bonding engineering competition

vpn client

  • Win7

    vpn client

    Hallo zusammen!

    Hat jemand von Euch unter Windows 7 den VPN Dialer installiert und kann über das Hochschulnetz surfen? Ich hab zwar den VPN Dialer mit den Verbindungsdaten installiert, allerdings kommt beim Verbinden eine Fehlermeldung. Stimmt da softwaretechnisch etwas nicht oder funktioniert der VPN Dialer unter Windows 7 einfach nicht?

    Grüße!
    VPN Dialer sagt mir jetzt nichts, aber mit Open VPN und mit der mitgelieferten Möglichkeit von Win7 funktionierts.
    “The problem with the world is that the intelligent people are full of doubts, while the stupid ones are full of confidence.”
    - Charles Bukowski

    Dropbox-Einladungen verschicke ich nur an RWTH-Emailadressen!
    wenn ich den installiere hab ich nur die möglichkeit im tray "proxy einstellungen" "über" und "beenden" zu wählen... da steht nix von connect (wies auf der seite des rz steht) und ich bin auch nicht im rwth netz... =(

    edit: problem behoiben, hatte noch ne alte open vpn version drauf... nach unistall und reinstall läufts thx
    Diesen veralteten Dialer braucht man eigentlich nicht. Windows kann VPN schon lange (seit NT auf jeden Fall) selbst:

    Control Panel\Network and Internet\Network and Sharing Center > Set up new connection > to workplace (VPN)

    server: vpn-pptp.rwth-aachen.de
    PPTP ohne verschlüsselung, nur PAP (unsichere Passwortübertragung).

    mfg
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm
    @chi_mi: Hast du dein Problem jetzt irgendwie lösen können?
    Ich habe das Problem auch schon seit 1, 2 Monaten, hat mich bisher aber nicht interessiert.
    Jetzt brauche ich aber mal ne VPN-VErbindung zur RWTH...
    Leider etwas OT, aber ich hätte eine Frage an euch:

    Ist euer VPN auch so langsam?

    Komme bei Speedtest auf eine Rate vergleichbar mit DSL3000-4000.
    Hab das ganze auch direkt über Win 7 konfiguriert und frage mich nun ob Cisco VPN schneller wäre oder ob das allgemein so lahm ist.

    mfg Gogo

    €: und um auf fgeis Beitrag einzugehen:
    hier die Anleitung vom RZ dazu: rz.rwth-aachen.de/aw/cms/rz/Th…ndows_vista_pptp/?lang=de
    :gockel:
    Hier nochmal Schritt für Schritt im Bilderbuchformat:











    [oben: hier kann man noch unter PPP Settings Komprimierung einschalten]



    Das war's auch schon!
    Damit ist man im RWTH Netz ohne sich mit dem Cisco Client auseinandersetzen zu müssen. Die Daten werden jedoch NICHT verschlüsselt. Sämtlicher Netzwerkverkehr wird über die Hochschule geleitet (full tunnel).

    So gehts für einen split tunnel:

    Zuerst soll der default gateway nicht immer automatisch in den tunnel zeigen. Unter den VPN-Verbdingungseinstellungen unter ipv4 einfach ausschalten.


    Nun die routes als Administrator hinzufügen. IF 45 wird bei euch anders heißen. Die mit "route print" gefundene Nummer stattdessen einsetzen.

    Quellcode

    1. C:\>route ADD 137.226.0.0 MASK 255.255.0.0 134.130.5.231 IF 45 -p
    2. C:\>route ADD 134.61.0.0 MASK 255.255.0.0 134.130.5.231 IF 45 -p


    Nun sollten ähnliche routing Eintrage wie hier zu finden sein:

    Brainfuck-Quellcode

    1. C:\>route print -4
    2. ===========================================================================
    3. Interface List
    4. [...]
    5. 45...........................RWTH
    6. [...]
    7. ===========================================================================
    8. IPv4 Route Table
    9. ===========================================================================
    10. Active Routes:
    11. Network Destination Netmask Gateway Interface Metric
    12. 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 30
    13. [...]
    14. 134.61.0.0 255.255.0.0 134.130.5.231 134.130.240.31 31
    15. 134.130.0.0 255.255.0.0 134.130.5.231 134.130.240.31 31
    16. 134.130.5.231 255.255.255.255 192.168.1.1 192.168.1.2 31
    17. 134.130.240.31 255.255.255.255 On-link 134.130.240.31 286
    18. 137.226.0.0 255.255.0.0 134.130.5.231 134.130.240.31 31
    19. [...]
    20. ===========================================================================
    21. Persistent Routes:
    22. Network Address Netmask Gateway Address Metric
    23. 134.61.0.0 255.255.0.0 134.130.5.231 1
    24. 137.226.0.0 255.255.0.0 134.130.5.231 1
    25. ===========================================================================


    Und anschließend prüfen ob es wirklich funktioniert:


    Mit diesem batch-script im Startup, kann man also ohne jegliche Benutzerinteraktion immer auf alle RWTH Seiten und Service zugreifen.

    Quellcode

    1. rasdial rwth /disconnect
    2. rasdial rwth ab123456@PPTP pa-SSW-word


    Es sollte auch möglich sein den VPN client (vpnc, oder openvpn, z.B.) auf den Router zu verlegen und nur den RWTH-Traffic über den Tunnel schicken. Mit ddwrt sollte sich das machen lassen. Ein Projekt für die Zeit nach den Klausuren :) Werde posten wie es geht wenn ich es hinbekomme.

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm
    €: Okey, ich sollte erstmal lesen dann posten, sorry

    Aber dann stell ich direkt eine Frage an meinen Vorredner:

    Wozu fügst du per Kommandozeile die Routes hinzu, sind das DNS Server? Benutzt du spezielle, denn eigentlich findet sich Windows/Router ja selber welche.
    :gockel:

    Gortschenko schrieb:


    Aber dann stell ich direkt eine Frage an meinen Vorredner:

    Wozu fügst du per Kommandozeile die Routes hinzu, sind das DNS Server? Benutzt du spezielle, denn eigentlich findet sich Windows/Router ja selber welche.


    Wenn man einen full tunnel einrichtet, dann braucht man das natürlich nicht, da ja sämtlicher Verkehr über die RWTH läuft (aber will ich wirklich, dass die sehen wo ich rumsurfe, und will ich die Uni wirklich für meine Bandbreite zusätzlich bezahlen lassen)??

    Die IPs für die ich den Tunnel benutzen will sind ja nur RWTH addressen, da diese ja häufig nur Studenten an Informationen lassen.

    Laut RZ gehören die folgenden Blöcke der RWTH

    Quellcode

    1. 134.130.0.0/16
    2. 134.61.0.0/16
    3. 137.226.0.0/16


    Da der VPN Server aber nur in dem 134.130'er Block liegt, bekommt man auch nur diese Route eingetragen. Die anderen beiden Blöcke muss man von daher manuell eintragen. Versuche mal ohne die manuellen routing-Einträge auf studium.iam.rwth-aachen.de/studium.html zu gehen.

    Und nein, mit DNS hat das nicht viel zu tun. DNS läuft weiterhin über meinen ISP. Die Einstellungen werden aber über DHCP von meinem Internetprovider "geschoben". Ich beziehe die Einstellungen dann wiederum auf meinem Laptop von meinem Router, auch über DHCP.

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „fGeis“ ()

    face schrieb:


    Bei mir hatte es auch erst nicht funktioniert aber wenn man dann über den Administrator ausfürhen wählt klappts...


    Windows lässt (mit gutem Grund) User keine Änderungen an den Routing Tables vornehmen. Damit könnte ja der normale, eingeschränkte Benutzer ohne Probleme jeden Rechner lahmlegen an dem er sich einloggen kann.

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm
    Noch eine Bemerkung die ich vergessen habe: der Tunnel wird nicht durch den Router gefiltert. Alle offenen Ports sind also durch den Tunnel zugänglich. Da ich nicht weiß wer am anderen ende des Tunnels eventuell seien mag, habe ich mich entschieden ihm nicht zu vertrauen (nichts gegen die RWTH, aber...)

    Also heißt es: die Firewall dicht machen.

    Erstmal, die Verbindung als "feindlich" einzustufen:


    Dann für absolute Funkstille sorgen:


    Prüfen, dass wirklich nichts auf den Rechner zugreifen darf (nur established connections kommen durch):


    Und anschließend Web und DNS nach außen durchlassen:

    Wer ganz paranoid ist, erlaubt nicht einmal DNS und ping. Ohne DNS wird es dann aber schwierig mit den Public Einstellungen woanders ins Netz zu gehen. Ohne ping ist eine eventuelle Fehlersuche erschwert. Bei Schwierigkeiten oder Problemen einfach posten oder mir eine PM schicken.

    Damit kann man sicher sein, dass 1) keine Möglichkeit für "Hacker" besteht an Daten auf dem Rechner durch das Uninetz zu kommen, wie es der Fall bei falschen Benutzer und Netzwerkeinstellung seien könnte. 2) Dass keine Programme durch das Uninetz irgendeinen Unfug senden und 3) Keine anderen offenen Ports von unsicheren Programmen zugänglich sein können.

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „fGeis“ ()

    Hey,
    ich hab mich jetzt mal hingesetzt und meinen PC so konfiguriert das er die VPN verbindung automatisch 30 sekunden nach dem Anmelden wählt und danach auch das command fenster schließt.
    dazu in die bat datei schreiben (txt erstellen und das reinschreiben danach die txt endung durch bat ersetzen):

    Quellcode

    1. @echo off
    2. rasdial rwth /disconnect
    3. rasdial rwth ab123456@PPTP passwort
    4. exit

    die bat datei hab ich dann in einen sicheren ordner getan wo sie nicht gleich von jedem gefunden wird.
    danach start--> aufgabenplanung hier ganz rechts aufaufgabe erstellen.



    im neuen fenster namen eintragen und mit höchsten privilegien ausführen.



    danach unter Trigger "trigger hinzufügen" und folgenden einstellungen vornehmen:



    jetzt noch unter Aktionen eine Aktion einstellen:



    und unter bedingungen einstellen das sich der pc nur dann verbinden soll wenn man zuhause ist, also sich in seinem eigenen netzwerk befindet.



    unter einstellung assen sich jetzt noch ein paar dinge konfigurieren z.b. das verhalten wenn die aufgabe ausgeführt wird und nochmal gestartet werden soll, oder das die aufgabe nur bei netzbetrieb starten darf. Ich hab aber alles auf standart gelassen.
    zur probe jetzt noch einmal abmelden und wiedr anmelden um zu testen ob man sich wirklich verbindet beim anmelden. Ich hoffe ich konnte ein paar noch weiter in ihrer faulheit unterstützen.
    mfg
    Iglu

    ps.: ich gehe davon aus das man vorher seinen vpn tunnel so eingerichtet hat wie fabian das gezeigt hat sonst gibts evtl. nen böses erwachen bzgl. bandbreite beim im internet surfen etc. oder ihr habt einfach andere namen.

    Iglu schrieb:

    ps.: ich gehe davon aus das man vorher seinen vpn tunnel so eingerichtet hat wie fabian das gezeigt hat sonst gibts evtl. nen böses erwachen bzgl. bandbreite beim im internet surfen etc. oder ihr habt einfach andere namen.

    Stimmt. Ohne die zusätzlichen Routing Einträge hat man eine RWTH IP Addresse nach außen, also auch einen anderen Namen. Ein böses Erwachen gibt es womöglich nicht, solange man nur brav im Netz surft. Sogar das Drucken im lokalen Netzwerk würde weiterhin funktionieren. Es könnte zu einem Engpass für Bandbreite führen und belastet die RWTH mit unnötigem Netzwerkverkehr. Des Weiteren könnte die RWTH mitschreiben und analysieren wann man sich im Netz wo aufhält, etc...

    Iglu schrieb:

    die bat datei hab ich dann in einen sicheren ordner getan wo sie nicht gleich von jedem gefunden wird.

    Wenn du die Datei mit EFS verschlüsselst (rechts draufklicken, Eigenschaften, Erweitert) oder gar nur den Lesezugriff auf nur dich beschränkst, sollte da nicht viel passieren können, solange du keinen Anderen unter deinem Benutzerkonto an den Rechner lässt. Mit EFS bist du sogar vor anderen Administratoren auf dem Rechner geschützt, da diese dir die Datei lediglich löschen können wenn sie dein Passwort nicht kennen. Lesen können werden sie die nicht, auch wenn sie dir dein Password ändern.

    Iglu schrieb:

    im neuen fenster namen eintragen und mit höchsten privilegien ausführen.

    Hohe Privilegien braucht das Script noch nicht einmal. Lediglich die Routing Einträge müssen einmal als Admin getätigt werden :)

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „fGeis“ ()

    fGeis schrieb:

    Wenn du die Datei mit EFS verschlüsselst (rechts draufklicken, Eigenschaften, Erweitert) oder gar nur den Lesezugriff auf nur dich beschränkst, sollte da nicht viel passieren können, solange du keinen Anderen unter deinem Benutzerkonto an den Rechner lässt. Mit EFS bist du sogar vor anderen Administratoren auf dem Rechner geschützt, da diese dir die Datei lediglich löschen können wenn sie dein Passwort nicht kennen. Lesen können werden sie die nicht, auch wenn sie dir dein Password ändern.
    bei mir liegts halt in nem verschlüsselten ordner. sollte mehr oder weniger aufs gleiche auskommen.
    ist es auch möglich mit windows bordmitteln eine verbindung mit diesen einstellungen zu erstellen:

    Quellcode

    1. VPN-Server: vpn-unidsl.rwth-aachen.de
    2. Gruppenname: Uni-DSL
    3. Gruppenpasswort: uni-dsl-2005
    4. VPN Server: CISCO Concentrator 3030
    5. Authentication Mode: XAUTH - Preshared Keys
    6. Authenticaiton Alogrithm: ESP/md5/HMAC-128
    7. Encryption Algorithm: 3DES-168
    8. Encapsulation Mode: Tunnel
    9. Perfect forward Security: Disabled


    mehr gibts dazu vom rz auch nicht.

    hab da leider bis jetzt noch nix zu gefunden und die komischen einstellungen, dabei sagen mir garnichts, weder in windows noch im code oben. dann könnte ich auf alle weiteren vpn programme verzichten was sehr bequem wäre.
    Iglu

    Iglu schrieb:

    ist es auch möglich mit windows bordmitteln eine verbindung mit diesen einstellungen zu erstellen:

    Quellcode

    1. VPN-Server: vpn-unidsl.rwth-aachen.de
    2. Gruppenname: Uni-DSL
    3. Gruppenpasswort: uni-dsl-2005
    4. VPN Server: CISCO Concentrator 3030
    5. Authentication Mode: XAUTH - Preshared Keys
    6. Authenticaiton Alogrithm: ESP/md5/HMAC-128
    7. Encryption Algorithm: 3DES-168
    8. Encapsulation Mode: Tunnel
    9. Perfect forward Security: Disabled


    mehr gibts dazu vom rz auch nicht.

    hab da leider bis jetzt noch nix zu gefunden und die komischen einstellungen, dabei sagen mir garnichts, weder in windows noch im code oben. dann könnte ich auf alle weiteren vpn programme verzichten was sehr bequem wäre.
    Iglu


    Cisco Concentrator verwendet ein IPSec ähnliches Protokoll, welches nicht von Windows nativ unterstützt wird. Dafür braucht man entweder den Cisco Client, vpnc für linux, oder ähnliche 3rd-Party-Software.

    Ich finde man braucht den Cisco VPN Zugang nicht, solange keine Notwendigkeit für Verschlüsselung besteht.

    mfG
    Fabian
    FSK 12 = Der Gute bekommt das Mädchen.
    FSK 16 = Der Böse bekommt das Mädchen.
    FSK 18 = ALLE bekommen das Mädchen!!!

    "Ein gutes Gedächtnis merkt sich nicht alles, sondern vergisst das Unwichtige." -Peter Bamm