andreas-kiel
Goto Top

XP VPN Client mit Netscreen 50

Ich werde langsam wahnsinnig und hoffe, mir kann hier jemand helfen.

Ich muß mehreren externen Mitarbeitern einen Zugang zu unserem Netz (Novell 6.5) einrichten und finde einfach keine Paktikable Lösung.

Die Situation: Internes Netz im privaten Bereich (192.168.XXX), Juniper Netscreen 50 Firewall mit hardwareseitiger VPN Unterstützung und fester IP Adresse, mehrere externe Mitarbeiter mit wechselnden IP´s und Windows XP Professional.

Ich habe die Anleitungen von den Juniper Seiten versucht zu verstehen, bin aber schon bei der Erstellung von PKI Zertifikaten gescheitert.

Ich suche also eine möglichst einfache Lösung mit der XP eigenen VPN Verbindung (PPTP?) auf die Netscreen Firewall.

Kann mir jemand mit verständlichen Worten beschreiben, was ich an der Firewall eintragen muß und was an den Clients?

Ich bin schon viele Jahre Systemadministrator aber VPN macht mich fertig, da ich da überhaupt keinen Zugang finde und meine ganzen Einrichtugsversuche mehr "stochern im Nebel" zu sein scheint.

Ich bedanke mich schon Mal im voraus für Eure Hilfe,

Andreas

Content-ID: 120730

Url: https://administrator.de/contentid/120730

Ausgedruckt am: 23.11.2024 um 04:11 Uhr

aqui
aqui 18.07.2009, aktualisiert am 18.10.2012 um 18:38:47 Uhr
Goto Top
Sieht man sich die Screen OS Doku einmal an im Chapter 5 VPN:

http://www.juniper.net/techpubs/software/screenos/screenos6.0.0/ce_v5.p ...

Dann sieht man das dort vermutlich nur IPsec und L2TP als VPN Protokolle supportet sind und kein PPTP. Die Doku hat keinerlei Infos für die Einrichtung von PPTP VPNs face-sad
Das ist allerdings ScreenOS 6.0 und es mag bei der aktuellen Version 6.4 ggf. anders sein, das solltest du überprüfen zur Sicherheit.
Ein PPTP VPN ist mit derzeitingen VPN Routern wie z.B. Draytek in der Tat mit ein paar Mausklicks einrichtbar ebenso wie bei kostenfreien Lösungen wie der M0n0wall z.B.

Mit IPsec und der Netsreen 50 ist das allerdings auch kein Thema wenn man preshared Keys verwendet und einen freien VPN Client wie z.B. den von Shrew VPN Client:
http://www.shrew.net/

Wie man ihn dann mit Juniper zum Laufen bekommt steht hier:
http://www.shrew.net/support/wiki/HowtoJuniperSsg

Wenn du dennoch der Einfachheit halber PPTP machen willst bleibt dir immer noch die kostenfreie Variante mit z.B. M0n0wall, die auf Anhieb funktioniert.
Das WIE erklären die folgenden Tutorials:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
und
VPNs einrichten mit PPTP
Andreas-kiel
Andreas-kiel 18.07.2009 um 17:59:19 Uhr
Goto Top
Hi aqui,

das erklärt natürlich einiges.

Ich werde das alles durcharbeiten und testen, was ja einige Zeit dauert und und bedanke mich auf jeden Fall schon Mal für Deine Hilfe,

bis dann,

Andreas
aqui
aqui 18.07.2009 um 20:52:02 Uhr
Goto Top
Andreas-kiel
Andreas-kiel 22.07.2009 um 08:16:09 Uhr
Goto Top
Hi aqui,

ich habe alles nach Anleitung eingerichtet, bekomme aber trotzdem keine Verbindung.

Die Anleitung ist für Screen OS 5.4 aufwärts, ich habe nur 5.2, insofern sind einige Einstellungen etwas anders.
Weitere Anleitungen für Netsreen gibt es aber dort nicht.

Im Auto Key Gateway soll ich z.B. als Initiator Mode "Main" eintragen, dann erhalte ich die Fehlermeldung " Only one sets of Proposals allowed for MainMode dynamic peer". Selbst wenn ich nur 1 Phase 1 Proposal einrichte, kommt die gleiche Meldung. Ich habe also den "Agressive Mode" genommen. Weiterhin gibt es den Punkt "Peer Status Detection - DPD" nicht.
Kann es daran liegen, daß es nicht funktioniert?

Was ich auch nicht ganz verstanden habe, sind die beiden "FQDN Strings" in dem Autentication Tab. Soll ich da genau die angegebenen (Client.domain.com sowie vpngw.domain.com) eintragen oder was hat es damit auf sich.

Habt Ihr da noch eine Idee, was ich vielleicht falsch gemacht habe?

Danke schon Mal im voraus,

Andreas
aqui
aqui 23.07.2009 um 00:36:10 Uhr
Goto Top
Du solltest in jedem Falle den Agressive Mode verwenden, denn der macht weniger Überprüfungen und ist besser in einem gemischten Umfeld !

FQDN solltest du besser nicht eingeben sondern immer die nackten IPs der Endpunkte !
Viele Clients können mit FQDN Authentication nicht umgehen !

Damit sollte es eigentlich klappen.

Falls alle Stricke reissen schalte einen Sniffer wie den Wireshark zwischen beide Komponenten und sniffer den Verbindungsaufbau mit. Dann weisst du meistens sofort wo das Problem liegt !!

Nochwas: Die Netscreen hat ein Log !!! Was steht denn da drin wenn du einen Connect Versuch unternimmst ??? Ebenso der Client ! Was loggt der mit ??
DAS wäre ja mal der erste Schritt für ein sinnvolles Troubleshooting, oder ??