- Registriert
- 11.11.10
- Beiträge
- 60
Hallo Apfelgemeinde, 
ich hab eine harte Nuss zu knacken und komme alleine nicht mehr weiter. Ich habe bereits hier die SuFu sowie google genutzt, jedoch finde ich keine Lösung zu meinem Problem. Die geniale Anleitung mit dem VPN-Cisco-Server hier im Forum hilft mir leider nicht weiter. Ebenso bekomme ich kaum Unterstützung seitens der FH, da die "personellen Kapazitäten mehr als erschöpft sind und somit fremde Betriebssysteme wie z.B. MacOS oder Linux-Systeme nicht supportet werden können".
Mein Problem:
Ich möchte mich mittels VPN in das Netz meiner FH einloggen. Mit meinem Netbook unter Windows 7 funktioniert das auch ohne Probleme. Also liegen hier schon mal keine Anmelde- oder Zertifikatsprobleme vor.
Um mich aber mit dem VPN meiner FH zu verbinden, wird sowohl L2TP als auch IPSec genutzt. Beide Typen unterstützt das iPhone, aber nicht simultan.
Laut Admin liegt an der FH kein Cisco-Server vor, weshalb ich auch die keine .pcf-Datei bekommen kann, in der ich ein Gruppenname und ein Shared Secret auslesen kann. Es existiert wohl auch kein Shared Secret...
Um Klarheit über das Funktionsprinzip des VPN an meiner FH zu schaffen, fragte ich beim Admin nach und bekam folgende Antwort zurück:
„Das VPN basiert auf den Protokollen IPSEC und L2TP. Beide
benoetigen eine Authentifizierung:
IPSEC: startet mit IKE (Internet Key Exchange). Beide Peers (iPhone und
VPN-Server) weisen einander ihre Identitaet nach und stimmen einige
Kommunikationsparameter ab. Fuer unseren VPN-Server erfolgt der Nachweis der
Identitaet ueber Zertifikate.
Abhaengig vom Betriebssystem brauchen die Peers unterschiedliche
Zertifikats-Informationen.
In jedem Fall sollten das eigene Zertifikat und die Zertifikate der
Zertifizierungsstellen (DTAG, DFN und FHJ) vorliegen. Linux-PCs brauchen
auch das Zertifikat der Gegenstelle (VPN-Server). In den Zertifikaten
stecken die oeffentlichen Schluessel der jeweiligen Entitaeten.
Der private Schluessel ist natuerlich nur auf dem zutreffenden Peer
hinterlegt.
Der Verbindungsaufbau (IKE) war erfolgreich, wenn eine sogenannte SA
(Security Association) erstellt werden konnte. Vielleicht gib es ja auf oder
fuer das iPhone eine Software, mit der die SA angezeigt werden kann.
L2TP: Auch dieses Protokoll verlangt eine Authentifizierung und benutzt
dafuer MSCHAPv2. Diese Authentifizierung ist jedoch nicht beidseitig,
sondern nur der L2TP-Client (iPhone) uebermittelt (in der bereits
aufgebauten und verschluesselten IPSEC-Verbindung) im
Challenge-Response-Verfahren Anmeldeinformationen an den L2TP-Server.
Es kann sein, dass der Client im iPhone-GUI nur nach dem Passwort fragt und
den eigentlich noch benoetigten Nutzername aus seiner Konfiguration gewinnt.
Der (hinterlegte) Nutzername und das verwendete Passwort muss dann dem
eigenen Konto in der zentralen Benutzerverwaltung entsprechen.“
Ich habe schon mit dem iPhone Konfigurationsprogramm mein .pfx-Zertifikat erfolgreich auf mein iPhone kopieren und installieren können. Es wird jetzt auch im iPhone zum Auswählen bei der IPSec-Verbindung angezeigt. Jetzt kann ich aber im iPhone als Verbindungstyp entweder IPSec oder L2TP auswählen. Laut der Erklärung des Admin brauch ich aber beide Verbindungstypen. Egal welche Verbindung ich auswähle, bei beiden Arten bekomme ich nach einem Verbindungsversuch keine Antwort vom Server. Ist ja auch klar, da ich mich ja nicht korrekt anmelden kann.
Nun meine Frage:
Wie kann ich mich mit dem iPhone zuerst eine IPSec-Verbindung aufbauen, um danach mit gesicherter Authentifikation den L2TP-Server zu erreichen? Kurz gefragt: Wie stelle ich das im iPhone ein?
Kann mir da jemand weiter helfen?
Vielen Dank schon mal im Voraus!
ich hab eine harte Nuss zu knacken und komme alleine nicht mehr weiter. Ich habe bereits hier die SuFu sowie google genutzt, jedoch finde ich keine Lösung zu meinem Problem. Die geniale Anleitung mit dem VPN-Cisco-Server hier im Forum hilft mir leider nicht weiter. Ebenso bekomme ich kaum Unterstützung seitens der FH, da die "personellen Kapazitäten mehr als erschöpft sind und somit fremde Betriebssysteme wie z.B. MacOS oder Linux-Systeme nicht supportet werden können".
Mein Problem:
Ich möchte mich mittels VPN in das Netz meiner FH einloggen. Mit meinem Netbook unter Windows 7 funktioniert das auch ohne Probleme. Also liegen hier schon mal keine Anmelde- oder Zertifikatsprobleme vor.
Um mich aber mit dem VPN meiner FH zu verbinden, wird sowohl L2TP als auch IPSec genutzt. Beide Typen unterstützt das iPhone, aber nicht simultan.
Laut Admin liegt an der FH kein Cisco-Server vor, weshalb ich auch die keine .pcf-Datei bekommen kann, in der ich ein Gruppenname und ein Shared Secret auslesen kann. Es existiert wohl auch kein Shared Secret...
Um Klarheit über das Funktionsprinzip des VPN an meiner FH zu schaffen, fragte ich beim Admin nach und bekam folgende Antwort zurück:
„Das VPN basiert auf den Protokollen IPSEC und L2TP. Beide
benoetigen eine Authentifizierung:
IPSEC: startet mit IKE (Internet Key Exchange). Beide Peers (iPhone und
VPN-Server) weisen einander ihre Identitaet nach und stimmen einige
Kommunikationsparameter ab. Fuer unseren VPN-Server erfolgt der Nachweis der
Identitaet ueber Zertifikate.
Abhaengig vom Betriebssystem brauchen die Peers unterschiedliche
Zertifikats-Informationen.
In jedem Fall sollten das eigene Zertifikat und die Zertifikate der
Zertifizierungsstellen (DTAG, DFN und FHJ) vorliegen. Linux-PCs brauchen
auch das Zertifikat der Gegenstelle (VPN-Server). In den Zertifikaten
stecken die oeffentlichen Schluessel der jeweiligen Entitaeten.
Der private Schluessel ist natuerlich nur auf dem zutreffenden Peer
hinterlegt.
Der Verbindungsaufbau (IKE) war erfolgreich, wenn eine sogenannte SA
(Security Association) erstellt werden konnte. Vielleicht gib es ja auf oder
fuer das iPhone eine Software, mit der die SA angezeigt werden kann.
L2TP: Auch dieses Protokoll verlangt eine Authentifizierung und benutzt
dafuer MSCHAPv2. Diese Authentifizierung ist jedoch nicht beidseitig,
sondern nur der L2TP-Client (iPhone) uebermittelt (in der bereits
aufgebauten und verschluesselten IPSEC-Verbindung) im
Challenge-Response-Verfahren Anmeldeinformationen an den L2TP-Server.
Es kann sein, dass der Client im iPhone-GUI nur nach dem Passwort fragt und
den eigentlich noch benoetigten Nutzername aus seiner Konfiguration gewinnt.
Der (hinterlegte) Nutzername und das verwendete Passwort muss dann dem
eigenen Konto in der zentralen Benutzerverwaltung entsprechen.“
Ich habe schon mit dem iPhone Konfigurationsprogramm mein .pfx-Zertifikat erfolgreich auf mein iPhone kopieren und installieren können. Es wird jetzt auch im iPhone zum Auswählen bei der IPSec-Verbindung angezeigt. Jetzt kann ich aber im iPhone als Verbindungstyp entweder IPSec oder L2TP auswählen. Laut der Erklärung des Admin brauch ich aber beide Verbindungstypen. Egal welche Verbindung ich auswähle, bei beiden Arten bekomme ich nach einem Verbindungsversuch keine Antwort vom Server. Ist ja auch klar, da ich mich ja nicht korrekt anmelden kann.
Nun meine Frage:
Wie kann ich mich mit dem iPhone zuerst eine IPSec-Verbindung aufbauen, um danach mit gesicherter Authentifikation den L2TP-Server zu erreichen? Kurz gefragt: Wie stelle ich das im iPhone ein?
Kann mir da jemand weiter helfen?
Vielen Dank schon mal im Voraus!
