jiggylee
Goto Top

Beste VPN-Appliance (Small Business) mit Site-to-Site und support für alle Betriebssysteme

Hallöchen liebe Admins.

Ich bin auf der Suche nach ein paar VPN fähigen Geräten die sowohl 1x Lokal für Mitarbeiter als auch 1x extern im Rechenzentrum für Server laufen. Wir wollen möglichst alle Server und Clients nur noch über VPN verfügbar machen bis auf ein paar Instanzen.
Wir konnten bisher nicht ohne über 10 Probleme zu stoßen, Open-Source VPN Lösungen wie Strongswan, OpenVPN, pfsense (wobei dies auch nur strongswan und openvpn nutzt) und Softether zum Laufen kriegen.
Unsere Clients verwenden folgende Betriebssysteme: (iOS, Windows, OSX, Android, Ubuntu, Debian)

Wir hatten ständig mit anderen Problemen zu kämpfen, dabei war nie so ganz klar, ob es am Netzwerk selber lag, oder ob die Software einfach nur nen hau hatte. Entweder lag es ständig am NAT, oder typischerweise bei Windows mit den Privilegien der Standard Nutzer usw..

Fakt ist wir haben hier eine PFSense Firewall selbst zusammengestellt die ihren Job auch tut, nur lässt sich damit kein IPsec, l2tp, ikev2 out of the box ermöglichen. Ich hab mich zwar schon nach ein paar VPN Geräten umgesehen, aber es sollte wenn dann nicht mehr als 700€ kosten. Immerhin brauchen wir die 2x Oder vielleicht auch nur 1x das Gerät und 1x die Software.

Es gibt leider nicht genügend aktuelle Seiten die ziemlich gute vergleiche mit verschiedenen Geräten macht, deswegen weiß ich nicht worauf ich mich verlassen kann. Es geht uns hauptsächlich um VPN.

Bei den meisten Anbietern wie fortinet, juniper und anderen ist es grauenvoll das richtige Produkt zu finden, da mehr über die Idee und Lösung an sich als über das Produkt gesprochen wird.

Was ich bis jetzt gefunden habe, aber nur weil es günstig ist, die pfsense eigene Hardware. Leider fällt die schon raus, weil das nicht mal mit der jetzigen funktioniert :D

Wichtig ist nur, das es alle OS's unterstützt und wenn möglich nicht gerade die Open-Source projekte verwendet wie pfsense. Einfach etwas das wirklich funktioniert ^^

Danke schon mal für eure Tipps!

Content-ID: 293508

Url: https://administrator.de/forum/beste-vpn-appliance-small-business-mit-site-to-site-und-support-fuer-alle-betriebssysteme-293508.html

Ausgedruckt am: 27.12.2024 um 09:12 Uhr

michi1983
michi1983 19.01.2016 um 10:39:32 Uhr
Goto Top
Hallo,

also wenn du mit 2 PfSense es nicht schaffst, eine Site2Site VPN Verbindung aufzubauen oder Client2Server VPN, dann liegt das Problem definitiv nicht an der PfSense und schon gar nicht an OpenVPN. Das klappt hier seit fast 2 Jahren ohne Probleme.

OpenVPN Clients gibts sowohl für iOS, Android, Microsoft und sowieso für alle Linux Derivate.

Warum möchtest du L2TP/IPSec verwenden und nicht OpenVPN?

Gruß
JiggyLee
JiggyLee 19.01.2016 aktualisiert um 10:44:33 Uhr
Goto Top
site to site haben wir nicht getestet, nur ob sich jeder client auch mit dem vpn verbinden kann. sonst bringt das ja nichts... site-to-site kommt im anschluss

ipsec läuft auch mobile.
wir haben bereits das ganze getestet also mit den anderen protokollen wie l2tp ipsec und ikev2/1
michi1983
michi1983 19.01.2016 um 10:45:45 Uhr
Goto Top
Zitat von @JiggyLee:

site to site haben wir nicht getestet, nur ob sich jeder client auch mit dem vpn verbinden kann. sonst bringt das ja nichts... site-to-site kommt im anschluss
Und wo genau klemmts da?
Ich verbinde mich täglich öfter auch über mehrere Stunden hinweg mit einem Windows Client, meinem Android Smartphone und meinem Macbook auf die PfSense und hatte noch nie Probleme.
BirdyB
BirdyB 19.01.2016 um 10:48:29 Uhr
Goto Top
Hi,

ich schließe mich der Meinung von @michi1983 an... Wenn ihr das mit der pfSense nicht hinbekommt, liegt es nicht an der Hard- oder Software sondern am Admin davor...
Wenn es denn ganz einfach sein soll, könnte ich noch Lancom-Geräte empfehlen. Über die Assistenten von LanConfig ist das VPN ruckzuck eingerichtet und mit dem passenden VPN-Client sind deine Mitarbeiter auch recht schnell online...

Beste Grüße


Berthold
JiggyLee
JiggyLee 19.01.2016 um 10:50:37 Uhr
Goto Top
das liegt wahrscheinlich an der version 2.2.6 da haben mehrere probleme mit ipsec.

config:

config setup
	uniqueids = yes

conn bypasslan
	leftsubnet = 192.168.1.0/24
	rightsubnet = 192.168.1.0/24
	authby = never
	type = passthrough
	auto = route

conn con1
	fragmentation = yes
	keyexchange = ike
	reauth = yes
	forceencaps = yes
	mobike = no
	rekey = yes
	installpolicy = yes
	type = tunnel
	dpdaction = clear
	dpddelay = 10s
	dpdtimeout = 60s
	auto = add
	left = 80.150.xx.xx
	right = %any
	leftid = 80.150.xx.xx
	ikelifetime = 86400s
	lifetime = 28800s
	rightsourceip = 192.168.123.0/24
	ike = aes128-sha1-modp1024!
	esp = aes128-sha1!
	leftauth = psk
	rightauth = psk
	rightauth2 = xauth-generic
	leftsubnet = 0.0.0.0/0

log welches das selbe für alle geräte ausgibt.
Jan 18 11:20:42 	charon: 15[MGR] <15> checkin and destroy IKE_SA (unnamed)[15]
Jan 18 11:20:42 	charon: 15[IKE] <15> IKE_SA (unnamed)[15] state change: CONNECTING => DESTROYING
Jan 18 11:20:42 	charon: 15[MGR] check-in and destroy of IKE_SA successful
Jan 18 11:20:46 	charon: 15[MGR] checkout IKE_SA by message
Jan 18 11:20:46 	charon: 15[MGR] created IKE_SA (unnamed)[16]
Jan 18 11:20:46 	charon: 15[NET] <16> received packet: from 192.168.5.154[500] to 80.150.xx.xx[500] (762 bytes)
Jan 18 11:20:46 	charon: 15[ENC] <16> parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V V V V V V V V V V ]
Jan 18 11:20:46 	charon: 15[CFG] <16> looking for an ike config for 80.150.xx.xx...192.168.5.154
Jan 18 11:20:46 	charon: 15[CFG] <16> candidate: %any...%any, prio 24
Jan 18 11:20:46 	charon: 15[CFG] <16> candidate: 80.150.xx.xx...%any, prio 1048
Jan 18 11:20:46 	charon: 15[CFG] <16> found matching ike config: 80.150.xx.xx...%any with prio 1048
Jan 18 11:20:46 	charon: 15[IKE] <16> received FRAGMENTATION vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received NAT-T (RFC 3947) vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received XAuth vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received Cisco Unity vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> received DPD vendor ID
Jan 18 11:20:46 	charon: 15[IKE] <16> 192.168.5.154 is initiating a Aggressive Mode IKE_SA
Jan 18 11:20:46 	charon: 15[IKE] <16> IKE_SA (unnamed)[16] state change: CREATED => CONNECTING
Jan 18 11:20:46 	charon: 15[CFG] <16> selecting proposal:
Jan 18 11:20:46 	charon: 15[CFG] <16> no acceptable ENCRYPTION_ALGORITHM found
Jan 18 11:20:46 	charon: 15[CFG] <16> selecting proposal:
Jan 18 11:20:46 	charon: 15[CFG] <16> proposal matches
Jan 18 11:20:46 	charon: 15[CFG] <16> received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Jan 18 11:20:46 	charon: 15[CFG] <16> configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Jan 18 11:20:46 	charon: 15[CFG] <16> selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Jan 18 11:20:46 	charon: 15[CFG] <16> looking for XAuthInitPSK peer configs matching 80.150.xx.xx...192.168.5.154[admins]
Jan 18 11:20:46 	charon: 15[CFG] <16> candidate "bypasslan", match: 1/1/24 (me/other/ike)  
Jan 18 11:20:46 	charon: 15[CFG] <16> candidate "con1", match: 1/1/1048 (me/other/ike)  
Jan 18 11:20:46 	charon: 15[IKE] <16> found 2 matching configs, but none allows XAuthInitPSK authentication using Aggressive Mode
Jan 18 11:20:46 	charon: 15[IKE] <16> queueing INFORMATIONAL task
Jan 18 11:20:46 	charon: 15[IKE] <16> activating new tasks
Jan 18 11:20:46 	charon: 15[IKE] <16> activating INFORMATIONAL task
Jan 18 11:20:46 	charon: 15[ENC] <16> generating INFORMATIONAL_V1 request 3626808054 [ N(AUTH_FAILED) ]
Jan 18 11:20:46 	charon: 15[NET] <16> sending packet: from 80.150.xx.xx[500] to 192.168.5.154[500] (56 bytes)
Jan 18 11:20:46 	charon: 15[MGR] <16> checkin and destroy IKE_SA (unnamed)[16]
Jan 18 11:20:46 	charon: 15[IKE] <16> IKE_SA (unnamed)[16] state change: CONNECTING => DESTROYING
Jan 18 11:20:46 	charon: 15[MGR] check-in and destroy of IKE_SA successful
Jan 18 11:21:06 	charon: 15[MGR] checkout IKE_SA
Jan 18 11:21:09 	charon: 15[MGR] checkout IKE_SA
Jan 18 11:21:12 	charon: 15[MGR] checkout IKE_SA
Jan 18 11:21:16 	charon: 15[MGR] checkout IKE_SA
michi1983
michi1983 19.01.2016 um 10:52:39 Uhr
Goto Top
Nochmal.. was spricht gegen OpenVPN? OvenVPN hat zusätzlich noch den Vorteil, das es Split-Tunneling beherrscht was bei IPSec (bitte um Korrektur falls ich irre) nicht funktioniert.
JiggyLee
JiggyLee 19.01.2016 um 11:03:46 Uhr
Goto Top
Es geht nicht um das Tunneln. Wir würden die VPN Lösung für uns selbst und unsere Kunden verwenden. Das Problem ist, das die Kunden das selbe Problem mit den Windows Nutzern haben wie wir. Die Kunden selber sagen schon, sie hätten gar keine Lust auf openvpn und wir sollen eine andere Möglichkeit in Erwägung ziehen.

Das generelle Problem mit openvpn bei Windows, selbst wenn man den dienst und die rechte dem einen Client gibt, klappt das nicht immer (das hatten wir bei verschiedenen clients was ein lästiger Administrationsaufwand ist). es kam oft vor, dass Clients trotz der rechte und des beim boot startenden Dienstes im Nachhinein nochmal rechte benötigt um den virtuellen Adapter zu erstellen.

ich hab schon meine gründe warum ich nicht openvpn wähle.
JiggyLee
JiggyLee 19.01.2016 um 11:26:05 Uhr
Goto Top
andere blöde frage. ich les das grad bei den meisten geräten im internet. Wenn ein Gerät mehrere Kanäle unterstützt, bedeutet das das nur 1 Kanal á 1 Nutzer, oder 1 Kanal für x Nutzer unterstützt?
michi1983
michi1983 19.01.2016 um 11:27:06 Uhr
Goto Top
Zitat von @JiggyLee:

andere blöde frage. ich les das grad bei den meisten geräten im internet. Wenn ein Gerät mehrere Kanäle unterstützt, bedeutet das das nur 1 Kanal á 1 Nutzer, oder 1 Kanal für x Nutzer unterstützt?
Hast du eine Quelle für uns?
JiggyLee
JiggyLee 19.01.2016 um 11:30:00 Uhr
Goto Top
Lancom Gerät Review

relativ mittig.

"Was die Tunnelherstellung betrifft, kann ich alle marktüblichen Varianten nutzen. Zugegeben, das Handling mit Zertifikaten ist immer noch umständlich, jedoch erleichtern einem die guten Assistenten von Lancom das Arbeiten in vielerlei Hinsicht, ich wüsste keinen Ansatzpunkt, bei dem man es besser machen könnte. Problematisch werden die von Assistenten generierten Tunnel erst dann, wenn vom Lancom mehrere Netze bereitgestellt werden. Hier helfe ich mir im Moment mit einer BRG-Gruppe, um das Tunnelverhalten nicht zu stören. Das wäre eventuell ein Kritikpunkt an den Assistenten, jedoch wüsste ich mangels Fachkenntnis hier auch keine Möglichkeit, eine Besserung herbeizuführen. 5 Tunnel beherrscht Lancom aus dem Stand, bei meinen 12 genutzten musste ich jedoch die Advanced VPN Option käuflich erwerben, mit der sind bis zu 25 Kanäle gleichzeitig drin."
michi1983
michi1983 19.01.2016 um 11:33:39 Uhr
Goto Top
Damit ist die Anzahl der VPN Verbindungen gemeint ja. Bei vielen Business Lösungen musst du VPN Lizenzen kaufen wenn du mehr als die in der Grundausstattung benötigten Verbindungen benötigst.

Wie viele Verbindungen gleichzeitig brauchst du denn für dein Vorhaben?
JiggyLee
JiggyLee 19.01.2016 um 11:34:59 Uhr
Goto Top
naja, server und clients (kunden und intern) mit einberechnet so an die 200+
michi1983
michi1983 19.01.2016 um 11:38:09 Uhr
Goto Top
Zitat von @JiggyLee:

naja, server und clients (kunden und intern) mit einberechnet so an die 200+
200 gleichzeitige Verbindungen und da suchst du im Small Office Bereich? face-smile
Schau dich mal bei Juniper, Cisco, Checkpoint, Palo Alto etc. um
beidermachtvongreyscull
Lösung beidermachtvongreyscull 19.01.2016 aktualisiert um 11:50:20 Uhr
Goto Top
Zitat von @JiggyLee:
Wir konnten bisher nicht ohne über 10 Probleme zu stoßen, Open-Source VPN Lösungen wie Strongswan, OpenVPN, pfsense (wobei dies auch nur strongswan und openvpn nutzt) und Softether zum Laufen kriegen.
SoftEther VPN ist so einfach in Gang zu bekommen. Setz den Server auf CentOS auf. Erst sauber das Netzwerk einrichten (2 Schnittstellen), dann SEVPN dazu. Läuft bei mir seit Jahr und Tag und macht KEINE Schwierigkeiten.

Unsere Clients verwenden folgende Betriebssysteme: (iOS, Windows, OSX, Android, Ubuntu, Debian)
SoftEther könnte alle bedienen mit SSTP, L2TP, OpenVPN, Azure und SSL.
Wir nutzen auf Mac OpenVPN, auf Windows SSTP und SSL auf Android OpenVPN. Es geht.

Wir hatten ständig mit anderen Problemen zu kämpfen, dabei war nie so ganz klar, ob es am Netzwerk selber lag, oder ob die Software einfach nur nen hau hatte. Entweder lag es ständig am NAT, oder typischerweise bei Windows mit den Privilegien der Standard Nutzer usw..
SoftEther VPN baut Dir sogar ne Beispielconfig basierend auf dem Server zusammen. Du brauchst sie nur noch zu importieren.

Fakt ist wir haben hier eine PFSense Firewall selbst zusammengestellt die ihren Job auch tut, nur lässt sich damit kein IPsec, l2tp, ikev2 out of the box ermöglichen. Ich hab mich zwar schon nach ein paar VPN Geräten umgesehen, aber es sollte wenn dann nicht mehr als 700€ kosten. Immerhin brauchen wir die 2x Oder vielleicht auch nur 1x das Gerät und 1x die Software.
Doch schon, aber eben nicht durch ein paar Klicks. Auch die PFSense muss sauber eingerichtet sein und auf Clientseite wird da nur OpenVPN überall unterstützt.

Es gibt leider nicht genügend aktuelle Seiten die ziemlich gute vergleiche mit verschiedenen Geräten macht, deswegen weiß ich nicht worauf ich mich verlassen kann. Es geht uns hauptsächlich um VPN.
Ich empfehle Dir folgendes: Nimm einen PC mit einem Intel Core2Duo. Knall CentOS drauf, richte zwei Netzwerkkarten ein und hänge das Teil an die PFSense mit anderem IP-Netz. Dann Portfreigaben in der Firewall machen, Portweiterleitungen auf den VPN-Server schalten und Du brauchst nur noch SEVPN einrichten und loszulegen. Ist die Grundkonfig gemacht, läuft der Rest über ein Windowsverwaltungstool.

Bei den meisten Anbietern wie fortinet, juniper und anderen ist es grauenvoll das richtige Produkt zu finden, da mehr über die Idee und Lösung an sich als über das Produkt gesprochen wird.
Und Du zahlst Dich u.U. dumm und dämlich an horrenden Lizenzkosten. Und dann steckt da vielleicht nicht mal ne Eigenentwicklung drin, sondern OpenSource-Code.

Was ich bis jetzt gefunden habe, aber nur weil es günstig ist, die pfsense eigene Hardware. Leider fällt die schon raus, weil das nicht mal mit der jetzigen funktioniert :D

Wichtig ist nur, das es alle OS's unterstützt und wenn möglich nicht gerade die Open-Source projekte verwendet wie pfsense. Einfach etwas das wirklich funktioniert ^^
Kein OpenSource? Dann sollte Geld keine große Rolle mehr spielen. Sorry!

Danke schon mal für eure Tipps!

Versuch Dich an SoftEther. Ich helfe Dir auch gerne dabei!
JiggyLee
JiggyLee 19.01.2016 um 12:05:46 Uhr
Goto Top
Mit Softether haben wir auch schon gespielt. Es ist zwar gut, weil es ziemlich viel kann, jedoch hat es keine Möglichkeit sich mit LDAP zu verbinden. Wir wollten auch eine einheitliche Benutzerverwaltung beibehalten. Ich würd es mir trotzdem gerne nochmal angucken. Also wenn du mir dabei helfen könntest, fänd ich das klasse.

Wo es bei uns damals gehackt hatte, dass uns das damals noch zu unübersichtlich war. Also der Admin konnte sich über die Management Konsole mit dem Server verbinden, jedoch konnten keine anderen Clients darauf zugreifen. Lange geschichte und lange her.

Wie könnte ich dich denn erreichen?
beidermachtvongreyscull
beidermachtvongreyscull 19.01.2016 aktualisiert um 13:14:04 Uhr
Goto Top
LDAP zu ActiveDirectory soll über Radius funktionieren.
Ich hab es bei mir nie implementiert, um eine gewisse 2-Faktor-Sicherheit herzustellen.

Wenn jemand das VPN-Passwort herausbekommt, steht ihm die Windows-Authentifizierung im Weg.
Und umgekehrt wäre es VPN.

Ich habe Dir eine PM mit meiner Email-Adresse geschrieben.

Aber vielleicht macht es ja Sinn, den Lösungsansatz nach Vollendung hier in der Wissensdatenbank zu dokumentieren, zum Nachbauen, Korrigieren oder Erweitern.
aqui
aqui 19.01.2016 aktualisiert um 15:06:17 Uhr
Goto Top
Wir konnten bisher nicht ohne über 10 Probleme zu stoßen, Open-Source VPN Lösungen wie Strongswan, OpenVPN, pfsense (wobei dies auch nur strongswan und openvpn nutzt) und Softether zum Laufen kriegen.
Mal abgesehen davon das der Satz fast unverständlich ist, ist es auch schwer nachzuvollziehen. Gerade was pfSense anbetrifft ist das schon recht fraglich.
Das es damit in allen VPN Belangen klappt kannst du hier sehen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Gerade diese Plattform bietet sich an weil sie eben so universell ist und so gut wie alles an aktuellen VPN protokollen supportet. Das schafft eine erhebliche Flexibilität in dem bereich der seinesgleichen sucht.
Noch ein Vorteil: Es unterstützt alle bordeigenen VPN Client von Winblows, Mac OS-X, Linux und allen Smartphones mit iOS und Android. Keine Frickelei also mit externen Clients.
Wenn man sowas einfaches wie VPN egal mit welchem Prokoll sogar mit einem Klicki Bunti GUI auf dieser Plattform nicht zum Fliegen bringt, liegt das Grundproblem vermutlich ganz woanders....?!
Zitat: "liegt es nicht an der Hard- oder Software sondern am Admin davor..." mit viel Wahrheit.
Aussagen wie "tut, nur lässt sich damit kein IPsec, l2tp, ikev2 out of the box ermöglichen." zeugen davon !. OK L2TP mag sein, da das protokoll selber kritisch und unflexible ist, aber native IPsec funktioniert tadellos ! Das Tutorial oben beschreibt die Konfig und du darfst hier gerne remote auf eine pfSense sehen die das aktiv macht !

Aber es gibt ja zum Glück immer noch kommerzielle Lösungen die das Them VPN auch im Handumdrehen mit 99,9%iger Funktionsgarantie abfackeln.
Guckst du hier z.B.:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Alles außer OpenVPN und du schlägst 2 Fliegen mit einer Klappe, nämlich das der Router sich um Internet und VPN kümmert und das auch noch inklusive einer stateful Firewall. Da hast du also mal ein Produkt UND eine Lösung zusammen.
Nebenbei: Können die kleinen Lösungen von Juniger SSG5 usw. , Fortinet und Zywall auch.
ChriBo
ChriBo 19.01.2016 um 20:48:23 Uhr
Goto Top
Hallo,
bei 200+ VPNs gleichzeitig willst du mit 700€ Budget auskommen ?
Hut ab ! Die Hardware muß über einiges an Leistung verfügen.
Wie lange und wie oft könnt ihr euch einen Ausfall erlauben ?
Bei 200+ VPNs Clients und Site to Site empfehle ich zwei unterschiedliche Appliances, 1x Client only und 1x Site to Site.
z.B. pfSense (im HA-Cluster) für Site to Site und z.B. eine Sonicwall SRA oä. für Client VPN, kostet leider nicht 700€ einmalig, sondern minimal pro Monat (Abschreibung plus Support). SoftEther als Client VPN Lösung ist natürlich eine sehr viel preiswertere Lösung, aber hier gilt Verfügbarkeit und Support abzuklären

Gruß
CH
aqui
aqui 20.01.2016 um 10:07:12 Uhr
Goto Top
Hut ab ! Die Hardware muß über einiges an Leistung verfügen.
Die Kardinalsfrage zur HW ist ja ob die alle 200 gleichzeitig aktiv sind.
JiggyLee
JiggyLee 20.01.2016 um 10:09:29 Uhr
Goto Top
Man muss schon sehr dicke Flaschenböden auf den Augen haben wenn man den Satz nicht versteht. Wenn man das eingeklammerte weg lässt ist das doch sonnenklar. Ist nicht böse gemeint. Nur weil ich ein Admin bin hat das nicht zu heißen das ich jede Einstellung und Konfiguration mit jeder Software und Protokollen aus dem Stegreif beherrsche...
Wenn es für dich nicht nachvollziehbar warum ich das mit der "Klicki Bunti GUI" nicht hinbekommen habe, dann guck dir doch bitte mal mein Log an das ich weiter oben gepostet habe und sag mir wo der OSI Layer 8 Fehler da ist. Ich hab mir das immerhin nicht alleine angesehen sondern mit 3 anderen Admins zusammen und auch die können nichts anderes tun als Googlen und hoffen das andere das Problem gelöst haben. Du kannst mir nicht sagen das du alle VPN Tools und Programme ohne Anleitung zum laufen bekommst.
Wir können auch nichts anderes machen als sich an Anleitungen zu halten und daraus zu lernen.

Deine Anleitung werde ich mir mal angucken.
michi1983
michi1983 20.01.2016 um 10:21:41 Uhr
Goto Top
Zitat von @aqui:

Hut ab ! Die Hardware muß über einiges an Leistung verfügen.
Die Kardinalsfrage zur HW ist ja ob die alle 200 gleichzeitig aktiv sind.
Das habe ich ihn schon gefragt und seine Antwort war "ja".
aqui
aqui 20.01.2016 aktualisiert um 10:52:04 Uhr
Goto Top
Der OSI 8 Fehler liegt hier:
charon: 15[IKE] <16> found 2 matching configs, but none allows XAuthInitPSK
charon: 15[ENC] <16> generating INFORMATIONAL_V1 request 3626808054 [ N(AUTH_FAILED) ]

Du verwendest Xauth mit Preshared Keys, hast aber kein Phase 1 mit einem Xauth Profil (Clientseite), folglich schlägt die Authentisierung fehl und nada mit VPN.
Ich hab mir das immerhin nicht alleine angesehen sondern mit 3 anderen Admins zusammen
Und die verstehen alle was von IPsec ? Eigentlich hätte das das Gugeln ans Tageslicht bringen müssen ?!
Du kannst mir nicht sagen das du alle VPN Tools und Programme ohne Anleitung zum laufen bekommst.
Fast alle ! Wenigstens zu 98%, deshalb ja auch das oben zitierte IPsec Tutorial um Leuten die Angst davor zu nehmen face-wink
JiggyLee
JiggyLee 20.01.2016 aktualisiert um 12:09:17 Uhr
Goto Top
Ich weiß gar nicht mehr was ich geändert habe, aber ich bekomme prompt auf dem iPhone die Meldung "Authentifizierung Fehlgeschlagen"
Ich habe schon alle Credentials überprüft und die PSKs geändert ... jedoch lässt er mich nicht rein
Jan 20 11:43:18 	charon: 11[MGR] <con1|6> checkin IKE_SA con1[6]
Jan 20 11:43:18 	charon: 11[MGR] <con1|6> check-in of IKE_SA successful.
Jan 20 11:43:18 	charon: 11[MGR] checkout IKE_SA by message
Jan 20 11:43:18 	charon: 11[MGR] IKE_SA con1[6] successfully checked out
Jan 20 11:43:18 	charon: 11[NET] <con1|6> received packet: from 192.168.5.154[4500] to 80.150.xx.xx[4500] (92 bytes)
Jan 20 11:43:18 	charon: 11[ENC] <con1|6> parsed TRANSACTION response 1928341212 [ HASH CPRP(X_USER X_PWD) ]
Jan 20 11:43:18 	charon: user 'm009' could not authenticate.  
Jan 20 11:43:18 	charon: 11[IKE] <con1|6> XAuth-SCRIPT failed for user 'm009' with return status: -1.  
Jan 20 11:43:18 	charon: 11[IKE] <con1|6> Could not authenticate with XAuth secrets for '80.150.xx.xx' - 'm009'  
Jan 20 11:43:18 	charon: 11[IKE] <con1|6> XAuth authentication of 'm009' failed  
Jan 20 11:43:18 	charon: 11[IKE] <con1|6> reinitiating already active tasks
Jan 20 11:43:18 	charon: 11[IKE] <con1|6> XAUTH task

Der Client ist im User Manager bevollmächtigt "IPsec Dialin" zu verwenden. Auf beide PSKs und Gruppenname wurde geachtet. Woran könnte es denn liegen?

edit:
Also wenn die Credentials passen, antwortet der vpn-server nicht. Im Grunde zeigt er die selben Fehler wie in meinem vorherigen Post.
Daher die frage, was soll ich clientseitig ändern?
aqui
aqui 20.01.2016 aktualisiert um 15:37:13 Uhr
Goto Top
aber ich bekomme prompt auf dem iPhone die Meldung "Authentifizierung Fehlgeschlagen"
Wenn, dann "Authentisierung" !
Dann folge doch mal genau diesem Tutorial...
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das brachte die VPN Einwahl mit iOS 9 latest auf einem iPhone 4s, 5 und 6 inkl. iPad innerhalb von 5 Minuten zum Fliegen !

Dein Fehler ist wieder die fehlende Xauth Option ! Es siegt so aus also ob du keine Gruppe inkl. Passwort angelegt hast ?!
559935a5c314d7377df445862cb106bd

Hier das IPsec Dialin Log von einem iPhone 5:
Jan 20 15:31:57	charon: 07[ENC] <con1|1> parsed INFORMATIONAL_V1 request 696798600 [ HASH N(DPD_ACK) ]
Jan 20 15:31:57	charon: 07[NET] <con1|1> received packet: from 192.168.7.179[4500] to 10.1.1.110[4500] (92 bytes)
Jan 20 15:31:57	charon: 09[NET] <con1|1> sending packet: from 10.1.1.110[4500] to 192.168.1.179[4500] (92 bytes)
Jan 20 15:31:57	charon: 09[ENC] <con1|1> generating INFORMATIONAL_V1 request 3604625449 [ HASH N(DPD) ]
Jan 20 15:31:57	charon: 09[IKE] <con1|1> sending DPD request
Jan 20 15:31:47	charon: 13[IKE] <con1|1> CHILD_SA con1{1} established with SPIs c61d9a10_i 0b251087_o and TS 10.11.22.0/24|/0 === 10.11.77.1/32|/0
Jan 20 15:31:47	charon: 13[ENC] <con1|1> parsed QUICK_MODE request 2513968593 [ HASH ]
Jan 20 15:31:47	charon: 13[NET] <con1|1> received packet: from 192.168.1.179[4500] to 10.1.1.110[4500] (60 bytes)
Jan 20 15:31:47	charon: 13[NET] <con1|1> sending packet: from 10.1.1.110[4500] to 192.168.1.179[4500] (172 bytes)
Jan 20 15:31:47	charon: 13[ENC] <con1|1> generating QUICK_MODE response 2513968593 [ HASH SA No ID ID ]
Jan 20 15:31:47	charon: 13[ENC] <con1|1> parsed QUICK_MODE request 2513968593 [ HASH SA No ID ID ]
Jan 20 15:31:47	charon: 13[NET] <con1|1> received packet: from 192.168.7.179[4500] to 10.1.1.110[4500] (300 bytes)
Jan 20 15:31:46	charon: 13[NET] <con1|1> sending packet: from 10.1.1.110[4500] to 192.168.1.179[4500] (140 bytes)
Jan 20 15:31:46	charon: 13[ENC] <con1|1> generating TRANSACTION response 489816706 [ HASH CPRP(ADDR SUBNET U_SPLITINC U_BANNER U_SPLITINC) ]
Jan 20 15:31:46	charon: 13[CFG] <con1|1> sending UNITY_SPLIT_INCLUDE: 10.11.22.0/24|/0
Jan 20 15:31:46	charon: 13[IKE] <con1|1> assigning virtual IP 10.11.77.1 to peer 'vpntest'
Jan 20 15:31:46	charon: 13[CFG] <con1|1> assigning new lease to 'vpntest'
Jan 20 15:31:46	charon: 13[IKE] <con1|1> peer requested virtual IP %any
Jan 20 15:31:46	charon: 13[ENC] <con1|1> parsed TRANSACTION request 489816706 [ HASH CPRQ(ADDR MASK DNS NBNS EXP VER U_BANNER U_DEFDOM U_SPLITDNS U_SPLITINC U_LOCALLAN U_PFS U_SAVEPWD U_FWTYPE U_BKPSRV (28683)) ]
Jan 20 15:31:46	charon: 13[ENC] <con1|1> unknown attribute type (28683)
Jan 20 15:31:46	charon: 13[NET] <con1|1> received packet: from 192.168.1.179[4500] to 10.1.1.110[4500] (172 bytes)
Jan 20 15:31:42	charon: 13[IKE] <con1|1> maximum IKE_SA lifetime 86257s
Jan 20 15:31:42	charon: 13[IKE] <con1|1> scheduling reauthentication in 85717s
Jan 20 15:31:42	charon: 13[IKE] <con1|1> IKE_SA con1[1] established between 10.1.1.110[10.1.1.110]...192.168.7.179[testvpn@test.intern]
Jan 20 15:31:42	charon: 13[ENC] <con1|1> parsed TRANSACTION response 2977905999 [ HASH CPA(X_STATUS) ]
Jan 20 15:31:42	charon: 13[NET] <con1|1> received packet: from 192.168.7.179[4500] to 10.1.1.110[4500] (76 bytes)
Jan 20 15:31:42	charon: 13[NET] <con1|1> sending packet: from 10.1.1.110[4500] to 192.168.1.179[4500] (76 bytes)
Jan 20 15:31:42	charon: 13[ENC] <con1|1> generating TRANSACTION request 2977905999 [ HASH CPS(X_STATUS) ]
Jan 20 15:31:42	charon: 13[IKE] <con1|1> XAuth authentication of 'vpntest' successful
Jan 20 15:31:42	charon: 13[IKE] <con1|1> XAuth-SCRIPT succeeded for user 'vpntest'.
Jan 20 15:31:42	charon: user 'vpntest' authenticated
Jan 20 15:31:41	charon: 13[ENC] <con1|1> parsed TRANSACTION response 2313906470 [ HASH CPRP(X_USER X_PWD) ]
Jan 20 15:31:41	charon: 13[NET] <con1|1> received packet: from 192.168.7.179[4500] to 10.1.1.110[4500] (92 bytes)
Jan 20 15:31:41	charon: 08[NET] <con1|1> sending packet: from 10.1.1.110[4500] to 192.168.1.179[4500] (76 bytes)
Jan 20 15:31:41	charon: 08[ENC] <con1|1> generating TRANSACTION request 2313906470 [ HASH CPRQ(X_USER X_PWD) ]
Jan 20 15:31:41	charon: 08[IKE] <con1|1> faking NAT situation to enforce UDP encapsulation
Jan 20 15:31:41	charon: 08[ENC] <con1|1> parsed AGGRESSIVE request 0 [ HASH NAT-D NAT-D N(INITIAL_CONTACT) ]
Jan 20 15:31:41	charon: 08[NET] <con1|1> received packet: from 192.168.7.179[4500] to 10.1.1.110[4500] (140 bytes)
Jan 20 15:31:41	charon: 13[NET] <con1|1> sending packet: from 10.1.1.110[500] to 192.168.1.179[500] (432 bytes)
Jan 20 15:31:41	charon: 13[ENC] <con1|1> generating AGGRESSIVE response 0 [ SA KE No ID NAT-D NAT-D HASH V V V V V ]
Jan 20 15:31:41	charon: 13[CFG] <1> selected peer config "con1"
Jan 20 15:31:41	charon: 13[CFG] <1> looking for XAuthInitPSK peer configs matching 10.1.1.110...192.168.1.179[testvpn@test.intern]
Jan 20 15:31:41	charon: 13[IKE] <1> 192.168.1.179 is initiating a Aggressive Mode IKE_SA
Jan 20 15:31:41	charon: 13[IKE] <1> received DPD vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received Cisco Unity vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received XAuth vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Jan 20 15:31:41	charon: 13[IKE] <1> received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
Man beachte den Log Output: looking for XAuthInitPSK peer configs matching 10.1.1.110...192.168.7.179[testvpn@test.intern]
Hier matcht also das Profil, was es bei dir nicht macht ! Fazit: Konfig Fehler...
Halte dich also strikt an das Tutorial, dann kommt das auch zum sofort Fliegen.