tanita
Goto Top

Checkpoint SecureClient - via WLAN an jedem Hotspot anmelden..

Hallo,

bei uns wird für VPN der CP SecureClient (R55) eingesetzt. Die Benutzer haben keine Adminrechte, können sich lediglich zu einer vorkonfigurierten Site anmelden. Solange sie nicht per VPN an der Site angemeldet sind, ist das Laptop durch die personal-Firewall dicht.

Nun haben wir die Anforderung, dass sich mit diesem Laptop an _jedem_ WLAN Hotspot angemeldet werden kann..

Wir haben keine Erfahrung mit Hotspot-Anmeldungen.

1. Kann man sich ohne Adminrechte die Logins usw einstellen? Muss man dazu extra Software installieren oder geht das immer über Web?

Der SecureClient der Version R56 scheint das Thema Hotspots zu behandeln, wir können den jedoch nicht sofort einsetzen, d.h. wir bräuchten einen Workaround.

Alle IP-Adressen freizugeben macht ja auch keinen Sinn.. Ein Techniker der Telekom meinte, dass an den Hotspots der Telekom immer die gleiche IP vergeben wird :| , war sich jedoch nicht sicher.. 2. Kann das wirklich sein?

3. Wie sieht das mit anderen Hotspots von anderen Providern aus?

Mir ist die Vorgehensweise grundsätzlich völlig unklar. Für Diskussion und Tipps, auch zu Doku bin ich dankbar.

Gruß T.

Content-ID: 15325

Url: https://administrator.de/forum/checkpoint-secureclient-via-wlan-an-jedem-hotspot-anmelden-15325.html

Ausgedruckt am: 24.12.2024 um 03:12 Uhr

apohl
apohl 02.09.2005 um 10:15:55 Uhr
Goto Top
und mir ist das Problem unklar....

an jedem Hotspot anmelden kannst Du schon mal vergessen, da Du nie weisst, mit welchem Billing-Providern ein Hotspot-Betreiber ein Roaming vereinbart hat.

Welches Betriebssystem ist auf den Laptops drauf ?

Vom Prinzip her musst Du drei Dinge zulassen:

1. Die Ksite muss via DHCP alle nötigen Einstellungen empfangen können

2. Der User muss die Möglichkeit haben, die WLAN-Verbindung zu konfigurieren (nicht immer klappt dier automatische Konfiguration)

3. Hat der User eine Verbindung muss er in der Lage sein, sich mittels HTTP an dem AccesPoint zwecks Abrechnung zu authentifizieren.

Danach veranlasst er den VPN-Client eine Verbindung zur FW aufzunehmen und den Tunnel aufzubauen.

Für die automatische Aushandlung der WLAN-Parameter sind ein paar Ports zu öffnen, die Du mal ergooglen musst. Anders wirds nicht gehen.

Zwecks WLAN-Roaming würd ich evtl. mehrgleisig fahren .... nicht jeder Abrechnungspartner ist überall zu erreichen ( also z.B. T-Offline, Mobilfunknetzbetreiber, normaler Hotspot-Anbieter)
tanita
tanita 02.09.2005 um 10:57:16 Uhr
Goto Top
und mir ist das Problem unklar....

Ich sags mal ganz einfach, unser Chef will sich an jedem Hotspot überall, wirklich _überall_ anmelden können.. Das ist doch ziemlich cheftypisch.


an jedem Hotspot
anmelden kannst Du schon mal vergessen, da
Du nie weisst, mit welchem Billing-Providern
ein Hotspot-Betreiber ein Roaming vereinbart
hat.

So aus dem Bauch raus, ist das in etwa auch unsere Begründung. Nur ist keinem richtig klar, wie die Hotspot-Anmeldung allgemein richtig funktioniert. Wir sollen uns nur schnell um eine Lösung kümmern.

Welches Betriebssystem ist auf den Laptops
drauf ?

Windows XP

Vom Prinzip her musst Du drei Dinge
zulassen:

1. Die Ksite muss via DHCP alle nötigen
Einstellungen empfangen können

Das geht.

2. Der User muss die Möglichkeit haben,
die WLAN-Verbindung zu konfigurieren (nicht
immer klappt dier automatische
Konfiguration)

Das ist eben noch die Frage, wie man das mit der Berechtigung steuern kann, ohne gleich Adminrechte geben zu müssen.

3. Hat der User eine Verbindung muss er in
der Lage sein, sich mittels HTTP an dem
AccesPoint zwecks Abrechnung zu
authentifizieren.

Die default-Policy ist momentan so eingestellt, dass man nur zur VPN-Site kommt, sonst nix. Ist ja auch sinnvoll..

Für die automatische Aushandlung der
WLAN-Parameter sind ein paar Ports zu
öffnen, die Du mal ergooglen musst.
Anders wirds nicht gehen.

Ja, das sollte sich rausfinden lassen, kann man ggf. mal mitsniffen

Zwecks WLAN-Roaming würd ich evtl.
mehrgleisig fahren .... nicht jeder
Abrechnungspartner ist überall zu
erreichen ( also z.B. T-Offline,
Mobilfunknetzbetreiber, normaler
Hotspot-Anbieter)
Vorerst könnte man es auf einen Betreiber reduzieren, welcher hier (Muc) am meisten vertreten ist.

Irgendwie fühle ich mich nicht wohl bei der ganzen Sache... Slebst Checkpoint bietet ab R56 ein Hotspot-Modus an, welcher eigentlich nur ein Workaround ist.. Funktioniert in etwas so, dass nach dem Hochfahren für eine Gewisse Zweit alle IP-Adressen via http zu erreichen sind..
apohl
apohl 02.09.2005 um 11:19:53 Uhr
Goto Top
Ich sags mal ganz einfach, unser Chef will
sich an jedem Hotspot überall, wirklich
_überall_ anmelden können.. Das ist
doch ziemlich cheftypisch.

Stimmt ... allerdings solltet Ihr dann mal klären, was er will.... Hotsport-Anmeldung von Uberall oder ein vollständig abgeschottetes Netz. Beides geht nicht.

So aus dem Bauch raus, ist das in etwa auch
unsere Begründung. Nur ist keinem
richtig klar, wie die Hotspot-Anmeldung
allgemein richtig funktioniert. Wir sollen
uns nur schnell um eine Lösung
kümmern.

Rechner booten -> hoffen dass er den AP automatisch findet (bei WinXP meist kein Problem, ansonsten konfigurieren) -> mit AP verbinden -> Browser öffnen -> Authentifizierungsseite des Clients aufrufen (da die meisten HotSpots als Transparenter HTTP-Proxxi laufen, dürfte die Seite eh automatisch geladen werden) -> Zugangsdaten eingeben -> Bestätigung abwarten -> VPN-Client starten und hoffen, daß der AP IPSEC & PPPTP PassThru unterstützen.

> Vom Prinzip her musst Du drei Dinge
> zulassen:
>
> 1. Die Ksite muss via DHCP alle
nötigen
> Einstellungen empfangen können

Das geht.


Wenn Dein Firewall-Client alles dicht macht, geht das nicht... DHCP-Verhandlung läuft schließlich auch über einen TCP-IP Port (546 TCP+UDP glaube ich)

> 2. Der User muss die Möglichkeit
haben,
> die WLAN-Verbindung zu konfigurieren
(nicht
> immer klappt dier automatische
> Konfiguration)

Das ist eben noch die Frage, wie man das mit
der Berechtigung steuern kann, ohne gleich
Adminrechte geben zu müssen.

Administrative Vorlagen bzw. GPO


> 3. Hat der User eine Verbindung muss er
in
> der Lage sein, sich mittels HTTP an
dem
> AccesPoint zwecks Abrechnung zu
> authentifizieren.

Die default-Policy ist momentan so
eingestellt, dass man nur zur VPN-Site
kommt, sonst nix. Ist ja auch sinnvoll..

Da kann man getrennter Meinung sein; ich vertrete hier in der Firma z.B. die Ansicht, daß eine vernünftig konfigurierte lokale FW, ein aktueller Virenscanner und ein netter Spyware-Scanner in Verbindung mit einigen geöffneten Standardports (80.443.110.25) zu vertreten sind; so haben meine Roadwarriors zumindest die Möglichkeit, sich mit unserem Mailserver zu verbinden, wenn ein Login ins VPN nicht möglich ist ... und wenn das nicht geht, dann gibt´s zumindest Webmail.

Allerdings macht das nur Sinn, wenn der Netzwerkschutz nicht am Gateway aufhört, sondern konsequent im ganzen Netz besteht.


Vorerst könnte man es auf einen
Betreiber reduzieren, welcher hier (Muc) am
meisten vertreten ist.

Aus Erfahrung: Sieh dich gleich nach einer Komplett-Lösung um face-smile Dein Chef wird nicht nur in Muc mal schnell ins VPN wollen und ich glaube nicht, daß er sich in Hamburg noch daran erinnert, daß Du ihm gesagt hast, daß es ausserhalb von MUC zu Problemen kommen kann (mal von dem Biergarten um die Ecke, der ein eigenes Abrechnungssystem hat, vollkommen abgesehen) face-smile

Wir nutzen T-O in Verbindung mit einer WLAN-Registrierung beim Handynetzbetreiber und können somit zumindest 60 % der Fälle abdecken; notfalls muss Cheffe halt ein Voucher kaufen face-smile


Irgendwie fühle ich mich nicht wohl bei
der ganzen Sache... Slebst Checkpoint bietet
ab R56 ein Hotspot-Modus an, welcher
eigentlich nur ein Workaround ist..
Funktioniert in etwas so, dass nach dem
Hochfahren für eine Gewisse Zweit alle
IP-Adressen via http zu erreichen sind..

Wo hast Du dann das Problem, HTTP generell freizugeben?
tanita
tanita 20.09.2005 um 13:37:50 Uhr
Goto Top
Hallo,

komme gerade aus Urlaub, muss eben ein anderes Problem lösen.

Gruß Tanja