Jump to content

Problem mit WLAN und ipsec


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich habe folgenden Aufbau:

 

Ein Netz mit u.a. Server W2K3, Client mit XP und einen Netgear WG602 v2 Access Point. Der hängt an einem Port vom Switch. IP-Adresse sind alle aus dem gleichen Netz (für Clients DHCP).

 

Der Client und der Server sind für IPsec konfiguriert, es funktioniert auch, wenn der Client am Switch hängt. Sobald der Cloient über den AP geht, klappt fast nichts mehr. Er bekommt nur eine IP-Adresse vom DHCP-Server zugewiesen, aber sonst geht nichts. Kein Ping (kommt nur viermal die Meldung "IP Sicherheit wird verhandelt"), ich kann die Webseite auf dem Server (IIS) nicht öffnen, ich kann mich nicht auf Freigaben verbinden. Ok, wenn der Ping nicht geht, kann der rest ja nicht gehn, aber das nru zur vollständigkeit.

 

Wenn ich jetzt auf dem Client IPsec deaktiviere, geht alles.

 

So meine Frage dazu:

 

Warum geht das nicht?

 

Normalerweise sollte es doch gehen, da es sich nur um IPsec handet, kein VPN oder so. Der AP interesiert sich doch nur für die MAC-Adressen, nicht für die höheren Schichten.

 

Ich hab schon gegoogelt, hier im board gesucht, aber nix gefunden. Bei den Datenblättern staht dazu auch nix.

 

Wär schön, wenn mir jemand helfen könnte.

 

FG

 

fLOST

Link zu diesem Kommentar

Kann Dir zwar nicht wirklich aus Deinem Problem helfen, jedoch glaube ich nicht, dass es an den WLAN Gerätschaften liegt. WLAN ist ja so gesehen nur ein anderes Medium als Kabel. Rein vom WLAN betrachtet ist das transparent.

 

Einziges, was ich mir vorstellen könnte ist, wenn Du WEP aktiviert hast. Evtl. ändert Dir das WEP ein bisschen was am Header. Schalt mal zum testen aus, wenn möglich.

 

Wenn's dann geht ist es klar. Wobei das ja nicht stören würde, sofern alle WLAN Clients dann mit IPSec gesichert würden.

Link zu diesem Kommentar

 

Daher war ja auch IPSec VPN bisher über NAT nicht machbar. Erst seit dem, äh wie heißt es noch gleich (???), SNAT unter 2003 geht ja auch L2TP/IPSec.

 

:D NAT-T heisst dem, oder auch "UDP encapsulation" genannt :p und dabei werden die IPSEC Päckchen normalerweise in ein UDP eingekapselt, was dem NAT ermöglicht, eine Tabelle aufzubauen, da UDP immer mit einem Quelle und Ziel Port kommt. IPSEC pur kommt leider nur mit einer Protokoll Nummer, und das reicht nicht, um eine Tabelle aufzubauen.

 

 

Gruss

Velius

 

 

P.S.: Das Päckchen kann auch in TCP eingekapselt werden, was einer Packet-Fragmentierung vorbeugt.

Link zu diesem Kommentar

@holgi man.

 

Das ein 2003'er zur Verfügung steht ist schon klar. Ich habe das mit dem geänderten VPN IPSec Header auch nur als Beispiel genommen.

 

Das WEP bzw. WPA macht aber der Access Point und WLAN Client. Also ist das Thema 2003 hier aussen vor.

 

An Deinem letzten Posting sehe ich aber, dass Du da etwas in die falsche Richtung denkst ;)

Was Du hier ansprichst mit dem Passthrough ist für Router und NAT gedacht.

 

Er will aber einfach in seinem Subnet über WLAN von Host A zu Host B mit IPSec kommunizieren. Und da geht halt meine Vermutung in die Richtung:

 

Wenn er für die Kommunikation auf der WLAN Strecke (wohlgemerkt im gleichen Subnet) eine zusätzliche Verschlüsselung wie WEP oder WPA verwendet, kann dass durchaus sein, dass diese Verschlüsselungen den IPSec Header der Pakete verbiegt. Klar, am Endpunkt wird das WEP bzw. WPA zwar wieder entschlüsselt, jedoch ist die Änderung des Headers dann schon passiert.

 

Lange Rede, kurzer Sinn. Würde mich mal von FLOST interessieren, ob sich schon was dahingehend getan hat :)

 

@Velius

 

Danke :)

Link zu diesem Kommentar

@ Wildi

 

deine Argumentation klingt schlüssig ... aber ist der AP kein Router (oder Routerfunktion) ?

normalerweise gibt es gerätschaften die IPSec unberührt durchlassen.

 

Und schließlich und endlich frag ich mich wie ist sein IPSec konfiguriet ???

 

Es gibt da Denke ich mehrere betrachtungsweisen ... :confused:

 

mit den freundlichsten

 

holgi :)

Link zu diesem Kommentar

@holgi man

 

Es gibt Access Points (wie er einen hat WG602) und es gibt Router mit Wireless LAN Funktionalität (sprich: Router mit eigebautem Access Point)

 

Selbst Router mit integriertem AP haben dann aber nicht das Problem mit dem Passthrough, weil:

 

Der integrierte AP in diesem Router IMMER auf der LAN Seite sitzt. Das, was Du mit dem Passtrough meinst wäre aber der Weg durch den Router durch (WAN <--- Passthrough --> LAN).

 

Sein Problem betrifft aber nicht die Kommunikation von WAN zu LAN.

Er hat 2 Rechner, diese sillen mit IPSec kommunizieren. Daher bildet der 1. Rechner ein IPSec und der 2. entschlüsselt. Bei einer Übertragung mit Kabel ist da sonst nix mehr dazwischen. Er allerdings verwendet WLAN. Solange ich dort keine Sicherheit integriere ist diese Kommunikation fast 100% identisch wie mit Kabel.

 

Wenn er aber WEP oder WPA am AP und auf der WLAN Karte aktiviert, werden die einzelnen Pakete verschlüsselt. Und wenn nun ein IPSec Paket daher kommt wird dieses auf von WEP/WPA verschlüsselt. Und das ist, das WEP/WPA nicht einkapselt vermutlich das große Verhängnis.

 

Leider gibt FLOST keinen Feedback mehr dazu, sodas wir das ohne selbst testen niemals rausbekommen werden :(

Link zu diesem Kommentar

Hallo Roland

 

ok ich vertiefe

 

IPSec = verfahren zur Azhtentifizierung und Verschlüsselung

 

Authenticated Header (AH) = eine digitale verschlüsselung des IP Headers

 

Encapsulating Security Payload (ESP) = verschlüsselt Pakete

 

dann gibt es noch zwei ESP Modi im Transportmodus werden Nutzdaten verschlüsselt während Header Daten unberührt bleiben und Tunnelmodus wird das gesamte ursprüngliche Packet verschlüsselt.

 

cu

 

holgi :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...