Cisco VPN-Einwahl mit S60 3rd Handy

Hallo Community,

hier befindet sich ein Tutorial, wie man sich via WLAN an einem Cisco VPN Netzwerk (Cisco Concentrator 3000) anmeldet. Diese Cisco Netzwerke sind an vielen Universitäten und Firmen zu finden. An anderen Gateways sind möglicherweise weitere Einstellungen vorzunehmen, hierbei kann Nokias VPN-Client Dokumentation zu Rate gezogen werden.


Ich beschreibe hier die exakte Vorgehensweise, um eine funktionierende Verbindung aufzubauen.

Testumgebung:

• N95
• Nokia VPN-Client vom N71
• Einwahlknoten der Bauhaus Uni Weimar

benötigte Programme:

• Nokia VPN-Client
• makesis.exe oder hier
• Cisco VPN-Policy eures Netzwerkadmins (*.pcf Datei)
• blanko VPN Policies für den Nokia VPN-Client oder hier
• Signierungstool

Schritt 1: VPN-Client auf dem Handy installieren

Schritt 2: VPN-Policy des Einwahlknotens in die Konfiguration des Nokia VPN-Clients übertragen

Dazu öffnet die Datei "VPN-policy-preshared-Cisco.pol" aus dem Archiv "VPN-policy-preshared-Cisco.rar" und bearbeitet sie mit einem Editor eurer Wahl.



Nun öffnet die .pcf Datei, die ihr von eurem Netzwerkadmin bekommt oder, zumindest an Unis von einem Uni-Server, heruntergeladen werden kann. Dies ist die Policy, die ihr in den Cisco VPN-Client auf dem PC/MAC importieren müßt.



Wichtig sind folgende Zeilen:
"Host="
"GroupName="
"GroupPwd= oder enc_GroupPwd="

Liegt das GroupPwd in verschlüsselter Form vor (enc_GroupPwd=), muss es zunächst entschlüsselt werden. Entweder ihr fragt euren VPN-Admin oder entschlüsselt es selbst. Folgt dazu diesem Link: Cisco VPN-Client Passwort Decoder

Nun übernehmt die Daten aus der .pcf Datei und fügt sie in die "VPN-policy-preshared-Cisco.pol" Datei ein. In dieser Tabelle seht ihr, welche Zeilen wohin übertragen werden müssen: (die zu ändernden Stellen sind rot markiert)


In der ersten Zeile müssen die XX.XX.XX.XX durch die IP in "Host=" ersetzt werden. Sollte in der .pcf Datei nur ein Hostname stehen, muss dieser mittels "ping hostname" erst in eine IP aufgelöst werden. In der zweiten Zeile muss das Wort "Gruppe" durch den GroupName aus der .pcf ersetzt werden. In der dritten Zeile "KEY: 8 PASSWORT" muß die Zahl durch die Anzahl der Zeichen des Passworts ersetzt werden und dahinter das richtige Passwort eingegeben werden. Beispiel: das entschüsselte Passwort aus "enc_GroupPwd=" ist "vpnpasswort", dann entspricht die Zeile "KEY:" diesem: "KEY: 11 vpnpasswort". Abspeichern, fertig.

Schritt 3. Policy kompilieren

Hierzu benötigt ihr die zuvor heruntergeladene "makesis.exe". Angenommen ihr habt die "VPN-policy-preshared-Cisco.rar" und die "makesis.rar" in das Verzeichnis "C:\VPN" entpackt, dann lautet der Aufruf "makesis.exe VPN-policy-preshared-Cisco.pkg".

Dazu in die Eingabeaufforderung wechseln (Start -> Ausführen -> cmd.exe) und mit "cd \vpn" in das Verzeichnis C:\VPN wechseln. Dann "makesis.exe VPN-policy-preshared-Cisco.pkg" eingeben und fertig ist die "VPN-policy-preshared-Cisco.sis"

Das Programm quittiert ein erfolgreiches kompilieren mit folgender Meldung:

Processing VPN-policy-preshared-Cisco.pkg...
Created VPN-policy-preshared-Cisco.SIS

Schritt 4. VPN-policy-preshared-Cisco.sis signieren

Nun muss die Policy noch signiert werden. Wer nicht weiß, wie das geht oder damit Probleme hat, sollte sich einmal diese FAQ: Symbiansigneds neuestes Online Signing Tool ansehen.

Schritt 5. Policy installieren und VPN-Knotenpunkt erstellen

Installation der .sis Datei sollte klar sein und funktioniert wie bei jedem anderen Programm auch. Die erstellte .sis Datei ist allerdings nicht ganz S60 3rd kompatibel, weshalb das Telefon eine Fehlermeldung ausgibt. Die Datei kann aber trotzdem installiert werden.

Nach der Installation muß noch ein neuer VPN-Zugangspunkt definiert werden (Menü > System > Einstellungen > Verbindung > VPN > VPN-Zugangspunkte). Der Verbindungsname ist dabei frei wählbar.



Nun sind noch die Eingabe der Daten und Auswahl der VPN-Policy sowie des zu verwendenden Internet-Zugangspunktes erforderlich:



Jetzt kann der Browser gestartet werden. Dieser fragt nun nach dem Zugangspunkt und dort ist jetzt der, zuvor angelegte, VPN-Zugangspunkt auszuwählen. Nach dem Verbindungsaufbau wird nun nach den Zugangsdaten gefragt:



Hier noch die, vom Netzwerkadmin vergebenen, Logindaten eingeben und voilá, wir sind drin.

Gruß,
Hangman

Hier entsteht eine kleine Übersicht, welche Hochschulen und Universitäten diese Art des Zugangs unterstützen.

Dazu ist allerdings eure Mithilfe nötig.

• FH Karlsruhe
  unsignierte Policy
• FH Offenburg
  die Zeile "max_encrypt_bits 256" muss entfernt werden (unsignierte Policy)
• FH Schmalkalden
  exakt nach Anleitung (unsignierte Policy)
• RWTH Aachen
  exakt nach Anleitung
• Ruhr Uni Bochum
  externe Einwahl nicht möglich, da TCP/IPSec für den Tunnel benötigt wird
  Einwahl ins Uni-WLAN funktioniert (unsignierte Policy und Einstellungen)
• Uni Bonn
  exakt nach Anleitung (unsignierte Policy)
  neue Policy für Nokia Business Client (Post)
• Uni Giessen
  exakt nach Anleitung (unsignierte Policy)
• Uni Hannover
  externe Einwahl (unsignierte Policy)
• TU Darmstadt
  unsignierte Policy
• TU Ilmenau
  exakt nach Anleitung (unsignierte Policy)
  Einwahl von außerhalb, exakt nach Anleitung (unsignierte Policy)
• Uni Jena
  kein Zugang, da Certificateauthentication anstatt Groupauthentication
  eventuell wird gar keine Policy benötigt, wird getestet
• Uni Karlsruhe
  kein Zugang, da Certificateauthentication anstatt Groupauthentication
  eventuell wird gar keine Policy benötigt, wird getestet
• Uni Kiel
  exakt nach Anleitung, IP des Gateways vorher im WLAN (ohne VPN) anpingen (unsignierte Policy)
• Uni Marburg
  externe Einwahl: Verschlüsselung muss umgestellt werden (unsignierte Policy)
• Uni Siegen
  Einwahl ins Uni-WLAN funktioniert exakt nach Anleitung
  externe Einwahl nicht möglich, da TCP/IPSec für den Tunnel benötigt wird
• Uni Weimar
  exakt nach Anleitung (unsignierte Policy für das WLAN-Netz)

Grüße,
Hangman

Hi!
ist eine super anleitung hat bis jetzt alles super geklappt!

nun hänge ich etwas. und zwar beim einrichten der vpn verbindung! da steht, trotz installation der VPN-policy-preshared-Cisco_signed.sis, keine vpn ricthlinie. eigentlich sollte ja dort vpn-policy stehen! Wie komme ich jetzt weiter?

Versuche das ganze gerade an der FH Schmalkalden mit einem N81 umzusetzen!

Guck mal nach ob die Policy überhaupt korrekt installiert wurde (Menü > System > Einstellungen > Verbindung > VPN > VPN-Verwaltung > VPN-Richtlinien). Dort sollte jetzt die VPN-Policy auftauchen. Dann auch unter den VPN-Zugangspunkten gucken, ob die dort auftaucht.

Gruß,
Hangman

Hallo!

Die Installation des Nokia VPN-Clients sowie die Erstellung, Signierung und Installation der VPN-policy-preshared-Cisco.SIS habe ich auf meinem Nokia N95 erfolgreich hinbekommen.
Allerdings scheint meine POL-Datei nicht korrekt konfiguriert zu sein, da ich leider keine Verbindung zum Uni-Netzwerk bekomme.

Die Vorgaben hierfür kann man auf unserer Uni-Seite nachlesen:

http://www.rz.uni-frankfurt.de/campu...n_install.html

Ich habe demgemäß meine VPN-policy-preshared-cisco.pol folgendermaßen konfiguriert:

SECURITY_FILE_VERSION: 3
[INFO]
VPN-policy-preshared-cisco.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 60
hard_lifetime_usetime 60
soft_lifetime_bytes 0
soft_lifetime_addtime 60
soft_lifetime_usetime 60
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(141.2.29.24) }
inbound = { }
outbound = { }
[IKE]
ADDR: 141.2.29.24 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 11
FQDN: pda
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: TRUE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 11 fernzugriff


Kann mir jemand sagen, wo der Fehler liegt, was ich ändern muss?!

Weißt du woran es klemmte? Die Kollegen aus dem Nokia-Forum haben bei den Fehlermeldungen auch keinen Plan... So könnte man die mal zusammentragen.

Für deine .pol:

identity_remote 0.0.0.0/0
pfs

Setze das "pfs" mal darunter.

Gruß,
Hangman

@ Hangman

Hmmm...also meine POL is eigentlich so eingestellt (Sie POL-Konfiguration oben!). Leider funzt es mit genau diesen Einstellungen net...

Ich komm gar net erst bis zur Abfrage von Benutzername und VPN-Passwort.
Es kommt schon vorher die Meldung "Verbindung kann nicht hergestellt werden."

Egal, ob ich als Internetzugangspunkt das Uni-Netzwerk direkt oder mein WLAN zuhause wähle. Aber daran kann es doch eigentlich nicht liegen, oder?! Es müsste doch über beide funzen...was es halt heben net macht!

Hehe, ich mag editierte Posts. Einigen wir uns darauf, dass wir das nicht mehr machen, dann siehst du und ich, wann ein neuer Post kam.

Füge mal das "pfs" ein, das ist bei euch aktiviert. (siehe meinen vorherigen Post)

Gruß,
Hangman

EDIT: Es macht wohl einen Unterschied, ob du dich direkt im WLAN befindest oder nicht. Möglicherweise stimmt die GW-IP dann nicht mehr oder ist von außen nicht erreichbar.

@ hangman als das "pfs" war schon eingetragen...

Es sieht bei mir folgendermaßen aus:

...
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
...


Folgende Informationen wurden nachträglich hinzugefügt:
SexyCyberBoy schrieb nach 4 Minuten und 3 Sekunden:

@ hangman zu deinem EDIT:

Okay...da ich bis jetzt net mal bis zur Eingabe der persönlichen Benutzerdaten gekommen bin, soll ich es morgen mit den jetzt festgelegten daten morgen einfach mal direkt an der Uni probieren?

Die Einwahl von zuhause können wir am PC über "Nortel Networks Contivity VPN Client" vorhnehmen...deswegen dachte ich, es müsste auch über's Handy von zuhause aus gehen.