Cisco VPN Client und Shrew

Liebe Wer-Weiss-Was’ler,

nach vielen Stunden bin ich etwas verzweifelt und hoffe, dass jemand einen guten Tipp für mich hat:

Von meinem Laptop möchte ich zwei VPN-Verbindungen aufbauen. Eine zur Uni (per Shrew) funktioniert wunderbar. Die andere zu meiner Firma, die mit Cisco arbeitet. Da eine Installation beider Clients nicht möglich ist (das habe ich schon versucht), möchte ich gerne den Shrew-Client dazu bringen, sich auch mit dem Arbeitsnetz zu verbinden.

Ich habe eine Cisco pcf-Datei und mein Zertifikat (RSA), das ich auch in Shrew eingebunden habe. Leider funktioniert aber die Verbindung nicht. Weiß jemand von euch, was genau das „Server Certificate Autority File“ bei Shrew ist oder hat sonst noch eine gute Idee/Frage, die mich weiterbringt?

Vielen Dank im Voraus für eure Antworten/Einschätzungen!
Die Trueffelsau

Hallo,
speziell mit Shrew kenne ich mich leider nicht aus. Ich vermute allerdings stark, dass sich mit Shrew auch eine zweite Verbindung einrichten lassen müsste. Wenn ich dich richtig verstanden habe, möchtest du die Authentifizierung über Zertifikate lösen. Zum einrichten und testen ist es aber einfacher, sich für die Variante mit Passwort zu entscheiden (sonst musst du wieder aufpassen, welchen public- bzw. privatkey du wo benutzt).
Wenn das mit Passwort schon nicht geht, wird es mit key ziemlich sicher auch nicht gehen.

Ganz grundlegende Frage: Mit welchem Gerät willst du dich verbinden? Mit einem PC/Server oder mit einem Cisco-Gerät (Cisco-Gerät halte ich für unwarscheinlich)? Cisco hat nämlich bestimmt wieder eine Sonderlösung (Cisco-VPNs haben wir leider noch nicht behandelt). Versuche mal das Gerät zu pingen. Evtl. dafür mal kurz deine Firewall abschalten (aber wiedereinschalten nicht vergessen). Evtl. lässt dich auch die Konfiguration deines Firmennetzes nicht durch. Am besten fragst du da mal jemanden, der dafür verantwortlich ist.

Achja, das „Server Certificate Autority File“ hört sich für mich nach dem public-key des Servers mit dem du dich verbinden willst an.

Ich hoffe, ich konnte dir helfen.

Hallo,

danke für die super schnelle Antwort!

Ja, mit Shrew können mehrere Verbindungen eingerichtet werden. Die Zertifizierung muss über ein Zertifikat gelöst werden, da ich so ein Ding von der Firma bekommen habe.

Ich glaube die Verbindung erfolgt zu einem Cisco-Gerät. Das Gerät steht irgendwo im Rechenzentrum. Pingen ist kein Problem.

Ja, genau… Ich glaube das ist der public-key, aber wo bekomme ich den her?

Hi,
der Public-Key ist das Zertifikat, das du von der Firma bekommen hast. Mit dem ersetzt du ja die Passwortabfrage. Die Firma stellt diesen Key für dich aus und jeder der sich mit diesem Key (betrachte den einfach als Passwort in Dateiform) am System deiner Firma anmeldet, benutzt dein Benutzerkonto. Deshalb solltest du den Key auch keinesfalls weitergeben.

Was genau willst du denn bei deiner Firma machen? Auf einen bestimmten PC zugreifen oder brauchst du allgemein Zugang zum Netz um an alle Geräte ranzukommen?

Wenn pingen geht, ist das ja schon mal ein Erfolg. Gibt es denn noch andere Leute in deiner Firma, die auch per VPN zugreifen? Evtl. könntest du die mal fragen.

Hoffe, das hilft dir weiter.
Halt mich auf dem Laufenden.

Hallo Felix,

es gibt sehr große Fortschritte: Ich kann mich einwählen und (fast) alles funktioniert! Das einzige was nicht geht ist die automatische Zuweisung einer IP-Adresse. Wenn ich eine IP von Hand eingebe, funktioniert alles. (Stichwort: ike config pull) Vielleicht fällt dir dazu ja noch was ein.

Vielen Dank für deine Hilfe!

P.S.: Dank deiner Hilfe habe ich das jetzt auch mit den Zertifikaten verstanden!

Hallo,
ike config pull muss etwas spezielles von Shrew sein. Da ich Shrew nicht kenne und nicht benutze, kann ich dir leider auch nicht sagen was die Einstellung macht.
Wo genau fehlt dir denn die IP-Adresse? Auf der Client Seite (da wo du vor dem PC sitzt) oder auf der Server-Seite (da wo du dich hin verbindest)?
Dynamische Adressvergabe wäre natürlich toll. Werden in dem Netz in dem du die Adresse brauchst die Adressen dynamisch verteilt (gibt es dort einen DHCP-Server)? Wenn ja, schau mal nach ob es irgendwo in deiner Konfiguration die Möglichkeit gibt, DHCP einzustellen. Wenn es keinen DHCP-Server im entsprechenden Netz gibt, wirst du die Adresse immer von Hand eintragen müssen.

Wie genau legst du eigentlich die Adresse fest? Gibt es da ein Kommando oder schreibst du das in eine Konfigurationsdatei?

Aber wenn bis auf DHCP alles klappt ist das ja ein riesiger Fortschritt. Freut mich, dass ich dir helfen konnte.

Felix

Hi Felix,

ja, eigentlich werden die Adressen dynamisch über einen DHCP-Server verteilt. das Problem liegt wohl am Shrew-Client. Mit festeingestellter IP geht alles aber wunderbar. Das kann auch so bleiben. Die IP-Adresse lege ich im Einstellungsdialog fest.

Vielen Dank für deine Unterstützung!

Gern geschehen.
Felix

Hi,

wenn der Zugriff in die Firma über SSL VPN erfolgt, wird Shrew das woh nicht können. IPSec ist aber kein Problem.

Gruß
Michael