Maschboard - Das Maschinenbau-Forum an der RWTH Aachen

VPN Dialer sagt mir jetzt nichts, aber mit Open VPN und mit der mitgelieferten Möglichkeit von Win7 funktionierts.

Also nach längerem rumprobieren funktioniert auf meinem Win7 jetzt der RWTH OpenVPN Client. Einfach installieren und nach einem Rechtsklick auf die Verknüpfung "Als Administrator ausführen" auswählen, schon sollte es funktionieren.

http://www.rz.rwth-aachen.de/global/show…aaaaaaaaaabvrqb

wenn ich den installiere hab ich nur die möglichkeit im tray "proxy einstellungen" "über" und "beenden" zu wählen... da steht nix von connect (wies auf der seite des rz steht) und ich bin auch nicht im rwth netz... =(

edit: problem behoiben, hatte noch ne alte open vpn version drauf... nach unistall und reinstall läufts thx

Diesen veralteten Dialer braucht man eigentlich nicht. Windows kann VPN schon lange (seit NT auf jeden Fall) selbst:

Control Panel\Network and Internet\Network and Sharing Center > Set up new connection > to workplace (VPN)

server: vpn-pptp.rwth-aachen.de
PPTP ohne verschlüsselung, nur PAP (unsichere Passwortübertragung).

mfg
Fabian

Leider etwas OT, aber ich hätte eine Frage an euch:

Ist euer VPN auch so langsam?

Komme bei Speedtest auf eine Rate vergleichbar mit DSL3000-4000.
Hab das ganze auch direkt über Win 7 konfiguriert und frage mich nun ob Cisco VPN schneller wäre oder ob das allgemein so lahm ist.

mfg Gogo

€: und um auf fgeis Beitrag einzugehen:
hier die Anleitung vom RZ dazu: http://www.rz.rwth-aachen.de/aw/cms/rz/T…a_pptp/?lang=de

Hier nochmal Schritt für Schritt im Bilderbuchformat:











[oben: hier kann man noch unter PPP Settings Komprimierung einschalten]



Das war's auch schon!
Damit ist man im RWTH Netz ohne sich mit dem Cisco Client auseinandersetzen zu müssen. Die Daten werden jedoch NICHT verschlüsselt. Sämtlicher Netzwerkverkehr wird über die Hochschule geleitet (full tunnel).

So gehts für einen split tunnel:

Zuerst soll der default gateway nicht immer automatisch in den tunnel zeigen. Unter den VPN-Verbdingungseinstellungen unter ipv4 einfach ausschalten.


Nun die routes als Administrator hinzufügen. IF 45 wird bei euch anders heißen. Die mit "route print" gefundene Nummer stattdessen einsetzen.



Nun sollten ähnliche routing Eintrage wie hier zu finden sein:


Und anschließend prüfen ob es wirklich funktioniert:


Mit diesem batch-script im Startup, kann man also ohne jegliche Benutzerinteraktion immer auf alle RWTH Seiten und Service zugreifen.


Es sollte auch möglich sein den VPN client (vpnc, oder openvpn, z.B.) auf den Router zu verlegen und nur den RWTH-Traffic über den Tunnel schicken. Mit ddwrt sollte sich das machen lassen. Ein Projekt für die Zeit nach den Klausuren Werde posten wie es geht wenn ich es hinbekomme.

mfG
Fabian

€: Okey, ich sollte erstmal lesen dann posten, sorry

Aber dann stell ich direkt eine Frage an meinen Vorredner:

Wozu fügst du per Kommandozeile die Routes hinzu, sind das DNS Server? Benutzt du spezielle, denn eigentlich findet sich Windows/Router ja selber welche.

Bei mir hatte es auch erst nicht funktioniert aber wenn man dann über den Administrator ausfürhen wählt klappts...

Zitat von »Gortschenko«

Aber dann stell ich direkt eine Frage an meinen Vorredner:

Wozu fügst du per Kommandozeile die Routes hinzu, sind das DNS Server? Benutzt du spezielle, denn eigentlich findet sich Windows/Router ja selber welche.

Wenn man einen full tunnel einrichtet, dann braucht man das natürlich nicht, da ja sämtlicher Verkehr über die RWTH läuft (aber will ich wirklich, dass die sehen wo ich rumsurfe, und will ich die Uni wirklich für meine Bandbreite zusätzlich bezahlen lassen)??

Die IPs für die ich den Tunnel benutzen will sind ja nur RWTH addressen, da diese ja häufig nur Studenten an Informationen lassen.

Laut RZ gehören die folgenden Blöcke der RWTH


Da der VPN Server aber nur in dem 134.130'er Block liegt, bekommt man auch nur diese Route eingetragen. Die anderen beiden Blöcke muss man von daher manuell eintragen. Versuche mal ohne die manuellen routing-Einträge auf http://studium.iam.rwth-aachen.de/studium.html zu gehen.

Und nein, mit DNS hat das nicht viel zu tun. DNS läuft weiterhin über meinen ISP. Die Einstellungen werden aber über DHCP von meinem Internetprovider "geschoben". Ich beziehe die Einstellungen dann wiederum auf meinem Laptop von meinem Router, auch über DHCP.

mfG
Fabian

Zitat von »face«

Bei mir hatte es auch erst nicht funktioniert aber wenn man dann über den Administrator ausfürhen wählt klappts...

Windows lässt (mit gutem Grund) User keine Änderungen an den Routing Tables vornehmen. Damit könnte ja der normale, eingeschränkte Benutzer ohne Probleme jeden Rechner lahmlegen an dem er sich einloggen kann.

mfG
Fabian

Danke für die Erklärung!

Direkt angewendet und klappt prima!

Noch eine Bemerkung die ich vergessen habe: der Tunnel wird nicht durch den Router gefiltert. Alle offenen Ports sind also durch den Tunnel zugänglich. Da ich nicht weiß wer am anderen ende des Tunnels eventuell seien mag, habe ich mich entschieden ihm nicht zu vertrauen (nichts gegen die RWTH, aber...)

Also heißt es: die Firewall dicht machen.

Erstmal, die Verbindung als "feindlich" einzustufen:


Dann für absolute Funkstille sorgen:


Prüfen, dass wirklich nichts auf den Rechner zugreifen darf (nur established connections kommen durch):


Und anschließend Web und DNS nach außen durchlassen:

Wer ganz paranoid ist, erlaubt nicht einmal DNS und ping. Ohne DNS wird es dann aber schwierig mit den Public Einstellungen woanders ins Netz zu gehen. Ohne ping ist eine eventuelle Fehlersuche erschwert. Bei Schwierigkeiten oder Problemen einfach posten oder mir eine PM schicken.

Damit kann man sicher sein, dass 1) keine Möglichkeit für "Hacker" besteht an Daten auf dem Rechner durch das Uninetz zu kommen, wie es der Fall bei falschen Benutzer und Netzwerkeinstellung seien könnte. 2) Dass keine Programme durch das Uninetz irgendeinen Unfug senden und 3) Keine anderen offenen Ports von unsicheren Programmen zugänglich sein können.

mfG
Fabian

Hey,
ich hab mich jetzt mal hingesetzt und meinen PC so konfiguriert das er die VPN verbindung automatisch 30 sekunden nach dem Anmelden wählt und danach auch das command fenster schließt.
dazu in die bat datei schreiben (txt erstellen und das reinschreiben danach die txt endung durch bat ersetzen):

die bat datei hab ich dann in einen sicheren ordner getan wo sie nicht gleich von jedem gefunden wird.
danach start--> aufgabenplanung hier ganz rechts aufaufgabe erstellen.



im neuen fenster namen eintragen und mit höchsten privilegien ausführen.



danach unter Trigger "trigger hinzufügen" und folgenden einstellungen vornehmen:



jetzt noch unter Aktionen eine Aktion einstellen:



und unter bedingungen einstellen das sich der pc nur dann verbinden soll wenn man zuhause ist, also sich in seinem eigenen netzwerk befindet.



unter einstellung assen sich jetzt noch ein paar dinge konfigurieren z.b. das verhalten wenn die aufgabe ausgeführt wird und nochmal gestartet werden soll, oder das die aufgabe nur bei netzbetrieb starten darf. Ich hab aber alles auf standart gelassen.
zur probe jetzt noch einmal abmelden und wiedr anmelden um zu testen ob man sich wirklich verbindet beim anmelden. Ich hoffe ich konnte ein paar noch weiter in ihrer faulheit unterstützen.
mfg
Iglu

ps.: ich gehe davon aus das man vorher seinen vpn tunnel so eingerichtet hat wie fabian das gezeigt hat sonst gibts evtl. nen böses erwachen bzgl. bandbreite beim im internet surfen etc. oder ihr habt einfach andere namen.

Zitat von »Iglu«

ps.: ich gehe davon aus das man vorher seinen vpn tunnel so eingerichtet hat wie fabian das gezeigt hat sonst gibts evtl. nen böses erwachen bzgl. bandbreite beim im internet surfen etc. oder ihr habt einfach andere namen.

Stimmt. Ohne die zusätzlichen Routing Einträge hat man eine RWTH IP Addresse nach außen, also auch einen anderen Namen. Ein böses Erwachen gibt es womöglich nicht, solange man nur brav im Netz surft. Sogar das Drucken im lokalen Netzwerk würde weiterhin funktionieren. Es könnte zu einem Engpass für Bandbreite führen und belastet die RWTH mit unnötigem Netzwerkverkehr. Des Weiteren könnte die RWTH mitschreiben und analysieren wann man sich im Netz wo aufhält, etc...

Zitat von »Iglu«

die bat datei hab ich dann in einen sicheren ordner getan wo sie nicht gleich von jedem gefunden wird.

Wenn du die Datei mit EFS verschlüsselst (rechts draufklicken, Eigenschaften, Erweitert) oder gar nur den Lesezugriff auf nur dich beschränkst, sollte da nicht viel passieren können, solange du keinen Anderen unter deinem Benutzerkonto an den Rechner lässt. Mit EFS bist du sogar vor anderen Administratoren auf dem Rechner geschützt, da diese dir die Datei lediglich löschen können wenn sie dein Passwort nicht kennen. Lesen können werden sie die nicht, auch wenn sie dir dein Password ändern.

Zitat von »Iglu«

im neuen fenster namen eintragen und mit höchsten privilegien ausführen.

Hohe Privilegien braucht das Script noch nicht einmal. Lediglich die Routing Einträge müssen einmal als Admin getätigt werden

mfG
Fabian

Zitat von »fGeis«

Wenn du die Datei mit EFS verschlüsselst (rechts draufklicken, Eigenschaften, Erweitert) oder gar nur den Lesezugriff auf nur dich beschränkst, sollte da nicht viel passieren können, solange du keinen Anderen unter deinem Benutzerkonto an den Rechner lässt. Mit EFS bist du sogar vor anderen Administratoren auf dem Rechner geschützt, da diese dir die Datei lediglich löschen können wenn sie dein Passwort nicht kennen. Lesen können werden sie die nicht, auch wenn sie dir dein Password ändern.

bei mir liegts halt in nem verschlüsselten ordner. sollte mehr oder weniger aufs gleiche auskommen.

ist es auch möglich mit windows bordmitteln eine verbindung mit diesen einstellungen zu erstellen:



mehr gibts dazu vom rz auch nicht.

hab da leider bis jetzt noch nix zu gefunden und die komischen einstellungen, dabei sagen mir garnichts, weder in windows noch im code oben. dann könnte ich auf alle weiteren vpn programme verzichten was sehr bequem wäre.
Iglu

Zitat von »Iglu«

ist es auch möglich mit windows bordmitteln eine verbindung mit diesen einstellungen zu erstellen:

	Quellcode
1 2 3 4 5 6 7 8 9 10	VPN-Server: vpn-unidsl.rwth-aachen.de Gruppenname: Uni-DSL Gruppenpasswort: uni-dsl-2005 VPN Server: CISCO Concentrator 3030 Authentication Mode: XAUTH - Preshared Keys Authenticaiton Alogrithm: ESP/md5/HMAC-128 Encryption Algorithm: 3DES-168 Encapsulation Mode: Tunnel Perfect forward Security: Disabled

mehr gibts dazu vom rz auch nicht.

hab da leider bis jetzt noch nix zu gefunden und die komischen einstellungen, dabei sagen mir garnichts, weder in windows noch im code oben. dann könnte ich auf alle weiteren vpn programme verzichten was sehr bequem wäre.
Iglu

Cisco Concentrator verwendet ein IPSec ähnliches Protokoll, welches nicht von Windows nativ unterstützt wird. Dafür braucht man entweder den Cisco Client, vpnc für linux, oder ähnliche 3rd-Party-Software.

Ich finde man braucht den Cisco VPN Zugang nicht, solange keine Notwendigkeit für Verschlüsselung besteht.

mfG
Fabian

hm schade. klar braucht man den nicht aber es ist halt damit ich für unidsl nicht noch ne zusatzsoftware installieren muss. also reine bequemlichkeit.