10
VPN-Verbindung mit Windows-Client schlägt fehl, Cisco-Client funktioniert
Hallo zusammen,
die Stimmung an diesem schönen warmen Tag wird durch ein kleines VPN-Problem getrübt, das für mich keinen Sinn ergeben will.
Ich nutze auf meinem Laptop Windows 8 Pro und möchte mit dem integrierten VPN-Client eine Verbindung in ein fremdes Netz aufbauen. Die Betreiber des Netzes stellen dafür die Cisco-Client-Software zur Verfügung. Ich bin allerdings der Meinung, dass der Windows-Client dann auch funktionieren müsste - dem ist aber nicht so.
Es handelt sich um ein IPsec-VPN. Ich habe das Shared Secret angegeben und die Verbindung von "Automatisch" auf L2TP/IPsec umgestellt. Wenn ich sie starte, werde ich nach meinen Zugangsdaten gefragt - die Verbindung an sich scheint also zu stehen. Doch wenn ich die Daten eingebe, versucht er sich eine ganze Weile zu authentifizieren und bricht dann mit der Meldung 789 ab, welche besagt, dass es ein Problem mit den Sicherheitseinstellungen gibt.
Installiere ich den Cisco-Client, läuft alles reibungslos ab, die Verbindung steht praktisch sofort. Ich habe meine Security-Software als Fehlerquelle bereits ausgeschlossen. Ich habe alle virtuellen Switches im Hyper-V gelöscht, um sicherzugehen, dass in dem ganzen Getummel nix untergeht.
Habt Ihr eine Idee, woran ich scheitere? Die angegebenen Daten stimmen definitiv, das wurde mit vom Netz-Betreiber nach Prüfung versichert.
Hier mal ein Screenshot meiner Einstellungen:
Ich vermute den Fehler im unteren Fenster-Teil. Ich habe bereits den ersten Punkt aktiviert und bin die komplette Liste durchgegangen. Als das keine Besserung brachte, habe ich den unteren Punkt aktiviert und alle Optionen bis auf die Letzte aktiviert. Da das auch nicht geholfen hat, bin ich nun etwas ratlos.
Danke für Eure Hilfe !!!
Sonnige Grüße
tbnwadm
die Stimmung an diesem schönen warmen Tag wird durch ein kleines VPN-Problem getrübt, das für mich keinen Sinn ergeben will.
Ich nutze auf meinem Laptop Windows 8 Pro und möchte mit dem integrierten VPN-Client eine Verbindung in ein fremdes Netz aufbauen. Die Betreiber des Netzes stellen dafür die Cisco-Client-Software zur Verfügung. Ich bin allerdings der Meinung, dass der Windows-Client dann auch funktionieren müsste - dem ist aber nicht so.
Es handelt sich um ein IPsec-VPN. Ich habe das Shared Secret angegeben und die Verbindung von "Automatisch" auf L2TP/IPsec umgestellt. Wenn ich sie starte, werde ich nach meinen Zugangsdaten gefragt - die Verbindung an sich scheint also zu stehen. Doch wenn ich die Daten eingebe, versucht er sich eine ganze Weile zu authentifizieren und bricht dann mit der Meldung 789 ab, welche besagt, dass es ein Problem mit den Sicherheitseinstellungen gibt.
Installiere ich den Cisco-Client, läuft alles reibungslos ab, die Verbindung steht praktisch sofort. Ich habe meine Security-Software als Fehlerquelle bereits ausgeschlossen. Ich habe alle virtuellen Switches im Hyper-V gelöscht, um sicherzugehen, dass in dem ganzen Getummel nix untergeht.
Habt Ihr eine Idee, woran ich scheitere? Die angegebenen Daten stimmen definitiv, das wurde mit vom Netz-Betreiber nach Prüfung versichert.
Hier mal ein Screenshot meiner Einstellungen:
Ich vermute den Fehler im unteren Fenster-Teil. Ich habe bereits den ersten Punkt aktiviert und bin die komplette Liste durchgegangen. Als das keine Besserung brachte, habe ich den unteren Punkt aktiviert und alle Optionen bis auf die Letzte aktiviert. Da das auch nicht geholfen hat, bin ich nun etwas ratlos.
Danke für Eure Hilfe !!!
Sonnige Grüße
tbnwadm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 213211
Url: https://administrator.de/contentid/213211
Printed on: April 18, 2024 at 20:04 o'clock
10 Comments
Latest comment
Hi,
nur ganz kurz vor Feierabend:
Bei IPSEC müssen die Parameter auf beiden Seiten übereinstimmen und Cisco hat auch noch einen eigenen "Dialekt".
Guck dir mal die Einstellungen im Cisco-Client an, und versuche diese bei Win 8 einzutippern.
VG
Deepsys
nur ganz kurz vor Feierabend:
Bei IPSEC müssen die Parameter auf beiden Seiten übereinstimmen und Cisco hat auch noch einen eigenen "Dialekt".
Guck dir mal die Einstellungen im Cisco-Client an, und versuche diese bei Win 8 einzutippern.
VG
Deepsys
Hi Deepsys,
aber es kann ja nicht schaden, wenn ich im Client mehr zu lasse, als benötigt, oder ? Natürlich nur zu Testen.
Ich sehe mal, was ich aus dem Client rausbekommen...
Schönen Feierabend.
VG
tbnwadm
Edit: Aus dem Client kann ich leider nicht wirklich viel herauslesen. Als Protokoll wird DTLS angegeben und als Chiffre RSA_AES_128_SHA1.
aber es kann ja nicht schaden, wenn ich im Client mehr zu lasse, als benötigt, oder ? Natürlich nur zu Testen.
Ich sehe mal, was ich aus dem Client rausbekommen...
Schönen Feierabend.
VG
tbnwadm
Edit: Aus dem Client kann ich leider nicht wirklich viel herauslesen. Als Protokoll wird DTLS angegeben und als Chiffre RSA_AES_128_SHA1.
Die Antwort ist nicht ganz richtig. Cisco benutzt keinen "Dialekt" sondern macht natives IPsec auf ESP Basis mit einer Group Authentication.
Windows hat aber keinen bordeigenen IPsec only Client. Die können nur PPTP und L2TP. L2TP nutzt zwar IPsec zum Schlüsseltaustausch, das wars aber dann schon.
Diese VPN Protokolle sind nicht untereinander kompatibel.
Statt des Cisco Clients kann man alternativ den freien Shrew Client verwenden Damit funktioniert es ebenso.
Mit den Windows Clients eben nicht, da diese eben kein natives IPsec supporten.
Details dazu findet man in diesen Tutorials:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Windows hat aber keinen bordeigenen IPsec only Client. Die können nur PPTP und L2TP. L2TP nutzt zwar IPsec zum Schlüsseltaustausch, das wars aber dann schon.
Diese VPN Protokolle sind nicht untereinander kompatibel.
Statt des Cisco Clients kann man alternativ den freien Shrew Client verwenden Damit funktioniert es ebenso.
Mit den Windows Clients eben nicht, da diese eben kein natives IPsec supporten.
Details dazu findet man in diesen Tutorials:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hallo @aqui,
danke für die Erklärungen.
Wenn ich das richtig verstanden habe, muss ich also zwingend eine andere Client-Software verwenden, statt der Windows-Variante. Schade.
Dann werde ich direkt den Cisco-Client verwenden. Ich hatte nur gehofft, generell auf Zusatzsoftware verzichten zu können.
Danke und schönen Feierabend!
VG
tbnwadm
danke für die Erklärungen.
Wenn ich das richtig verstanden habe, muss ich also zwingend eine andere Client-Software verwenden, statt der Windows-Variante. Schade.
Dann werde ich direkt den Cisco-Client verwenden. Ich hatte nur gehofft, generell auf Zusatzsoftware verzichten zu können.
Danke und schönen Feierabend!
VG
tbnwadm
Ja generell kann man auf Zusatzsoftware verzichten wenn der VPN Zugang als L2TP oder als PPTP Zugang eingerichtet wird.
Wenn das VPN Gateway das nicht supportet sondern nur rein IPsec musst du bei Winblows immer Zusatzsoftware verwenden.
Wenn du einen Apple Mac hättest oder deine Winblows Gurke dagegen tauschst, dann hat der einen IPsec Client an Bord der auch wunderbar mit Cisco funktioniert ?! Der eine so, der andere so...
Spaß beiseite.... Normalerweise konfiguriert man einen VPN Zugang auch so das er beide Optionen supportet. Wenn das bei dir nicht der Fall ist hat der der das aufgesetzt bzw. eingerichtet hat geschlampt...oder du hast ihm die falschen Vorgaben gemacht... Oder er ist ein Cisco Knecht und ist deren Marketing auf dem Leim gegangen und hängt nun am Fliegenfänger mit Zwangsclients...
Wenn das VPN Gateway das nicht supportet sondern nur rein IPsec musst du bei Winblows immer Zusatzsoftware verwenden.
Wenn du einen Apple Mac hättest oder deine Winblows Gurke dagegen tauschst, dann hat der einen IPsec Client an Bord der auch wunderbar mit Cisco funktioniert ?! Der eine so, der andere so...
Spaß beiseite.... Normalerweise konfiguriert man einen VPN Zugang auch so das er beide Optionen supportet. Wenn das bei dir nicht der Fall ist hat der der das aufgesetzt bzw. eingerichtet hat geschlampt...oder du hast ihm die falschen Vorgaben gemacht... Oder er ist ein Cisco Knecht und ist deren Marketing auf dem Leim gegangen und hängt nun am Fliegenfänger mit Zwangsclients...
Apple? Niemals! 
So schlimm ist es ja auch nicht, einen zusätzlichen Client zu verwenden, aber wenn etwas ootb supported wird - wovon ich eben fälschlicherweise ausgegangen bin - dann sehe ich es nicht ein, noch mehr Software drauf zu schaufeln, auf die ich eigentlich verzichten kann.
Es handelt sich um das Campus-Netz einer FH. Ich wei0 nicht, was der Grund ist, dass es so konfiguriert wurde. Da hier das Shared Secret öffentlich gemacht ist, kann man ja auch nicht mehr von "höchster Sicherheit" sprechen... Aber ich kann es leider nicht ändern...
Danke für die Hilfe!
So schlimm ist es ja auch nicht, einen zusätzlichen Client zu verwenden, aber wenn etwas ootb supported wird - wovon ich eben fälschlicherweise ausgegangen bin - dann sehe ich es nicht ein, noch mehr Software drauf zu schaufeln, auf die ich eigentlich verzichten kann.
Es handelt sich um das Campus-Netz einer FH. Ich wei0 nicht, was der Grund ist, dass es so konfiguriert wurde. Da hier das Shared Secret öffentlich gemacht ist, kann man ja auch nicht mehr von "höchster Sicherheit" sprechen... Aber ich kann es leider nicht ändern...
Danke für die Hilfe!
Windows 8 ...niemals müsste es richtig heissen. Das wäre der Grund um mal auf ein "richtiges" OS umzusteigen..
FH war das Stichwort. Forschung und Lehre ist fest in Cisco Hand. Die kaufen über große Rahmenverträge die nur abgenickt werden... Hängt eben von der Uni / FH und deren Admins ab. Hat man dort gutes und selbst denkendes Personal ist es universal eingerichtet....hat man es nicht ists ne Monokultur wie bei dir....ganz einfach !
Ändern kannst du sowas als kleiner Studi in der Tat nicht !
Es sei denn du beschaffst dir die richtige Hardware wie Linux zum Beispiel (oder natürlich Apple !!!) die haben sowas an Bord weil es eben "richtige" OS sind.... Windows lernts nie
FH war das Stichwort. Forschung und Lehre ist fest in Cisco Hand. Die kaufen über große Rahmenverträge die nur abgenickt werden... Hängt eben von der Uni / FH und deren Admins ab. Hat man dort gutes und selbst denkendes Personal ist es universal eingerichtet....hat man es nicht ists ne Monokultur wie bei dir....ganz einfach !
Ändern kannst du sowas als kleiner Studi in der Tat nicht !
Es sei denn du beschaffst dir die richtige Hardware wie Linux zum Beispiel (oder natürlich Apple !!!) die haben sowas an Bord weil es eben "richtige" OS sind.... Windows lernts nie
Ich verstehe die Aufregung nicht. Ich will es sogar nicht mehr missen. Jedem das Seine. Gibt ja genug Auswahlmöglichkeiten. Ich habe zum Beispiel eine grundsätzliche Abneigung zu Apple-Produkten - kann ich mich nie mit anfreunden.
Im Prinzip ist Cisco ja optimal, aber ich nehme an, dass der Mehraufwand, das VPN derartig universell einzurichten, für die Admins zu abschreckend ist - oder dass sie es für unnötig halten. Auf jeden Fall ist es schade!
Mal schauen, was die Campus-IT sagt. Bei meiner ersten Mail, wurde natürlich nur auf die Cisco-Software verwiesen.
Jedem das Seine. Gibt ja genug Auswahlmöglichkeiten. Ich habe zum Beispiel eine grundsätzliche Abneigung zu Apple-Produkten - kann ich mich nie mit anfreunden.Im Prinzip ist Cisco ja optimal, aber ich nehme an, dass der Mehraufwand, das VPN derartig universell einzurichten, für die Admins zu abschreckend ist - oder dass sie es für unnötig halten. Auf jeden Fall ist es schade!
Mal schauen, was die Campus-IT sagt. Bei meiner ersten Mail, wurde natürlich nur auf die Cisco-Software verwiesen.
Wie gesagt der freie Shrew Client leistet das auch und bei Debian / Ubuntu ist es das IKE Package...ansonsten eben der Cisco Client
Cisco-Client ist eingerichtet. Danke Dir.
