Fritzbox VPN Verbindung als Client zu einem Cisco VPN

mlst

Neuer User
Mitglied seit
7 Apr 2016
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen

wir haben auf den Notebooks von unserer Firma den Cisco VPN client installiert. Mittels diversen Internet Tools habe ich die Konfiguration wie Group Name, Host und Group Passwort ausgelesen.

Um nicht immer eine VPN Verbindung mittels Client herstellen zu müssen, möchte ich meine Fritzbox gerne als VPN client konfigurieren.

Kann ich in der Fritzbox mittels VPN Config File einlesen eine solche VPN Verbindung, in der die Fritzbox die Funktion des VPN clients übernimmt, erstellen? Auf der Gegenseite kann nichts geändert werden.

Alle Anfragen an den entsprechenden IP Adressbereich würden dann ja über diese VPN Verbindung laufen. Die VPN Verbindung soll immer aktiv sein.

Danke vielmals für eure Hilfe!

Gruss
M
 
Vielleicht solltest du diese Vorgehensweise mal deinem Firmen-Chef erläutern.
Möglicherweise wird dann nur euer Netzwerk-Admin entlassen und du bleibst verschont...

Joe
 
Das sollte sich direkt über das GUI der FRITZ!Box konfigurieren lassen (mit einem Firmennetzwerk verbinden).

@Joe_57:
Was meinst Du damit? Diese "Selektoren" sind doch bei Cisco-VPN als "Gruppen-Geheimnis" praktisch immer abzulesen und als "shared secret" eben auch nicht wirklich geheim ... die eigentliche Authentifizierung erfolgt dann über die XAUTH-Credentials. Die Angaben für die "Gruppe" verhindern nur, daß da Hinz und Kunz und praktisch jeder bis zu dem Punkt kommen kann, der schon entsprechende Ressourcen auf dem VPN-Server belegt ... nämlich der Authentifizierung des "eigentlichen" Benutzers. Ich verstehe nicht so richtig, was da ein Netzwerk-Admin aus Deiner Sicht falsch gemacht haben sollte ... außer Du findest die Verwendung von Cisco-Equipment generell anstößig (auch darüber kann man ja diskutieren, vor allem dann, wenn es vor dem Export noch in einer kleinen Werkstatt am Flughafen "nachbearbeitet" wurde).
 
Hallo,

danke für den konstruktiven Beitrag, doch leider funktioniert das nicht, IKE 2027 Fehler - timeout. Ich denke man muss hier noch etwas mehr in den Einstellungen im config File ändern, allerdings weiss ich nicht, was genau.
 
@PeterPawn:
Wenn an Stelle des Firmen-Laptops auf einmal eine private FritzBox die VPN-Verbindung aufbaut, dann sind alle mit dieser FritzBox verbundenen Geräte in das Firmennetz eingebunden ohne daß eine weitere (Geräte-) Authentifizierung erfolgen muß.
Das dürfte wohl kaum den IT-Sicherheitsaspekten der Firma genügen.

Joe
 
Wird das jetzt zum Ratespiel (ich liebe "quizzen") oder willst Du es lieber systematisch in Angriff nehmen? Allerdings natürlich ohne Garantie für's Gelingen, weil da immer noch Du selbst mit entsprechender Initiative gefordert wärst ... was soll man sich denn z.B. darunter vorstellen, wenn Du
mlst schrieb:
noch etwas mehr in den Einstellungen im config File ändern
willst, während ich ja ausdrücklich geschrieben habe, daß das über das GUI zu konfigurieren sein sollte? Ich wüßte jetzt nicht, daß das GUI da am Ende eine Konfigurationsdatei ausspuckt; also hast Du entweder nicht verstanden, was ich meinte oder Du hast etwas vollkommen anderes gemacht und nimmst jetzt einfach an, daß das mit dem Ergebnis meines Vorschlags gleichzusetzen wäre.

Willst Du es wirklich in Angriff nehmen, versuche ich gerne zu helfen ... das setzt dann aber tatsächlich voraus, daß Du die Vorschläge zumindest ausprobierst und an die Stelle von "leider funktioniert das nicht, IKE 2027 Fehler - timeout" dann echte Angaben setzen wirst (und das sind erzeugte Konfigurationsdateien und VPN-Protokolle und keine bloßen Vermutungen bzw. die doch sehr unspezifischen Angaben aus dem Eventlog der FRITZ!Box) und wenn Du dann zu solchen Aussagen wie "ich denke man muß ..." genötigt sein solltest, diese wenigstens im Ansatz begründest, warum Du das denkst. Diese Begründung müßte ja dann wenigstens wieder im Ansatz die Beschreibung dessen enthalten, was Du nun eigentlich gemacht hast und das wäre zumindest mal ein Punkt, wo man dann sehen könnte, was Du nun gemacht hast.

Bisher kannst Du da praktisch jeden beliebigen Fehler gemacht haben, von einem falschen (aber existierenden) DNS-Namen für das VPN-Gateway bis zu einer falschen Zuordnung der "shared secrets" zu den entsprechenden Angaben in der AVM-Konfiguration. Wenn Du davon ausgehst, das könnte jemand für Dich machen und Dir Schritt für Schritt vorkauen, wie Deine Konfiguration am Ende aussehen muß, dann solltest Du Dich besser der AVM-KB zum VPN zuwenden. Es wäre tatsächlich denkbar, daß man die Verbindung speziell konfigurieren muß (dann wirklich auf der Basis einer Konfigurationsdatei, die man immer wieder in die Box importiert, wenn man sie geändert hat) oder daß es tatsächlich nicht funktioniert (die Box kann (offiziell) nicht mit Zertifikaten umgehen) ... aber aus dem bisher Geschriebenen kann man alles oder nichts ableiten.

Sollte es Dir also Ernst sein mit diesem Anliegen ... dann bitte auch richtig. Mir geht es da ein wenig wie Faustus ("Ich bin zu alt, um nur zu spielen ...") und wenn das "nur Konversation" oder "fröhliches Herumprobieren" werden soll, klinke ich mich lieber aus. Bei systematischem Vorgehen bin ich dann gerne dabei ... aber dann muß man auch bis zu "des Pudels Kern" vordringen, um "im Stück" zu bleiben.

- - - Aktualisiert - - -

@Joe_57:
Das ist richtig ... wenn da tatsächlich entsprechende zusätzliche Vorkehrungen auf dem Notebook getroffen werden, daß nicht auch dieses als Gateway in das Firmennetz genutzt werden kann, dann kann das einen Unterschied machen.

Trotzdem verstehe ich noch nicht, was der Admin des entfernten Netzes damit zu schaffen hätte, wenn ein Benutzer sich entsprechend verbindet und woher Du die Firmen-Policy dort kennst.

Letzten Endes ist ein BYOD-Ansatz auch nichts anderes als das Verbinden eines weiteren LANs mit dem Firmennetzwerk und ein Admin, der in seinem Netz jedem beliebigen Client blind vertraut, nur weil der über ein VPN verbunden ist, hat sein Verständnis für Netzwerke (nach dem Motto: "alles, was im LAN ist, ist vertrauenswürdig") irgendwo vor den Zeiten der ganzen "mobile devices" eingefroren.

Wenn da nicht noch andere AAA-Techniken zum Einsatz kommen (z.B. eben Zertifikate für die Authentifizierung eines gezielten Clients), ist das in heutiger Zeit vollkommen unzureichend, die Netzwerksicherheit nur auf der Basis irgendwelcher Adressen zu definieren - die goldenen Zeiten des "guten LAN" sind mehr als vorbei und je schneller das auch noch der letzte Admin begriffen hat, um so eher sind die Firmennetze dann auch besser gegen Angriffe gewappnet. Wenn das VPN tatsächlich auf die ausgegebenen Geräte (Firmen-Laptop) beschränkt werden soll, nimmt man da Zertifikate mit nicht exportierbaren "private keys" und dann geht da ohnehin nichts in der Richtung, in die der Fragesteller will. Dann stellt sich auch die Frage, warum der TO überhaupt mit anderen Geräten auf das Netz in der Firma zugreifen will ... wenn das z.B. auch das Abrufen des (ohnehin auf dem Tablet konfigurierten) E-Mail-Postfachs in der Firma im heimatlichen LAN ermöglichen soll, hat vermutlich weder der Admin noch der IT-Chef oder die GF etwas dagegen, wenn die Arbeitnehmer auch noch daheim erreichbar sind auf diesem Wege.

Also ... so wenig, wie ich sicher wissen kann, wie das Netz beim Fragesteller in der Firma aufgebaut ist, so wenig kannst Du es wissen und an die Stelle der technischen Antwort nur die eigene Vermutung zur Rechtmäßigkeit des Anliegens zu setzen, finde ich wenig hilfreich. Wenn man seine Bedenken an dieser Stelle artikulieren will, ist das sicherlich legitim ... aber das kann auch gut als zusätzlicher Hinweis untergebracht werden und muß nicht an die Stelle einer passenden Antwort treten ... just my 2 cents.

Solange das kein "offensichtlich kriminelles oder rechtswidriges Anliegen" ist, gibt es nach meinem Dafürhalten keinen Grund, solche Fragen nicht zu beantworten.
 
@PeterPawn:
Da der TE, wie in seinem Eröffnungsposting erwänt, wohl unlautere Methoden angewendet hat...
...Mittels diversen Internet Tools habe ich die Konfiguration wie Group Name, Host und Group Passwort ausgelesen...
...fühlte ich mich zu meiner Antwort in #2 gezwungen.
Diese Antwort sollte den TE lediglich zu gründlicherem Nachdenken über sein Vorhaben anregen.
Keinesfalls hatte ich vor, damit eine Grundsatzdiskussion auszulösen, zu der es sich wohl nun entwickelt hat.
Weitere Kommentare meinerseits wird es deshalb in diesem Thread nicht geben.

Joe
 
@Joe_57:
OK, sorry auch meinerseits ... es sollte eigentlich keine Grundsatzdiskussion werden, ich wollte ursprünglich nur wissen, wieso Du eine solche Verbindung per se für unerwünscht ansiehst und die Frage des TO war ja eigentlich auch, ob man mit der FRITZ!Box eine solche Verbindung aufbauen kann. Dazu gibt es sogar eine ältere Anleitung von AVM selbst: http://at.avm.de/service/vpn/tipps-tricks/vpn-verbindung-von-fritzbox-zu-cisco-client-lan/ - aber eben "not supported" bis auf die grundsätzliche Erklärung.

Warum man aus dem von Dir zitierten Teil von #1 auf "unlautere Methoden" schließen müßte, verstehe ich trotzdem nicht ... schon die verwendete Formulierung "mittels diversen Internet Tools" würde mich nun eher vermuten lassen, daß da aus purer Unkenntnis einige einfach nur untaugliche Tools ausprobiert wurden (warum sollte man für drei verschiedene Angaben, die auch noch in der Regel in einem einzigen Feld einer pcf-Datei stehen, "diverse Tools" brauchen), wo es wahrscheinlich der einfache Blick in die Konfigurationsdatei schon getan hätte und das Dateiformat eines pcf-Files ist nun gut dokumentiert - am Ende gibt es tatsächlich "plenty of tools", um da irgendwelche "encGroupPwd"-Angaben zu "entschlüsseln". Selbst deutsche Universitäten stellen entsprechende Quelltexte (und Webservices) bereit: https://www.unix-ag.uni-kl.de/~massar/soft/cisco-decrypt.c ... wäre das "unlauter", würde dem sicherlich ein Riegel vorgeschoben.

Auch die Aussage, diese Verbindung solle "always on" sein, spricht ja nun eigentlich gegen einen "Mißbrauch" ... sie würde ja die zusätzliche "nomadische Nutzung" des VPN-Zugangs unmöglich machen (von der Unmöglichkeit, einen mobil genutzten VPN-Zugang tatsächlich immer aktiv zu halten, ganz zu schweigen - es gibt ja auch mal ein Funkloch oder der Akku ist irgendwann mal leer und da fällt so ein "always on" dann auch aus dem Rahmen). Selbst aus einem "auf der Gegenseite kann nichts geändert werden" würde ich nicht sofort darauf schließen, daß es der Admin "nicht wissen darf" (dafür wäre das dann eben doch nicht "unauffällig" genug) - es gibt genug Firmen, wo es sich der Admin einfach nicht traut, etwas anderes als 0815 zu konfigurieren (weil er es selbst nicht richtig versteht) oder es ihm zuviel ist, für irgendwelche Mitarbeiter eine Extrawurst zu braten, weil dann ja jeder kommen könnte.

Aber Du hast eben auch recht ... es lohnt die Grundsatzdiskussion nicht.

Wie es prinzipiell funktioniert (noch mit dem alten Tool "FRITZ!Fernzugang konfigurieren", weil der Artikel bei AVM eben auch Asbach ist), steht in der oben verlinkten Seite ... je nach tatsächlich notwendigen Einstellungen geht es auch mit dem GUI oder eben nur mit einer "handgemachten" Datei.
 
Hallo Zusammen

nun vielen Dank für die Nachrichten, ich muss mich auch für meine Ungenauigkeit entschuldigen. Die VPN Einstellungen vom Cisco Client habe ich bereits erfolgreich am MacBook, Iphone und Ipad verwendet, um von diesen Geräten eine Verbindung zum Firmen-Netzwerk herzustellen. Dabei habe ich das VPN Cisco IPSec verwendet.

Wie von PeterPwn beschrieben, habe ich nun versucht, eine VPN Verbindung mittels dem Assistenten zum Erstellen einer VPN Verbindung mit dem Firmennetz, mit den gleichen Zugangsdaten (UserName, Password, GroupName, Group Password oder auch shared secret genannt, VPN Host) zu erstellen. Nach dem Erstellen kam dann allerdings im Logfile der Fehler IKE 2027. Daraus wiederum schliesse ich, dass dies nicht funktioniert, da man im Assistenten auch gar keine weiteren Einstellungsmöglichkeiten hat.

Ich würde vermuten, dass der Assistent zum Erstellen einer VPN Verbindung zu einem Firmen Netzwerk nicht für ein Cisco IPSec VPN Server geeignet ist.

Daher war meine Annahme, dass man noch etwas anderes über das config file ändern muss, sei es die Schlüsselverwaltung (phase 1 oder phase 2) / lifetime, etc.

Ich möchte wirklich daran arbeiten und es zum Laufen bringen und habe ebenso keine Zeit für Gebastel zum Spass ohne das Ziel vor Augen zu haben.

Danke schonmal und sorry nochmal

Gruss
m
 
Wenn Du die Parameter kennst, nimm Dir ein Template für eine solche Verbindung (conn_type=conntype_out wäre wichtig und richtig, sollte sich auch als Vorlage finden lassen oder Du erstellst es eben mit "FRITZ!Fernzugang konfigurieren" selbst - wobei ich nicht sicher bin, ob das geht, denn das nutze ich praktisch niemals) und konfiguriere darin entsprechend die Angaben und importiere die Datei. Dann entsteht auch in der FRITZ!Box das passende Protokoll ... "timeout" kann ja nun so ziemlich alles sein, angefangen beim falschen "shared secret", so daß das Gateway den Request gleich verwirft und dann gibt es logischweise auch keine Antwort.

Man kann auch nicht generell feststellen, daß man eine Verbindung zu einem Cisco IPSec VPN-Server nicht über das GUI konfigurieren kann ... es kommt halt darauf an, was man da konfigurieren muß und das hängt nun mal überwiegend davon ab, wie das VPN-Gateway als Peer eingestellt ist.

Also solltest Du Dir eine solche Textdatei zulegen, dort Deine Einstellungen vornehmen und - für den Fall, daß es dann nicht funktioniert - zusammen mit dem Protokoll dann auch diese Datei (mit unkenntlich gemachten "Geheimnissen", wobei das bitte nur für die konkreten Werte und nicht für ihren Aufbau gilt, Beispiel:
Code:
remotehostname = xxxx

ist Bullshit, weil man die Struktur nicht mehr erkennen kann und ein Eintrag

remotehostname = 8.8.8.8 

ebenso falsch wäre (IP-Adresse statt DNS-Name) wie die fehlenden Anführungszeichen zur Kennzeichnung des Wertes als Zeichenkette

remotehostname = "vpn.domain.net";

wäre die bessere Wahl (inkl. Semikolon, weil das da hingehört)
) hier veröffentlichen. Wenn das VPN-Gateway eine Konfiguration erfordert, die die FRITZ!Box auch beherrscht (was nicht so unwahrscheinlich ist, es gab von AVM auch mal einen IKEv1-Server als Produkt), dann kriegt man das auch hin. Hilfreich wäre es halt, wenn man wenigstens die Basisdaten (main vs. aggressive mode, Proposals für P1/P2, compression yes/no (auch wenn das ggf. zu den Proposals gehört)) schon mal kennen würde ... den DNS-Namen des Servers und/oder den Group-Key bzw. die XAUTH-Daten will gar keiner wissen.
 
Was findet man in der Firma vor? Cisco Technik oder was? Ein FB XYZ wird es wohl nicht sein.

Der IT Verantwortliche dort wird (meine Vermutung) diesem Treiben mit Unbehagen begegnen.
 
Hallo,

das wäre mal ein guter Anfang, nun müsste ich ja nur noch wissen, welche Parameter Cisco AnyConnect verwendet. Gibt es hierfür in dem Forum ggf. schon Erfahrungen?

Die Übersicht habe ich bereits in einem Text File, Danke :)

Danke und Gruss
m
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.