VPN Verbindung Windows Vista - Intranator

**GrooveAttack** · 18.12.2006 14:11

Hallo Intra2Netter,

irgendwann muß man sich ja mit dem neuen OS aus Redmond beschäftigen. Bis auf die VPN-Funktionen läuft offenbar beinahe alles rund, die Jungs haben den kompletten IP-Stack umgekrempelt, was so schöne Tools wie Marcus Müllers IPSec.exe unbrauchbar macht.

Jeder (nicht L2TP)-Tunnel wird- so wie es aussieht- über die neue "Firewall mit erweiteter Sicherheit" abgewickelt ("Verbindungssicherheitsregeln"). Da wird mir nach vielen Versuchen jetzt auch ein etablierter Tunnel (Hauptmodus) angezeigt- nur: der steht nicht wirklich; die Intranatorlogs muß ich mir noch ansehen.

Vielleicht hat das ja schon jemand ans Laufen gebracht; sollte ich damit Erfolg haben, poste ich das korrekte Vorgehen natürlich hier...

Viele Grüße,

Sebastian Wendeler
Groove Attack GmbH

**GrooveAttack** · 18.12.2006 15:34

aha- sieht so aus, als hätte Vista noch nichts von PerfectForwardSecrecy gehört: hier die entsprechende Logeinträge:

responding to Main Mode from unknown peer 87.79.238.179
Dec 18 14:04:29 mail pluto[22003]: "C29"[96] 87.79.238.179 #2008: Main mode peer ID is ID_DER_ASN1_DN: 'snip'
Dec 18 14:04:29 mail pluto[22003]: "C29"[96] 87.79.238.179 #2008: Issuer CA certificate not found
Dec 18 14:04:29 mail pluto[22003]: "C29"[96] 87.79.238.179 #2008: X.509 certificate rejected
Dec 18 14:04:30 mail pluto[22003]: "C29"[96] 87.79.238.179 #2008: sent MR3, ISAKMP SA established
Dec 18 14:04:30 mail pluto[22003]: "C29"[96] 87.79.238.179 #2009: we require PFS but Quick I1 SA specifies no GROUP_DESCRIPTION
Dec 18 14:04:30 mail pluto[22003]: "C29"[96] 87.79.238.179 #2009: sending encrypted notification NO_PROPOSAL_CHOSEN to 87.79.238.179:500

pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [214ca4faffa7f32d...]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000005]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [4a131c8107035845...]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [FRAGMENTATION]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [fb1de3cdf341b7ea...]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [26244d38eddb61b3...]
Dec 18 14:04:29 mail pluto[22003]: packet from 87.79.238.179:500: ignoring Vendor ID payload [e3a5966a76379fe7...]

**GrooveAttack** · 18.12.2006 16:03

tatsächlich: ohne PFS wird der Tunnel dann auch wirklich aufgebaut:

#13: "C29" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3192s; newest IPSEC; eroute owner
#13: "C29" esp.18d4eb83@clientIP esp.6d1103f0@IntranatorIP tun.1009@client tun.1007@intranatorIP
#12: "C29" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3192s
#12: "C29" esp.3ae7f35a@ClientIP esp.6d1103ef@IntranatorIP tun.1008@ClientIP tun.1006@IntranatorIP
#11: "C29" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 28391s; newest ISAKMP

Dummerweise blockt Vista trotzdem den Traffic- aber der Weg scheint schonmal der richtige zu sein ;-)

**Thomas Jarosch** · 19.12.2006 11:04

Hallo Herr Wendeler,

mit Windows Vista haben wir uns bis jetzt noch nicht beschäftigt.
Ich habe mich ein wenig im Netz umgesehen, allerdings sind die Dokumentationen momentan eher spärlich. Hier gibt's z.B. ein paar Infos:
http://www.jacco2.dds.nl/networking/...c_without_L2TP

Herzliche Grüsse,
Thomas Jarosch

**justmann.s** · 31.01.2007 15:00

Hallo Intra2Net,
Hallo Kollegen,

hat jemand schon eine VPN Verbindung mit Vista zum Intranator zustande bekommen?

Man kann hier nur Benutzermame und Passwort eingeben keine Zertifikate hochladen...

Welche Möglichkeiten gibt es hier?

MFG

Sasha

**Thomas Jarosch** · 31.01.2007 16:21

Hallo Herr Justmann,

Herr Wendeler hat schon mit Windows Vista und VPN experimentiert. Ich habe die beiden Themen zusammengelegt. Wir selbst werden uns das auf jeden Fall die nächsten Monate ansehen.

Für den Netgear Prosafe VPN Client gibt es momentan noch keine Windows Vista Unterstützung, auch keine beta Version.

Herzliche Grüsse,
Thomas Jarosch

**GrooveAttack** · 01.02.2007 12:25

Zitat von Thomas Jarosch

Hallo Herr Justmann,

Herr Wendeler hat schon mit Windows Vista und VPN experimentiert. Ich habe die beiden Themen zusammengelegt. Wir selbst werden uns das auf jeden Fall die nächsten Monate ansehen.

Für den Netgear Prosafe VPN Client gibt es momentan noch keine Windows Vista Unterstützung, auch keine beta Version.

Herzliche Grüsse,
Thomas Jarosch

Hallo,

mir ist es gelungen, mit Vista Bordmitteln eine zertifikat-basierte VPN Verbindung aufzubauen- zumindest sagen mir sowohl Host (Intranator) als auch Client (Vista), dass der Tunnel steht. Schön und gut- leider weigert sich Vista, den Traffic ins entfernte Subnetz so zu routen, dass er auch ankommt. Da helfen weder entsprechende Firewallregeln noch das komplette Deaktivieren der Firewall.

Ähnliche Probleme gibt es mit dem aktuellen Greenbow VPN Client, der sich als einer der wenigen unter Vista zumindest installieren lässt. Der Tunnel wird etabliert, Traffic wird offenbar falsch geroutet oder geblockt.

Eine Paketanalyse funktioniert nur bis zum Key-Exchange (der läuft sauber), danach will Vista wohl über ein virtuelles Tunnelinterface mit dem Netz auf der Gegenseite kommunizieren- aber eben jene Schnittstelle kann ich nirgends lokalisieren und somit auch nicht analysieren.

Nach zwei Tagen Basteln war mir meine Zeit dafür dann doch zu schade und ich hab einen vpn-router dazwischen geklemmt.

Viele Grüße,

Sebastian Wendeler
Groove Attack GmbH

**Gerd von Egidy** · 01.02.2007 14:28

Hallo,

das das nicht so einfach klappt ist natürlich nicht gut. Wie mein Kollege ja schon geschrieben hat, werden wir uns demnächst erst des Themas VPN unter Vista annehmen und dann auch eine Anleitung veröffentlichen.

Herzliche Grüße,

v. Egidy

**justmann.s** · 02.02.2007 17:54

Super, dennoch vielen Dank für die Informationen. Das ist doch schon sehr hilfreich fürs Erste!

Danke Groove für deinen Beitrag.

Herr Egidy, sobald Sie eine Anleitung haben, würde ich mich freuen wenn Sie mir eine Kopie zukommen lassen.

Ich bin auch gerne Bereit meine Testergebnisse an Sie weiterzuleiten, vieleicht kommen wir in einer Art Arbeitsgruppe hinter das Geheimnis.

Eventuell ist dieses Thema auch für Personen wie Herr Trentini (Trentini GmbH) und Frau Bindl (3D Team) interessant.

Hierzu können wir ja gerne mal telefonisch Rücksprache halten.

für Mails bin ich unter s.justmann[!@!]eh-versicherungsmakler.de zu erreichen

Thema: VPN Verbindung Windows Vista - Intranator

Themen-Optionen

Thema bewerten

Anzeige

MS Vista VPN

VPN Verbindung Windows Vista - Intranator

Berechtigungen