93630
Jun 17, 2013
5848
9
0
PPTP noch sicher genug?
Moin,
ich habe ein Problem bei einem kleinen lokalen Unternehmen. Das Unternehmen setzt einen Lancom-Router ein und möchte "externen Personen" Zugriff auf das Netzwerk geben. Die Einwahl soll möglichst mit Win7 Boardmitteln und nicht mit extra VPN-Clients passieren. Soweit ich weiß ist das einzige Boardmittel die Einwahl mit PPTP. Korrekt? Über PPTP lese ich aber nur schlechtes. Ein erster grober Versucht mit dem Shrew VPN-Client ist fehlgeschlagen und der Lancom VPN-Client keine Alternative. Also was tun?
Danke
ich habe ein Problem bei einem kleinen lokalen Unternehmen. Das Unternehmen setzt einen Lancom-Router ein und möchte "externen Personen" Zugriff auf das Netzwerk geben. Die Einwahl soll möglichst mit Win7 Boardmitteln und nicht mit extra VPN-Clients passieren. Soweit ich weiß ist das einzige Boardmittel die Einwahl mit PPTP. Korrekt? Über PPTP lese ich aber nur schlechtes. Ein erster grober Versucht mit dem Shrew VPN-Client ist fehlgeschlagen und der Lancom VPN-Client keine Alternative. Also was tun?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 208173
Url: https://administrator.de/contentid/208173
Printed on: April 25, 2024 at 05:04 o'clock
9 Comments
Latest comment
Hallo,
du kannst noch L2TP/IPSec und/oder SSTP einsetzen.
Beides ist weit sicherer wie PPTP.
Gruß
du kannst noch L2TP/IPSec und/oder SSTP einsetzen.
Beides ist weit sicherer wie PPTP.
Gruß
Hallo,
hier ist die Kombination Shrew und Lancom eigentlich ganz gut beschrieben:
https://www.shrew.net/support/Howto_Lancom
Hast du dich danach gerichtet?
Gruß
hier ist die Kombination Shrew und Lancom eigentlich ganz gut beschrieben:
https://www.shrew.net/support/Howto_Lancom
Hast du dich danach gerichtet?
Gruß
Zitat von @Hitman4021:
du kannst noch L2TP/IPSec und/oder SSTP einsetzen.
Beides ist weit sicherer wie PPTP.
du kannst noch L2TP/IPSec und/oder SSTP einsetzen.
Beides ist weit sicherer wie PPTP.
Ne Idee wie ich das im Lancom einrichte?
Zitat von @DerSchorsch:
hier ist die Kombination Shrew und Lancom eigentlich ganz gut beschrieben:
https://www.shrew.net/support/Howto_Lancom
Hast du dich danach gerichtet?
hier ist die Kombination Shrew und Lancom eigentlich ganz gut beschrieben:
https://www.shrew.net/support/Howto_Lancom
Hast du dich danach gerichtet?
Hin und her probiert. Scheitere schon an einem "negotiation timout occurred". Die Anfrage scheint Nichtmal richtig beim lancom anzukommen. Hab alles genau so gemacht. Einzige Abweichung: Ich habe keinen festen domain namen darum nehme ich die IP und habe als "entfernten identität typ" Key-Id(Gruppenname) gewählt und mit nem random string belegt. Zusätzlich ist der Lancon in 2 virtuelle router aufgeteilt.
Hallo,
der Domain-Name muss nicht wirklich existieren, du kannst da z.B. client1.buero.local nehmen.
Wichtig ist die korrekte Einstellungauf beiden Seiten.
Kann der Router die Identität des Clients nicht korrekt zuordnen, kommt es genau zu so einem negotiation timeout.
Gruß
der Domain-Name muss nicht wirklich existieren, du kannst da z.B. client1.buero.local nehmen.
Wichtig ist die korrekte Einstellungauf beiden Seiten.
Kann der Router die Identität des Clients nicht korrekt zuordnen, kommt es genau zu so einem negotiation timeout.
Gruß
Zitat von @93630:
Über PPTP lese
ich aber nur schlechtes.
Über PPTP lese
ich aber nur schlechtes.
guten Abend,
Die Kollgen haben ja schon zu IPSEC genügend gesagt. PPTP sollte heutzutage ein nogo sein. Es hat zuviele Einfallstore. Insbesondere wenn die Daten mehr als 200$ Wert sind, sollte man davon Abstand nehmen.
lks
Moin!
Soweit ich weiss, ist die Einwahl mit EAP und Zertifikat noch sicher.
Gab zumindest nach dem Hack mal ne Empfehlung von MS entsprechend umzustellen, wenn man PPTP verwendet, den Link zu dem Artikel finde ich aber grad nicht. Dieser beschreibt jedenfalls wie's konfiguriert wird:
http://support.microsoft.com/kb/259880
Gruß
der buc
Soweit ich weiss, ist die Einwahl mit EAP und Zertifikat noch sicher.
Gab zumindest nach dem Hack mal ne Empfehlung von MS entsprechend umzustellen, wenn man PPTP verwendet, den Link zu dem Artikel finde ich aber grad nicht. Dieser beschreibt jedenfalls wie's konfiguriert wird:
http://support.microsoft.com/kb/259880
Gruß
der buc
Zitat von @DerSchorsch:
Hallo,
der Domain-Name muss nicht wirklich existieren, du kannst da z.B. client1.buero.local nehmen.
Wichtig ist die korrekte Einstellungauf beiden Seiten.
Kann der Router die Identität des Clients nicht korrekt zuordnen, kommt es genau zu so einem negotiation timeout.
Gruß
Hallo,
der Domain-Name muss nicht wirklich existieren, du kannst da z.B. client1.buero.local nehmen.
Wichtig ist die korrekte Einstellungauf beiden Seiten.
Kann der Router die Identität des Clients nicht korrekt zuordnen, kommt es genau zu so einem negotiation timeout.
Gruß
Hab es auch so Probiert. Hier mal das Log vom Shrew Trace.
13/06/18 13:14:39 DB : phase1 found
13/06/18 13:14:39 DB : phase1 ref increment ( ref count = 2, obj count = 1 )
13/06/18 13:14:39 ii : processing phase1 packet ( 1012 bytes )
13/06/18 13:14:39 =< : cookies ***
13/06/18 13:14:39 =< : message 00000000
13/06/18 13:14:39 << : ignoring duplicate security association payload
13/06/18 13:14:39 !! : unprocessed payload data
13/06/18 13:14:39 << : ignoring duplicate key excahnge payload
13/06/18 13:14:39 !! : unprocessed payload data
13/06/18 13:14:39 DB : phase1 ref decrement ( ref count = 1, obj count = 1 )
13/06/18 13:14:39 <A : peer tunnel disable message
13/06/18 13:14:39 DB : policy not found
13/06/18 13:14:39 DB : policy not found
13/06/18 13:14:39 DB : policy not found
13/06/18 13:14:39 DB : policy not found
13/06/18 13:14:39 DB : removing tunnel config references
13/06/18 13:14:39 DB : removing tunnel phase2 references
13/06/18 13:14:39 DB : removing tunnel phase1 references
13/06/18 13:14:39 DB : phase1 ref increment ( ref count = 2, obj count = 1 )
13/06/18 13:14:39 DB : phase1 resend event canceled ( ref count = 1 )
Hallo,
ich hatte ein ähnliches Problem und konnte es vor ein paar Wochen eher durch Zufall endlich lösen. Heut hab ich versucht das ganze mal zu dokumentieren und das ist dabei rausgekommen:
http://i-link.de/L2TP/L2TP_Certificate_VPN.html
Windows 7 + Server 2008 R2, L2TP VPN, Zertifikate, Lancom Router, die Arbeitsplätze sind nicht in der Domäne - ich glaub das dürfte etwa auch deine Problemstellung sein.
Wenn's klappt (oder wenn nicht) wär ein kurzes Feedback schön damit ich weiss ob ich alles notiert hab was wirklich nötig ist? Oder falls ich einen Denkfehler in meiner Anleitung hab wär's auch interessant zu wissen.
Gruss, Markus
ich hatte ein ähnliches Problem und konnte es vor ein paar Wochen eher durch Zufall endlich lösen. Heut hab ich versucht das ganze mal zu dokumentieren und das ist dabei rausgekommen:
http://i-link.de/L2TP/L2TP_Certificate_VPN.html
Windows 7 + Server 2008 R2, L2TP VPN, Zertifikate, Lancom Router, die Arbeitsplätze sind nicht in der Domäne - ich glaub das dürfte etwa auch deine Problemstellung sein.
Wenn's klappt (oder wenn nicht) wär ein kurzes Feedback schön damit ich weiss ob ich alles notiert hab was wirklich nötig ist? Oder falls ich einen Denkfehler in meiner Anleitung hab wär's auch interessant zu wissen.
Gruss, Markus
