Cisco VPN-Einwahl mit S60 3rd Handy

Hangman 22.12.2007, 18:12

Bewertung: (8 votes - 4,50 average)

Hallo Community,

hier befindet sich ein Tutorial, wie man sich via WLAN an einem Cisco VPN Netzwerk (Cisco Concentrator 3000) anmeldet. Diese Cisco Netzwerke sind an vielen Universitäten und Firmen zu finden. An anderen Gateways sind möglicherweise weitere Einstellungen vorzunehmen, hierbei kann Nokias VPN-Client Dokumentation zu Rate gezogen werden.


Ich beschreibe hier die exakte Vorgehensweise, um eine funktionierende Verbindung aufzubauen.

Testumgebung:

• N95
• Nokia VPN-Client vom N71
• Einwahlknoten der Bauhaus Uni Weimar

benötigte Programme:

• Nokia VPN-Client
• makesis.exe oder [Link nur für registrierte Mitglieder sichtbar.]
• Cisco VPN-Policy eures Netzwerkadmins (*.pcf Datei)
• blanko VPN Policies für den Nokia VPN-Client oder [Link nur für registrierte Mitglieder sichtbar.]
• Signierungstool

Schritt 1: VPN-Client auf dem Handy installieren

Schritt 2: VPN-Policy des Einwahlknotens in die Konfiguration des Nokia VPN-Clients übertragen

Dazu öffnet die Datei "VPN-policy-preshared-Cisco.pol" aus dem Archiv "VPN-policy-preshared-Cisco.rar" und bearbeitet sie mit einem Editor eurer Wahl.



Nun öffnet die .pcf Datei, die ihr von eurem Netzwerkadmin bekommt oder, zumindest an Unis von einem Uni-Server, heruntergeladen werden kann. Dies ist die Policy, die ihr in den Cisco VPN-Client auf dem PC/MAC importieren müßt.



Wichtig sind folgende Zeilen:
"Host="
"GroupName="
"GroupPwd= oder enc_GroupPwd="

Liegt das GroupPwd in verschlüsselter Form vor (enc_GroupPwd=), muss es zunächst entschlüsselt werden. Entweder ihr fragt euren VPN-Admin oder entschlüsselt es selbst. Folgt dazu diesem Link: [Link nur für registrierte Mitglieder sichtbar.]

Nun übernehmt die Daten aus der .pcf Datei und fügt sie in die "VPN-policy-preshared-Cisco.pol" Datei ein. In dieser Tabelle seht ihr, welche Zeilen wohin übertragen werden müssen: (die zu ändernden Stellen sind rot markiert)


In der ersten Zeile müssen die XX.XX.XX.XX durch die IP in "Host=" ersetzt werden. Sollte in der .pcf Datei nur ein Hostname stehen, muss dieser mittels "ping hostname" erst in eine IP aufgelöst werden. In der zweiten Zeile muss das Wort "Gruppe" durch den GroupName aus der .pcf ersetzt werden. In der dritten Zeile "KEY: 8 PASSWORT" muß die Zahl durch die Anzahl der Zeichen des Passworts ersetzt werden und dahinter das richtige Passwort eingegeben werden. Beispiel: das entschüsselte Passwort aus "enc_GroupPwd=" ist "vpnpasswort", dann entspricht die Zeile "KEY:" diesem: "KEY: 11 vpnpasswort". Abspeichern, fertig.

Schritt 3. Policy kompilieren

Hierzu benötigt ihr die zuvor heruntergeladene "makesis.exe". Angenommen ihr habt die "VPN-policy-preshared-Cisco.rar" und die "makesis.rar" in das Verzeichnis "C:\VPN" entpackt, dann lautet der Aufruf "makesis.exe VPN-policy-preshared-Cisco.pkg".

Dazu in die Eingabeaufforderung wechseln (Start -> Ausführen -> cmd.exe) und mit "cd \vpn" in das Verzeichnis C:\VPN wechseln. Dann "makesis.exe VPN-policy-preshared-Cisco.pkg" eingeben und fertig ist die "VPN-policy-preshared-Cisco.sis"

Das Programm quittiert ein erfolgreiches kompilieren mit folgender Meldung:

Schritt 4. VPN-policy-preshared-Cisco.sis signieren

Nun muss die Policy noch signiert werden. Wer nicht weiß, wie das geht oder damit Probleme hat, sollte sich einmal diese FAQ: Symbiansigneds neuestes Online Signing Tool ansehen.

Schritt 5. Policy installieren und VPN-Knotenpunkt erstellen

Installation der .sis Datei sollte klar sein und funktioniert wie bei jedem anderen Programm auch. Die erstellte .sis Datei ist allerdings nicht ganz S60 3rd kompatibel, weshalb das Telefon eine Fehlermeldung ausgibt. Die Datei kann aber trotzdem installiert werden.

Nach der Installation muß noch ein neuer VPN-Zugangspunkt definiert werden (Menü > System > Einstellungen > Verbindung > VPN > VPN-Zugangspunkte). Der Verbindungsname ist dabei frei wählbar.



Nun sind noch die Eingabe der Daten und Auswahl der VPN-Policy sowie des zu verwendenden Internet-Zugangspunktes erforderlich:



Jetzt kann der Browser gestartet werden. Dieser fragt nun nach dem Zugangspunkt und dort ist jetzt der, zuvor angelegte, VPN-Zugangspunkt auszuwählen. Nach dem Verbindungsaufbau wird nun nach den Zugangsdaten gefragt:



Hier noch die, vom Netzwerkadmin vergebenen, Logindaten eingeben und voilá, wir sind drin.

Gruß,
Hangman

__________________
lesen - denken - posten

Hangman

__________________
lesen - denken - posten

SexyCyberBoy

@ Hangman

Es kann sein, dass ich beim ändern des FQDN die GROUP_DESCRIPTION noch nicht wieder auf MODP_1024 zurückgestellt hatte und der Fehler deswegen aufgetreten ist...war halt schon spät gersten...

screamer980

Hi!

also ich hab es geschafft, dass die .pol richtig vom vpn client richtig erkannt wird.

nun komme ich soweit, dass ich meine login daten eingeben kann.

Dann kommt folgende fehlermeldung laut VPN Protokoll:

Fehler: Sent an error response to VPN gateway '194.94.31.250'
error code 23

Fehler: Failed to activate VPN access point 'Fh vpn', reason code -5256

Die beiden Fehler tretten zusammen auf und kommen gleich nach der Eingabe der Login Daten.

Hier meine .pol datei:
SECURITY_FILE_VERSION: 3
[INFO]
VPN-policy-preshared-cisco.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
pfs
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(194.94.31.250) }
inbound = { }
outbound = { }
[IKE]
ADDR: 194.94.31.250 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 11
FQDN: FHS
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: TRUE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 28800
PRF: NONE
FORMAT: STRING_FORMAT
KEY: 96 B12D5E755272056F87AD5A9ED317F1BFFF15492019BDA7F9FE 68BDF7EA14AA1F9EE7186476E3AD501D2627C49

hoffe es kann mir jemand helfen!

Danke im Voraus!

Cu Basti

Hangman

Du musst die Zeile "KEY:" noch decodieren. Der Nokia VPN unterstützt keine verschlüsselten Group-Passwörter. Wenn du es nicht selbst hinbekommst, dann schick mir bitte mal die .pcf per PN. Die Policy ist leider nur aus dem internen Netz erreichbar.

Gruß,
Hangman

__________________
lesen - denken - posten

screamer980

@ Hangman

vielen dank für die antwort!

werde dies gleich heute abend mal probieren!

cu Basti

Hangman

Gib mal Bescheid, obs geklappt hat, dann kann ich die FH mit in die Liste aufnehmen.

Gruß,
Hangman

__________________
lesen - denken - posten

screamer980

Hi! hab versucht diesen KEY:
B12D5E755272056F87AD5A9ED317F1BFFF15492019BDA7F9FE 68BDF7EA14AA1F9EE7186476E3AD501D2627C49

mit [Link nur für registrierte Mitglieder sichtbar.]
den 96 stelligen code zu decodieren. Bekomme immer die Fehlermeldung invalid input!

Wie muss ich den KEY decodieren?

ist die .pcf - datei, das profil, die man in den cisco system client für windows importiert? Also die Profil datei von der FH?

Danke Hangman für deine Unterstützung

CU Basti

Hangman

Da ist ein Leerzeichen, dass da nicht hingehört.

Das Passwort schicke ich dir gleich per PN zu.

Gruß,
Hangman

PS: Ich hab den Key mal unbrauchbar gemacht. Wenn die FH die Policy schon versteckt, dann sollte es hier nicht im quasi Plaintext stehen.

PPS: Ja, die .pcf ist die Policy, die du in deinen Cisco Client importieren musst.

__________________
lesen - denken - posten

MartinL

Hi,

habe genau dasselbe Problem mit meinem N81.
VPN sis wurde erfolgreich installiert, policy steht im programm manager, aber unter einstellungen steht nichts von VPN?!

Hangman

Die .pkg, .pin und .pol von hier oder von pipip.de genommen?

Gruß,
Hangman

__________________
lesen - denken - posten