Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Checkpoint SecureClient - via WLAN an jedem Hotspot anmelden..

Frage Sicherheit Firewall

Mitglied: tanita

tanita (Level 1) - Jetzt verbinden

01.09.2005, aktualisiert 20.09.2005, 9893 Aufrufe, 4 Kommentare

Hallo,

bei uns wird für VPN der CP SecureClient (R55) eingesetzt. Die Benutzer haben keine Adminrechte, können sich lediglich zu einer vorkonfigurierten Site anmelden. Solange sie nicht per VPN an der Site angemeldet sind, ist das Laptop durch die personal-Firewall dicht.

Nun haben wir die Anforderung, dass sich mit diesem Laptop an _jedem_ WLAN Hotspot angemeldet werden kann..

Wir haben keine Erfahrung mit Hotspot-Anmeldungen.

1. Kann man sich ohne Adminrechte die Logins usw einstellen? Muss man dazu extra Software installieren oder geht das immer über Web?

Der SecureClient der Version R56 scheint das Thema Hotspots zu behandeln, wir können den jedoch nicht sofort einsetzen, d.h. wir bräuchten einen Workaround.

Alle IP-Adressen freizugeben macht ja auch keinen Sinn.. Ein Techniker der Telekom meinte, dass an den Hotspots der Telekom immer die gleiche IP vergeben wird :| , war sich jedoch nicht sicher.. 2. Kann das wirklich sein?

3. Wie sieht das mit anderen Hotspots von anderen Providern aus?

Mir ist die Vorgehensweise grundsätzlich völlig unklar. Für Diskussion und Tipps, auch zu Doku bin ich dankbar.

Gruß T.
Mitglied: apohl
02.09.2005 um 10:15 Uhr
und mir ist das Problem unklar....

an jedem Hotspot anmelden kannst Du schon mal vergessen, da Du nie weisst, mit welchem Billing-Providern ein Hotspot-Betreiber ein Roaming vereinbart hat.

Welches Betriebssystem ist auf den Laptops drauf ?

Vom Prinzip her musst Du drei Dinge zulassen:

1. Die Ksite muss via DHCP alle nötigen Einstellungen empfangen können

2. Der User muss die Möglichkeit haben, die WLAN-Verbindung zu konfigurieren (nicht immer klappt dier automatische Konfiguration)

3. Hat der User eine Verbindung muss er in der Lage sein, sich mittels HTTP an dem AccesPoint zwecks Abrechnung zu authentifizieren.

Danach veranlasst er den VPN-Client eine Verbindung zur FW aufzunehmen und den Tunnel aufzubauen.

Für die automatische Aushandlung der WLAN-Parameter sind ein paar Ports zu öffnen, die Du mal ergooglen musst. Anders wirds nicht gehen.

Zwecks WLAN-Roaming würd ich evtl. mehrgleisig fahren .... nicht jeder Abrechnungspartner ist überall zu erreichen ( also z.B. T-Offline, Mobilfunknetzbetreiber, normaler Hotspot-Anbieter)
Bitte warten ..
Mitglied: tanita
02.09.2005 um 10:57 Uhr
und mir ist das Problem unklar....

Ich sags mal ganz einfach, unser Chef will sich an jedem Hotspot überall, wirklich _überall_ anmelden können.. Das ist doch ziemlich cheftypisch.


an jedem Hotspot
anmelden kannst Du schon mal vergessen, da
Du nie weisst, mit welchem Billing-Providern
ein Hotspot-Betreiber ein Roaming vereinbart
hat.

So aus dem Bauch raus, ist das in etwa auch unsere Begründung. Nur ist keinem richtig klar, wie die Hotspot-Anmeldung allgemein richtig funktioniert. Wir sollen uns nur schnell um eine Lösung kümmern.

Welches Betriebssystem ist auf den Laptops
drauf ?

Windows XP

Vom Prinzip her musst Du drei Dinge
zulassen:

1. Die Ksite muss via DHCP alle nötigen
Einstellungen empfangen können

Das geht.

2. Der User muss die Möglichkeit haben,
die WLAN-Verbindung zu konfigurieren (nicht
immer klappt dier automatische
Konfiguration)

Das ist eben noch die Frage, wie man das mit der Berechtigung steuern kann, ohne gleich Adminrechte geben zu müssen.

3. Hat der User eine Verbindung muss er in
der Lage sein, sich mittels HTTP an dem
AccesPoint zwecks Abrechnung zu
authentifizieren.

Die default-Policy ist momentan so eingestellt, dass man nur zur VPN-Site kommt, sonst nix. Ist ja auch sinnvoll..

Für die automatische Aushandlung der
WLAN-Parameter sind ein paar Ports zu
öffnen, die Du mal ergooglen musst.
Anders wirds nicht gehen.

Ja, das sollte sich rausfinden lassen, kann man ggf. mal mitsniffen

Zwecks WLAN-Roaming würd ich evtl.
mehrgleisig fahren .... nicht jeder
Abrechnungspartner ist überall zu
erreichen ( also z.B. T-Offline,
Mobilfunknetzbetreiber, normaler
Hotspot-Anbieter)
Vorerst könnte man es auf einen Betreiber reduzieren, welcher hier (Muc) am meisten vertreten ist.

Irgendwie fühle ich mich nicht wohl bei der ganzen Sache... Slebst Checkpoint bietet ab R56 ein Hotspot-Modus an, welcher eigentlich nur ein Workaround ist.. Funktioniert in etwas so, dass nach dem Hochfahren für eine Gewisse Zweit alle IP-Adressen via http zu erreichen sind..
Bitte warten ..
Mitglied: apohl
02.09.2005 um 11:19 Uhr
Ich sags mal ganz einfach, unser Chef will
sich an jedem Hotspot überall, wirklich
_überall_ anmelden können.. Das ist
doch ziemlich cheftypisch.

Stimmt ... allerdings solltet Ihr dann mal klären, was er will.... Hotsport-Anmeldung von Uberall oder ein vollständig abgeschottetes Netz. Beides geht nicht.

So aus dem Bauch raus, ist das in etwa auch
unsere Begründung. Nur ist keinem
richtig klar, wie die Hotspot-Anmeldung
allgemein richtig funktioniert. Wir sollen
uns nur schnell um eine Lösung
kümmern.

Rechner booten -> hoffen dass er den AP automatisch findet (bei WinXP meist kein Problem, ansonsten konfigurieren) -> mit AP verbinden -> Browser öffnen -> Authentifizierungsseite des Clients aufrufen (da die meisten HotSpots als Transparenter HTTP-Proxxi laufen, dürfte die Seite eh automatisch geladen werden) -> Zugangsdaten eingeben -> Bestätigung abwarten -> VPN-Client starten und hoffen, daß der AP IPSEC & PPPTP PassThru unterstützen.

> Vom Prinzip her musst Du drei Dinge
> zulassen:
>
> 1. Die Ksite muss via DHCP alle
nötigen
> Einstellungen empfangen können

Das geht.


Wenn Dein Firewall-Client alles dicht macht, geht das nicht... DHCP-Verhandlung läuft schließlich auch über einen TCP-IP Port (546 TCP+UDP glaube ich)

> 2. Der User muss die Möglichkeit
haben,
> die WLAN-Verbindung zu konfigurieren
(nicht
> immer klappt dier automatische
> Konfiguration)

Das ist eben noch die Frage, wie man das mit
der Berechtigung steuern kann, ohne gleich
Adminrechte geben zu müssen.

Administrative Vorlagen bzw. GPO


> 3. Hat der User eine Verbindung muss er
in
> der Lage sein, sich mittels HTTP an
dem
> AccesPoint zwecks Abrechnung zu
> authentifizieren.

Die default-Policy ist momentan so
eingestellt, dass man nur zur VPN-Site
kommt, sonst nix. Ist ja auch sinnvoll..

Da kann man getrennter Meinung sein; ich vertrete hier in der Firma z.B. die Ansicht, daß eine vernünftig konfigurierte lokale FW, ein aktueller Virenscanner und ein netter Spyware-Scanner in Verbindung mit einigen geöffneten Standardports (80.443.110.25) zu vertreten sind; so haben meine Roadwarriors zumindest die Möglichkeit, sich mit unserem Mailserver zu verbinden, wenn ein Login ins VPN nicht möglich ist ... und wenn das nicht geht, dann gibt´s zumindest Webmail.

Allerdings macht das nur Sinn, wenn der Netzwerkschutz nicht am Gateway aufhört, sondern konsequent im ganzen Netz besteht.


Vorerst könnte man es auf einen
Betreiber reduzieren, welcher hier (Muc) am
meisten vertreten ist.

Aus Erfahrung: Sieh dich gleich nach einer Komplett-Lösung um Dein Chef wird nicht nur in Muc mal schnell ins VPN wollen und ich glaube nicht, daß er sich in Hamburg noch daran erinnert, daß Du ihm gesagt hast, daß es ausserhalb von MUC zu Problemen kommen kann (mal von dem Biergarten um die Ecke, der ein eigenes Abrechnungssystem hat, vollkommen abgesehen)

Wir nutzen T-O in Verbindung mit einer WLAN-Registrierung beim Handynetzbetreiber und können somit zumindest 60 % der Fälle abdecken; notfalls muss Cheffe halt ein Voucher kaufen


Irgendwie fühle ich mich nicht wohl bei
der ganzen Sache... Slebst Checkpoint bietet
ab R56 ein Hotspot-Modus an, welcher
eigentlich nur ein Workaround ist..
Funktioniert in etwas so, dass nach dem
Hochfahren für eine Gewisse Zweit alle
IP-Adressen via http zu erreichen sind..

Wo hast Du dann das Problem, HTTP generell freizugeben?
Bitte warten ..
Mitglied: tanita
20.09.2005 um 13:37 Uhr
Hallo,

komme gerade aus Urlaub, muss eben ein anderes Problem lösen.

Gruß Tanja
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst LANCOM 1781AW per WLAN an Fritzbox anmelden (17)

Frage von chrizl zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN Hotspot mit Ticketsystem, Abrechnung und Logging (6)

Frage von detmold79 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst W-LAN Hotspot ohne SIM um WLan Signal zu verteilen (8)

Frage von linkit zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Laptop über WLAN anmelden mit RADIUS im active directory (2)

Frage von tobivan zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (22)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...