1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

IPsec/L2TP Problem

Dieses Thema im Forum "macOS & OS X" wurde erstellt von konami, 10.04.07.

  1. konami

    konami Gast

    Hallo,

    ich hab jetzt seit zwei wochen ein MacBook und möchte damit gern in mein FH Netz. Leider will und will es nicht klappen. Es soll über WLAN eine VPN Verbindung mittels IPsec/L2TP aufgebaut werden, die Rechner erkennung läuft mittels Zertifikaten die alle richtig im Schlüsselbund liegen. Das Problem ist das nach dem SCCRQ nichts mehr passiert:

    Tue Apr 10 15:23:52 2007 : L2TP connecting to server 'sec-gw.fh-jena.de' (194.94.37.4)...
    Tue Apr 10 15:23:52 2007 : L2TP sent SCCRQ
    Tue Apr 10 15:24:52 2007 : L2TP cannot connect to the server#

    Firewall ist Deaktiviert, laut Aussage meines FH-Admins stehe ich in seiner Liste für aktive IPSec Verbindungen.

    Der Zugang mit einem Mac ins FH Netz wird offiziell nicht unterstützt. Allerdings gibt es eine Linux Konfiguration unter http://www.fh-jena.de/images/7924c8f582/VPN_unter_Linux.pdf die laut Aussage eines Bekannten funktioniert.

    Nun weiß ich nicht genau welches Programm oder welcher Dienst für L2TP/IPsec zuständig ist, ich arbeite erst seit 2 Wochen mit MacOS und hab nur geringfügige Kenntnisse in Linux.

    Kennt sich jemand damit aus oder kann mir helfen?

    Vielen Dank im Voraus
     
  2. LadeSchale

    LadeSchale Gast

    Na denn wirds ja langsam mal Zeit dies zu ändern.

    Zumindest fängt das PDF schon mal gut an
    "Diese Anleitung wurde von Herrn ... erarbeitet."

    Die Einleitung klingt schon so hoffnungsvoll. Schön wär wenn da noch stehen würde,
    "Er benötigte dafür 4 Tage und 22 Stunden.
    Wetten, dass Sie es nicht schaffen diesen Wert bei der Umsetzung zu unterbieten."


    :-D

    Naja, vielleicht schaffen wir es ja ein PDF für den Mac zu "erarbeiten"

    Ok, du hast also die Zertifikate schon mal im Schlüsselbund drin. Wer sagt dir eigentlich das du sie im richtigen Schlüsselbund drin hast (Anmeldung, System, X509Anchors)?
    Wie schauts mit WLAN aus, du kannst dich erstmal mit dem Netz verbinden, bekommst aber keine IP, etc.?
    Für VPN-Verbindungen wird dann das Programm "Internet-Verbindung" bemüht, hast du bestimmt auch schon gefunden, denn sonst gäbs ja kein Log darüber das L2TP nicht connected.
    Dort hast du L2TPoverIPsec angelegt. Hast du dann mal, in diesem Fenster wo Serveradresse, Account-Name, Kennwort eingetragen werden, auf das Auswahlfeld oben bei Konfiguration auf "Konfigurationen bearbeiten" geklickt? Bild1
    Lassen sich in dem darauf erscheinenden Einstellungsfenster deine entsprechenden Zerifikate auswählen? Bild2

    Mit welchem VPN-Server arbeitet denn die Uni?
    Ich weiß nicht obs hilft, aber wie schwer oder einfach haben es denn die MS-Jünger beim Anmelden, gibt es da ggf. auch ein Einrichtungs-PDF ... so richtig Mac-like mit Bildchen :p?
     

    Anhänge:

  3. konami

    konami Gast

    alles schon getan

    Also, mein Persönliches Zertifikat ist im Schlüsselbund System zusammen mit meinem persönlichen Key, das CA Zertifikat im Schlüsselbund Anchors, mein Zertifikat kann ich im Programm Internet-Verbindung auswählen, kennwort etc. alles eingegeben. "Log-Level" habe ich erhöht, (da gibts so nen haken in den Optionen von Internet-Verbindung). Soweit alles eingerichtet. Die Mitarbeiter aus dem Rechenzentrum wollen mir trotzdem nicht so recht helfen. Ich vermute Vorurteile gegenüber Apple. Mir aber gefällt Apple, das MacBook ist mein erstes von Apple und ich bin vom Konzept absolut überzeugt (Magnet-Netzteil, Schlafen legen, Betriebssystem Bedienung) alles total geil, ich werd wegen einer VPN Verbindung auch nicht aufgeben und Vista installieren!

    Link für die XP-Installation: http://www.fh-jena.de/images/7924c8f582/Dokumentation_winXP.pdf

    Ich danke für deine Hilfe
     
    #3 konami, 11.04.07
    Zuletzt von einem Moderator bearbeitet: 11.04.07
  4. konami

    konami Gast

    okay

    Noch was,

    der Server ist ein Windows 2003 Server. Asso und ins WLAN komm ich erstmal, IP kann ich auch beziehen...
     
  5. LadeSchale

    LadeSchale Gast

    Nunja ob wirklich Vorurteile bestehen o_O , so ein verhaltenes Verhalten lässt sich doch meist darauf zurückführen das es sich um ein eher komplexeres Thema dreht, welches dann auch höchstwahrscheinlich in der Vergangenheit schon einiges Kopfzerbrechen verursacht hat an das man sich, angesichts eines neuen Problems, nur zu ungern erinnern möchte :-D .
    Zumal ja "zwei Türen" weiter so ein Problem nicht besteht -> Link

    Im Linux-Manual steht etwas von Hostnamen, nach Form Nutzername-w für WLAN und Nutzername-e wenn über Ethernet eine Verbindung aufgebaut wird, der dürfte dafür dienen um auf einen einheitliche Rechnernamen im Netz zu haben und diese darüber zu finden.
    Das ist zwar, jetzt, nicht ganz so wichtig, lässt sich bei OS X aber unter Systemeinstellungen -> Sharing umbennen.
    Auch, jetzt, nicht ganz so wichtig wäre dann noch der Domainname (gleich auf Seite1) der sich unter Systemeinstellung -> Netzwerk und da bei dir WLAN also Airport verwendet wird dort unter Airport -> TCP/IP vergeben lässt, damit würden DNS-Netzwerkanfragen erstmal mit entsprechend angehängten dort angebebenen Suffix durchgeführt.
    Im Windows-Manual wird darauf gar nicht weiter eingegangen, also auch keine Einstellungen vorgenommen.

    Aber ganz ohne die Hilfe der Admins dürfte es schwer werden zu lokalisieren von wo der Schuh drückt. Es ist schon mal gut zu wissen das man eine IPsec-Verbindung sieht, im Falle von L2TP over IPsec wird IPsec jedoch nur als Transportprotokoll benutzt, der eigentliche Tunnel wird über L2TP aufgebaut. In diesem Fall scheiterts aber daran, da nach dem Start Control Connection Request keine Antwort zurückkommt. Hier wär wichtig zu wissen welche Meldungen am Server auftauchen und ob die IPsec-Verbindung wirklich fehlerfrei zustande kam. Ich vermute mal der Server erhält nicht mal den L2TP SCCRQ, weil ggf. vorher schon ein Fehler bei IPsec auftrat.
    Probier mal anstelle den FQDN des Servers nur dessen IP in der VPN-Verbindung anzugeben und ebenfalls in "Konfiguration bearbeiten", damit sie gesichert wird. Dein Protokoll zeigt zwar an das der Name korrekt aufgelöst wurde, aber man weiß ja nie.

    Lässt sich bei dir, bei der Rechneridentifizierung, das Zertifikat auswählen? Das ist wichtig da sonst per Shared Secret zugegriffen wird, was ja vermtl. am Server nicht erlaubt ist.


    Den Großteil den ich zu Win2003 L2TP/IPsec und OS X gefunden habe drehte sich im Zusammenhang um NAT-T, wenn der Windowsserver hinter einem NAT steht.
    Es gab wohl anfänglich noch Probleme mit der IPsec-Implementierung im Tiger, jedoch laut dieser Seite (Link) sind seit 10.4.4+ der eigentliche Standard und der ggf. von MS verwendete Draft implementiert (Link) und damit sollte es eigentlich keine Probleme mehr geben. ... Eigentlich ...
    Da MS selbst das Aufstellen des Servers hinter einem NAT nicht empfiehlt und die Standardeinstellung diesbezüglich bei den Clients in XPSP2 abgeändert hat, die Windowsclients an der FH aber trotzdem ohne Manipulation der Registry sich verbinden können, vermute ich das der Server nicht hinter einem NAT steht. -> Link1 Link2
    Das wissen natürlich nur die Netzwerker des Rechenzentrums.

    Desweiteren bin ich bei meiner Recherche auf verschiedene Hinweise gestoßen wo mit anderen Clients eine Verbindung zu Win2003 aufgebaut wurde, wie und welche Protokolle dabei zum Einsatz kamen konnte ich nicht in Erfahrung bringen, da es sich hierbei meist um nachgelagerte Probleme handelte, die VPN-Verbindung schon stand.
    Mit dem "Tunnelblick", der eigentlich für OpenVPN gedacht ist -> Link
    Mit dem CiscoClient, welcher eine eigene Zertifikatsverwaltung hat -> Link
    Naja und dem Allheilmittel, mit dem Apothekenpreis ohne Zuzahlung der KK :), VPNTracker -> Link

    Ansonsten würde ich, notfalls, dem 90-Tage Telefonsupport von Apple den Fall schildern und sie bitten, falls sie keine Antwort parat haben, die Anfrage intern per Mail weiterzuleiten (einige Tage Wartezeit in Kauf nehmen), da ich sicher bin das im Business- und Edubereich das Thema bei Apple auch intern schon häufiger verarbeitet wurde, zumindest in der USA.

    Aber, vielleicht klappt es ja auch mit der Zusammenarbeit der Admins, wenn sie nicht gerade chronisch überlastet sind, dann is es nämlich immer schlecht, psychologisch gesehen, neue Probleme zu offenbaren.
    Vorschlag: Einfach mit nem Kasten Bier im Serverraum mal vorbeischauen und fragen ob hier noch Kühlkapazitäten frei sind :p
    Doof wär natürlich wenn da nur Teetrinker arbeiten.

    So!
    Jetzt erstmal Sonne genießen gehn :cool:
     
    #5 LadeSchale, 12.04.07
    Zuletzt von einem Moderator bearbeitet: 12.04.07
  6. konami

    konami Gast

    Nagut ich werde jetzt erstmal mit dem Rechenzentrum Kontakt aufnehmen, schließlich hab ich ja jedermenge neue infos. Im Endeffekt wird es ohne sie ehh nichts werden. Gibt es noch irgendwo ein log-file oder so welches die Netzwerkaktivitäten anzeigt?
     
  7. haynz

    haynz Gast

    Hallo, ich habe als FH-Studi leider auch noch keine Lösung oder Hilfe vom Info-Zentrum erhalten...die haben auch zu mir von Anfang an gesagt "Mac OS X? na da brauchen sie von UNS keine Hilfe erwarten"...

    Ich würde mich freuen, wenn Du hier etwas postest, sobald Du etwas neues weisst. Ich weiss, dass es einige mac-Nutzer an der FH Jena gibt die selbst bis heute kein Netz haben...und um selbst auch etwas Hoffnung zu schüren, ich teste die Sache demnächst mit einem Informatiker Kumpel mal an, vielleich erreichen wir etwas...

    | UPDATE 27.06.07|

    So, ich habe mich heute mit einem Mac-Freak und den Leuten vom Service-Zentrum für Informatik getroffen...Leider ist dabei nichts rumgekommen...
     
    #7 haynz, 22.06.07
    Zuletzt von einem Moderator bearbeitet: 28.06.07

Diese Seite empfehlen