nein, auch da liegst du wieder falsch ! Das ist typisch und zeigt wie immer eine Fehlkonfiguration der lokalen Firewalls an ! Diese blocken ALLES was mit fremden IPs auf sie zugreift. Folglich auch dann die Connections die vom VPN kommen. Ohne FW Customizing wirst du hier also nix.Typisches PEBKAC Problem
Hatte die Firewall-Regeln nach den VPN-Settings extra nochmal neu generiert. Außerdem basieren die Firewall-Regeln auf der niedrigen Sicherheitsstufe. Erstaunlich, dass es damit nicht funktioniert.
Welche Firewall-Änderungen wären denn nun noch konkret erforderlich?
Ansonsten könnte ich erstmal alle vorhandenen Firewall-Regeln für einen Test löschen, oder?!
Und außerdem: Wie sieht es hiermit ("Falsch dürften Deine Ausführungen bezüglich "Firewall Are-U-There" sein, denn hierbei geht es um Black Ice oder Zone Alarm Personal Firewalls.") aus?
Welche Firewall-Änderungen wären denn nun noch konkret erforderlich?
Ansonsten könnte ich erstmal alle vorhandenen Firewall-Regeln für einen Test löschen, oder?!
Und außerdem: Wie sieht es hiermit ("Falsch dürften Deine Ausführungen bezüglich "Firewall Are-U-There" sein, denn hierbei geht es um Black Ice oder Zone Alarm Personal Firewalls.") aus?
Wenn man übrigens die Firewall-Rules löscht, klappt nicht nur grundsätzlich immer der VPN-Verbindungsaufbau, sondern man gelangt auch teilweise ins LAN.
So kann man dann beispielsweise auf das Webinterface eines Canon-Netzwerkdruckers oder auf das Webinterface eines 3Com-WLAN-Acces-Points oder auf das Webinterface eines HP-managed-Switchs gelangen, während der Zugriff auf das Webinterface eines Epson-Netzwerkdruckers, der Zugriff auf das Webinterface einer APC-USV, der Zugriff auf das Webinterface eines QNAP-NAS, der Zugriff auf das Webinterface eines Raritan-KVM-over-IP-Switch komischerweise nicht funktioniert. Beim beim HP-Managed-Switch kommt allerdings eine Java-Fehlermeldung bezüglich Blockierung aufgrund von Sicherheitseinstellungen. Das bedeutet, dass ein Teil der Webinterfacezugriffe funktioniert, ein Teil der Webinterface-Zugriffe bedingt funktioniert, und ein Teil der Webinterfacezugriffe gar nicht funktionieren!
Warum ist das so?!
Und wenn Firewall-Rules, die vom Firewall-Wizard des Routers generiert wurden, gesetzt sind, dann klappt der Zugriff aufs LAN nie, wobei der VPN-Verbindungsaufbau hierbei auch nicht immer klappt und es für mich nicht nachvollziehbar ist, wann der VPN-Verbindungsaufbau klappt und wann nicht. Erstaunlich ist hierbei, dass bei gesetzten Firewall-Rules der VPN-Verbindungsaufbau mitunter selbst dann nicht klappt, wenn die VPN-Testfunktion (VPN-Troubleshooting) des Routers erfolgreich verläuft.
So kann man dann beispielsweise auf das Webinterface eines Canon-Netzwerkdruckers oder auf das Webinterface eines 3Com-WLAN-Acces-Points oder auf das Webinterface eines HP-managed-Switchs gelangen, während der Zugriff auf das Webinterface eines Epson-Netzwerkdruckers, der Zugriff auf das Webinterface einer APC-USV, der Zugriff auf das Webinterface eines QNAP-NAS, der Zugriff auf das Webinterface eines Raritan-KVM-over-IP-Switch komischerweise nicht funktioniert. Beim beim HP-Managed-Switch kommt allerdings eine Java-Fehlermeldung bezüglich Blockierung aufgrund von Sicherheitseinstellungen. Das bedeutet, dass ein Teil der Webinterfacezugriffe funktioniert, ein Teil der Webinterface-Zugriffe bedingt funktioniert, und ein Teil der Webinterfacezugriffe gar nicht funktionieren!
Warum ist das so?!
Und wenn Firewall-Rules, die vom Firewall-Wizard des Routers generiert wurden, gesetzt sind, dann klappt der Zugriff aufs LAN nie, wobei der VPN-Verbindungsaufbau hierbei auch nicht immer klappt und es für mich nicht nachvollziehbar ist, wann der VPN-Verbindungsaufbau klappt und wann nicht. Erstaunlich ist hierbei, dass bei gesetzten Firewall-Rules der VPN-Verbindungsaufbau mitunter selbst dann nicht klappt, wenn die VPN-Testfunktion (VPN-Troubleshooting) des Routers erfolgreich verläuft.