FLOST 10 Geschrieben 25. Februar 2005 Melden Teilen Geschrieben 25. Februar 2005 Hi, ich habe folgenden Aufbau: Ein Netz mit u.a. Server W2K3, Client mit XP und einen Netgear WG602 v2 Access Point. Der hängt an einem Port vom Switch. IP-Adresse sind alle aus dem gleichen Netz (für Clients DHCP). Der Client und der Server sind für IPsec konfiguriert, es funktioniert auch, wenn der Client am Switch hängt. Sobald der Cloient über den AP geht, klappt fast nichts mehr. Er bekommt nur eine IP-Adresse vom DHCP-Server zugewiesen, aber sonst geht nichts. Kein Ping (kommt nur viermal die Meldung "IP Sicherheit wird verhandelt"), ich kann die Webseite auf dem Server (IIS) nicht öffnen, ich kann mich nicht auf Freigaben verbinden. Ok, wenn der Ping nicht geht, kann der rest ja nicht gehn, aber das nru zur vollständigkeit. Wenn ich jetzt auf dem Client IPsec deaktiviere, geht alles. So meine Frage dazu: Warum geht das nicht? Normalerweise sollte es doch gehen, da es sich nur um IPsec handet, kein VPN oder so. Der AP interesiert sich doch nur für die MAC-Adressen, nicht für die höheren Schichten. Ich hab schon gegoogelt, hier im board gesucht, aber nix gefunden. Bei den Datenblättern staht dazu auch nix. Wär schön, wenn mir jemand helfen könnte. FG fLOST Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 25. Februar 2005 Melden Teilen Geschrieben 25. Februar 2005 Hallo erstmal Deine Gerätschaften müssen auch IPSec durchlassen, sonst kann ja die Sicherheit nicht verhandelt werden. mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 25. Februar 2005 Melden Teilen Geschrieben 25. Februar 2005 Kann Dir zwar nicht wirklich aus Deinem Problem helfen, jedoch glaube ich nicht, dass es an den WLAN Gerätschaften liegt. WLAN ist ja so gesehen nur ein anderes Medium als Kabel. Rein vom WLAN betrachtet ist das transparent. Einziges, was ich mir vorstellen könnte ist, wenn Du WEP aktiviert hast. Evtl. ändert Dir das WEP ein bisschen was am Header. Schalt mal zum testen aus, wenn möglich. Wenn's dann geht ist es klar. Wobei das ja nicht stören würde, sofern alle WLAN Clients dann mit IPSec gesichert würden. Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 25. Februar 2005 Autor Melden Teilen Geschrieben 25. Februar 2005 Stimmt, mit der Verschlüsselung kann es zusammenhängen. Ich verwende WPA. Allerdings werden doch die Daten am Ende der Funkstrecke wieder entschlüsselt und an dan normale Netzwerk weitergegeben. hmm. Mal schaun. Danke schonmal für die Antworten. FG fLOSt Zitieren Link zu diesem Kommentar
humpi 11 Geschrieben 25. Februar 2005 Melden Teilen Geschrieben 25. Februar 2005 hi, ich hoffe das entmutigt dich nicht zu sehr: http://www.lugmoe.de/modules.php?name=Reviews&rop=showcontent&id=5 Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 25. Februar 2005 Melden Teilen Geschrieben 25. Februar 2005 Ja, natürlich werden die Daten am Ende der Strecke wieder entschlüsselt. Jedoch ändert das auch die Headerinformationen. Und das ist die größte Allergie bei IPSec ;) Daher war ja auch IPSec VPN bisher über NAT nicht machbar. Erst seit dem, äh wie heißt es noch gleich (???), SNAT unter 2003 geht ja auch L2TP/IPSec. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 26. Februar 2005 Melden Teilen Geschrieben 26. Februar 2005 Daher war ja auch IPSec VPN bisher über NAT nicht machbar. Erst seit dem, äh wie heißt es noch gleich (???), SNAT unter 2003 geht ja auch L2TP/IPSec. :D NAT-T heisst dem, oder auch "UDP encapsulation" genannt :p und dabei werden die IPSEC Päckchen normalerweise in ein UDP eingekapselt, was dem NAT ermöglicht, eine Tabelle aufzubauen, da UDP immer mit einem Quelle und Ziel Port kommt. IPSEC pur kommt leider nur mit einer Protokoll Nummer, und das reicht nicht, um eine Tabelle aufzubauen. Gruss Velius P.S.: Das Päckchen kann auch in TCP eingekapselt werden, was einer Packet-Fragmentierung vorbeugt. Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 26. Februar 2005 Melden Teilen Geschrieben 26. Februar 2005 Hallo erstmal @ Wildi Ich glaub es steht ein 2003er SRV zur verfügung ... ;) @ FLOST Ich Denke oder kenne es vom D-Link das es Optionen gibt die da heißen IPSec... oder PPTP ... Paasthrough, das sollte eigentlich das sein was du brauchst. mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 26. Februar 2005 Melden Teilen Geschrieben 26. Februar 2005 @holgi man. Das ein 2003'er zur Verfügung steht ist schon klar. Ich habe das mit dem geänderten VPN IPSec Header auch nur als Beispiel genommen. Das WEP bzw. WPA macht aber der Access Point und WLAN Client. Also ist das Thema 2003 hier aussen vor. An Deinem letzten Posting sehe ich aber, dass Du da etwas in die falsche Richtung denkst ;) Was Du hier ansprichst mit dem Passthrough ist für Router und NAT gedacht. Er will aber einfach in seinem Subnet über WLAN von Host A zu Host B mit IPSec kommunizieren. Und da geht halt meine Vermutung in die Richtung: Wenn er für die Kommunikation auf der WLAN Strecke (wohlgemerkt im gleichen Subnet) eine zusätzliche Verschlüsselung wie WEP oder WPA verwendet, kann dass durchaus sein, dass diese Verschlüsselungen den IPSec Header der Pakete verbiegt. Klar, am Endpunkt wird das WEP bzw. WPA zwar wieder entschlüsselt, jedoch ist die Änderung des Headers dann schon passiert. Lange Rede, kurzer Sinn. Würde mich mal von FLOST interessieren, ob sich schon was dahingehend getan hat :) @Velius Danke :) Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 28. Februar 2005 Melden Teilen Geschrieben 28. Februar 2005 @ Wildi deine Argumentation klingt schlüssig ... aber ist der AP kein Router (oder Routerfunktion) ? normalerweise gibt es gerätschaften die IPSec unberührt durchlassen. Und schließlich und endlich frag ich mich wie ist sein IPSec konfiguriet ??? Es gibt da Denke ich mehrere betrachtungsweisen ... mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. März 2005 Melden Teilen Geschrieben 1. März 2005 @holgi man Es gibt Access Points (wie er einen hat WG602) und es gibt Router mit Wireless LAN Funktionalität (sprich: Router mit eigebautem Access Point) Selbst Router mit integriertem AP haben dann aber nicht das Problem mit dem Passthrough, weil: Der integrierte AP in diesem Router IMMER auf der LAN Seite sitzt. Das, was Du mit dem Passtrough meinst wäre aber der Weg durch den Router durch (WAN <--- Passthrough --> LAN). Sein Problem betrifft aber nicht die Kommunikation von WAN zu LAN. Er hat 2 Rechner, diese sillen mit IPSec kommunizieren. Daher bildet der 1. Rechner ein IPSec und der 2. entschlüsselt. Bei einer Übertragung mit Kabel ist da sonst nix mehr dazwischen. Er allerdings verwendet WLAN. Solange ich dort keine Sicherheit integriere ist diese Kommunikation fast 100% identisch wie mit Kabel. Wenn er aber WEP oder WPA am AP und auf der WLAN Karte aktiviert, werden die einzelnen Pakete verschlüsselt. Und wenn nun ein IPSec Paket daher kommt wird dieses auf von WEP/WPA verschlüsselt. Und das ist, das WEP/WPA nicht einkapselt vermutlich das große Verhängnis. Leider gibt FLOST keinen Feedback mehr dazu, sodas wir das ohne selbst testen niemals rausbekommen werden :( Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 1. März 2005 Melden Teilen Geschrieben 1. März 2005 Hallo Roland auf die Gefahr hin nocheinmal unnötigerweise zu Posten ... ;) Ich verstehe schon was Du meinst ... aber es gibt doch zwei möglichkeiten mit IPSec zu arbeiten. Und wenn dem so ist wie Du meinst ... ;) ... wozu dann IPSec ich mein wegen der Sicherheit ... na cu holgi :) Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. März 2005 Melden Teilen Geschrieben 1. März 2005 2 Möglichkeiten? Jetzt versteh ich nur Bahnhof IPSec dient einzig und allein eine gesicherte Verbindung von A zu B zu schicken. Was ist die 2 Möglichkeit???? Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 1. März 2005 Autor Melden Teilen Geschrieben 1. März 2005 danke für die tipps. fg fLOST Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 1. März 2005 Melden Teilen Geschrieben 1. März 2005 Hallo Roland ok ich vertiefe IPSec = verfahren zur Azhtentifizierung und Verschlüsselung Authenticated Header (AH) = eine digitale verschlüsselung des IP Headers Encapsulating Security Payload (ESP) = verschlüsselt Pakete dann gibt es noch zwei ESP Modi im Transportmodus werden Nutzdaten verschlüsselt während Header Daten unberührt bleiben und Tunnelmodus wird das gesamte ursprüngliche Packet verschlüsselt. cu holgi :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.