Checkpoint SecureClient - via WLAN an jedem Hotspot anmelden..
Hallo,
bei uns wird für VPN der CP SecureClient (R55) eingesetzt. Die Benutzer haben keine Adminrechte, können sich lediglich zu einer vorkonfigurierten Site anmelden. Solange sie nicht per VPN an der Site angemeldet sind, ist das Laptop durch die personal-Firewall dicht.
Nun haben wir die Anforderung, dass sich mit diesem Laptop an _jedem_ WLAN Hotspot angemeldet werden kann..
Wir haben keine Erfahrung mit Hotspot-Anmeldungen.
1. Kann man sich ohne Adminrechte die Logins usw einstellen? Muss man dazu extra Software installieren oder geht das immer über Web?
Der SecureClient der Version R56 scheint das Thema Hotspots zu behandeln, wir können den jedoch nicht sofort einsetzen, d.h. wir bräuchten einen Workaround.
Alle IP-Adressen freizugeben macht ja auch keinen Sinn.. Ein Techniker der Telekom meinte, dass an den Hotspots der Telekom immer die gleiche IP vergeben wird :| , war sich jedoch nicht sicher.. 2. Kann das wirklich sein?
3. Wie sieht das mit anderen Hotspots von anderen Providern aus?
Mir ist die Vorgehensweise grundsätzlich völlig unklar. Für Diskussion und Tipps, auch zu Doku bin ich dankbar.
Gruß T.
bei uns wird für VPN der CP SecureClient (R55) eingesetzt. Die Benutzer haben keine Adminrechte, können sich lediglich zu einer vorkonfigurierten Site anmelden. Solange sie nicht per VPN an der Site angemeldet sind, ist das Laptop durch die personal-Firewall dicht.
Nun haben wir die Anforderung, dass sich mit diesem Laptop an _jedem_ WLAN Hotspot angemeldet werden kann..
Wir haben keine Erfahrung mit Hotspot-Anmeldungen.
1. Kann man sich ohne Adminrechte die Logins usw einstellen? Muss man dazu extra Software installieren oder geht das immer über Web?
Der SecureClient der Version R56 scheint das Thema Hotspots zu behandeln, wir können den jedoch nicht sofort einsetzen, d.h. wir bräuchten einen Workaround.
Alle IP-Adressen freizugeben macht ja auch keinen Sinn.. Ein Techniker der Telekom meinte, dass an den Hotspots der Telekom immer die gleiche IP vergeben wird :| , war sich jedoch nicht sicher.. 2. Kann das wirklich sein?
3. Wie sieht das mit anderen Hotspots von anderen Providern aus?
Mir ist die Vorgehensweise grundsätzlich völlig unklar. Für Diskussion und Tipps, auch zu Doku bin ich dankbar.
Gruß T.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 15325
Url: https://administrator.de/contentid/15325
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
4 Kommentare
Neuester Kommentar
und mir ist das Problem unklar....
an jedem Hotspot anmelden kannst Du schon mal vergessen, da Du nie weisst, mit welchem Billing-Providern ein Hotspot-Betreiber ein Roaming vereinbart hat.
Welches Betriebssystem ist auf den Laptops drauf ?
Vom Prinzip her musst Du drei Dinge zulassen:
1. Die Ksite muss via DHCP alle nötigen Einstellungen empfangen können
2. Der User muss die Möglichkeit haben, die WLAN-Verbindung zu konfigurieren (nicht immer klappt dier automatische Konfiguration)
3. Hat der User eine Verbindung muss er in der Lage sein, sich mittels HTTP an dem AccesPoint zwecks Abrechnung zu authentifizieren.
Danach veranlasst er den VPN-Client eine Verbindung zur FW aufzunehmen und den Tunnel aufzubauen.
Für die automatische Aushandlung der WLAN-Parameter sind ein paar Ports zu öffnen, die Du mal ergooglen musst. Anders wirds nicht gehen.
Zwecks WLAN-Roaming würd ich evtl. mehrgleisig fahren .... nicht jeder Abrechnungspartner ist überall zu erreichen ( also z.B. T-Offline, Mobilfunknetzbetreiber, normaler Hotspot-Anbieter)
an jedem Hotspot anmelden kannst Du schon mal vergessen, da Du nie weisst, mit welchem Billing-Providern ein Hotspot-Betreiber ein Roaming vereinbart hat.
Welches Betriebssystem ist auf den Laptops drauf ?
Vom Prinzip her musst Du drei Dinge zulassen:
1. Die Ksite muss via DHCP alle nötigen Einstellungen empfangen können
2. Der User muss die Möglichkeit haben, die WLAN-Verbindung zu konfigurieren (nicht immer klappt dier automatische Konfiguration)
3. Hat der User eine Verbindung muss er in der Lage sein, sich mittels HTTP an dem AccesPoint zwecks Abrechnung zu authentifizieren.
Danach veranlasst er den VPN-Client eine Verbindung zur FW aufzunehmen und den Tunnel aufzubauen.
Für die automatische Aushandlung der WLAN-Parameter sind ein paar Ports zu öffnen, die Du mal ergooglen musst. Anders wirds nicht gehen.
Zwecks WLAN-Roaming würd ich evtl. mehrgleisig fahren .... nicht jeder Abrechnungspartner ist überall zu erreichen ( also z.B. T-Offline, Mobilfunknetzbetreiber, normaler Hotspot-Anbieter)
Ich sags mal ganz einfach, unser Chef will
sich an jedem Hotspot überall, wirklich
_überall_ anmelden können.. Das ist
doch ziemlich cheftypisch.
sich an jedem Hotspot überall, wirklich
_überall_ anmelden können.. Das ist
doch ziemlich cheftypisch.
Stimmt ... allerdings solltet Ihr dann mal klären, was er will.... Hotsport-Anmeldung von Uberall oder ein vollständig abgeschottetes Netz. Beides geht nicht.
So aus dem Bauch raus, ist das in etwa auch
unsere Begründung. Nur ist keinem
richtig klar, wie die Hotspot-Anmeldung
allgemein richtig funktioniert. Wir sollen
uns nur schnell um eine Lösung
kümmern.
unsere Begründung. Nur ist keinem
richtig klar, wie die Hotspot-Anmeldung
allgemein richtig funktioniert. Wir sollen
uns nur schnell um eine Lösung
kümmern.
Rechner booten -> hoffen dass er den AP automatisch findet (bei WinXP meist kein Problem, ansonsten konfigurieren) -> mit AP verbinden -> Browser öffnen -> Authentifizierungsseite des Clients aufrufen (da die meisten HotSpots als Transparenter HTTP-Proxxi laufen, dürfte die Seite eh automatisch geladen werden) -> Zugangsdaten eingeben -> Bestätigung abwarten -> VPN-Client starten und hoffen, daß der AP IPSEC & PPPTP PassThru unterstützen.
> Vom Prinzip her musst Du drei Dinge
> zulassen:
>
> 1. Die Ksite muss via DHCP alle
nötigen
> Einstellungen empfangen können
Das geht.
> zulassen:
>
> 1. Die Ksite muss via DHCP alle
nötigen
> Einstellungen empfangen können
Das geht.
Wenn Dein Firewall-Client alles dicht macht, geht das nicht... DHCP-Verhandlung läuft schließlich auch über einen TCP-IP Port (546 TCP+UDP glaube ich)
> 2. Der User muss die Möglichkeit
haben,
> die WLAN-Verbindung zu konfigurieren
(nicht
> immer klappt dier automatische
> Konfiguration)
Das ist eben noch die Frage, wie man das mit
der Berechtigung steuern kann, ohne gleich
Adminrechte geben zu müssen.
haben,
> die WLAN-Verbindung zu konfigurieren
(nicht
> immer klappt dier automatische
> Konfiguration)
Das ist eben noch die Frage, wie man das mit
der Berechtigung steuern kann, ohne gleich
Adminrechte geben zu müssen.
Administrative Vorlagen bzw. GPO
> 3. Hat der User eine Verbindung muss er
in
> der Lage sein, sich mittels HTTP an
dem
> AccesPoint zwecks Abrechnung zu
> authentifizieren.
Die default-Policy ist momentan so
eingestellt, dass man nur zur VPN-Site
kommt, sonst nix. Ist ja auch sinnvoll..
Da kann man getrennter Meinung sein; ich vertrete hier in der Firma z.B. die Ansicht, daß eine vernünftig konfigurierte lokale FW, ein aktueller Virenscanner und ein netter Spyware-Scanner in Verbindung mit einigen geöffneten Standardports (80.443.110.25) zu vertreten sind; so haben meine Roadwarriors zumindest die Möglichkeit, sich mit unserem Mailserver zu verbinden, wenn ein Login ins VPN nicht möglich ist ... und wenn das nicht geht, dann gibt´s zumindest Webmail.
Allerdings macht das nur Sinn, wenn der Netzwerkschutz nicht am Gateway aufhört, sondern konsequent im ganzen Netz besteht.
Vorerst könnte man es auf einen
Betreiber reduzieren, welcher hier (Muc) am
meisten vertreten ist.
Betreiber reduzieren, welcher hier (Muc) am
meisten vertreten ist.
Aus Erfahrung: Sieh dich gleich nach einer Komplett-Lösung um Dein Chef wird nicht nur in Muc mal schnell ins VPN wollen und ich glaube nicht, daß er sich in Hamburg noch daran erinnert, daß Du ihm gesagt hast, daß es ausserhalb von MUC zu Problemen kommen kann (mal von dem Biergarten um die Ecke, der ein eigenes Abrechnungssystem hat, vollkommen abgesehen)
Wir nutzen T-O in Verbindung mit einer WLAN-Registrierung beim Handynetzbetreiber und können somit zumindest 60 % der Fälle abdecken; notfalls muss Cheffe halt ein Voucher kaufen
Irgendwie fühle ich mich nicht wohl bei
der ganzen Sache... Slebst Checkpoint bietet
ab R56 ein Hotspot-Modus an, welcher
eigentlich nur ein Workaround ist..
Funktioniert in etwas so, dass nach dem
Hochfahren für eine Gewisse Zweit alle
IP-Adressen via http zu erreichen sind..
Wo hast Du dann das Problem, HTTP generell freizugeben?