Cisco VPN mit Zertifikat unter Snow Leopard

[t3lly]

Also mit Snow Leo ist man theoretisch nicht mehr auf den Cisco VPN Clienten angewiesen. Solange VPN ohne Zertifikat auskommt schein das auch zu klappen. Doch meine Uni (Heidelberg) benötigt ein Zertifikat. Mir wäre es schon ganz recht wenn es funktionieren würde. Folgendes habe ich bisher gemacht:


1. Hab unter Systemeinstellungen/Netzwerk eine neue Verbindung ausgewählt (VPN Cisco IPSec)

2. Hab die Serveradresse, meinen Benutzernamen und das Passwort eingetragen

3. Dann hab ich mir vom UNi Server zwei Dateien runtergeladen. Einmal eine *.pcf und eine Datei namens rootcert. In der pcf hab ich den GroupName und ServerName herausgefunden und eingetragen

4. Tja und jetzt hänge ich am Zertifikat. Wenn ich das auswähle, dann soll ich das erstmal übern Schlüsselbund importieren. Schön und gut. Zertifikat runtergeladen (heißt bei uns rootcert (ohne Endung)) und per drag&drop in den Schlüsselbund gezogen. Kennwort eingegeben und als vertrauenswürdig eingestuft. Klasse dachte ich mir. Aber wenn ich in den Netzwerkeinstellungen auf Zertifikat auswählen gehe kommt wieder die Meldung mit dem Schlüsselbund.

hmm

 

[Momac]

Also bei mir (Uni München) hat es folgendermaßen geklappt:

Indentifizierungseinstellungen öffnen. *.pcf mit Texedit öffnen. Da findest du den Gruppennamen und den Shared Key. Der ist allerdings verschlüsselt.

Hier kannst du den Shared Key entschlüsseln: http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode

Entschlüsselten Schlüssel und den Gruppennamen eintragen. Fertig.

Serveradresse und Benutzernamen hast du ja schon eingetragen. Dein individuelles Passwort musst allerdings jedesmal beim Verbinden eingeben.

 

[t3lly]

hmm hab das jetzt mal probiert und das enc_GroupPwd aus der *.pcf auf der Seite entschlüsseln lassen. Leider ohne Erfolg. Der VPN Server antwortet nicht. Ich denke so geht es nur wenn kein Zertifikat verlangt wird.
Ich denke aber, dass viele VPN Server ein Zertifikat verlangen. Hat niemand das gleiche Prob?

ps: danke fürs verschieben. War mir nicht ganz klar wo es rein gehört.

/e: wenn das Passwort nicht gespeichert wird und man es immer wieder neu eingeben muss hilft das hier:

http://www.macosxhints.com/article.php?story=2009082703155512

 

[Momac]

Den Gruppennamen hast du auch eingetragen? der steht auch in der *.pcf.

Das decodierte Passwort ist viel kürzer als das verschlüsselte und steht hinter "clear:" Die Seite ist ein bisschen unübersichtlich.

 

[Mc_O]

habe das gleiche Problem wie Momac. Uni Mannheim verlangt wohl auch VPN mit Zertifikat. Dein Hinweis ist zwar interessant, weil man damit an andere Gruppennamen und Keys als angegeben kommt, aber das Zertifikat umgehen kann man damit scheinbar nicht. Werde mal beim RZ nachhaken..

 

[Momac]

Habe kein Problem. Hier läufts ja

Kann natürlich nicht für andere Unis/Firmen sprechen. Aber bei mir hat es es funktioniert. Das Zertifikat in den Schlüsselbund zu integrieren habe ich aber auch nicht hinbekommen. War froh das es auch anders geht.

Wenn die Uni/Firma ein Zertifikat zwingend verlangt führt wohl kein Weg am RZ/Admin vorbei. Hoffe die wissen schon, das es Snow Leopard gibt Weiterhin viel Glück.

 

[t3lly]

bei mir gings jetzt auch ohne Zertifikat. Der Admin des Rechenzentrums hat geholfen.

 

[michaelsp]

bei mir gings jetzt auch ohne Zertifikat. Der Admin des Rechenzentrums hat geholfen.

was war denn die Lösung bei dir? Ich bin an der Uni Mannheim und denke, dass uns deine Lösung auch helfen könnte.

Wäre dir also sehr dankbar, wenn du mir weiterhelfen könntest.

 

[t3lly]

na ja ich denke ich kann dir da nicht helfen. Anscheinend benutzt Mannheim eine UDP Verbindung und kein TCP wie zB in Heidelberg. Die Apple Foren sind voll davon, dass sich Leute darüber beschweren, dass der interne VPN von SL nur TCP kann.
Mir hat ein Rechenzentrum Kerl ein Protokoll genannt, mit dem man den internen VPN Clienten zum Laufen bekommt. Brauchte dann nur den GroupName und das GroupPassword (SharedKey) aus dem Protokoll einzutragen und es ging auch ohne Zertifikat.

 

[michaelsp]

vielen Dank für die schnelle Antwort...leider hatte ich das schon befürchtet. Werde ich wohl morgen mal nachfragen, ob es eine Möglichkeit gibt, das hier in MA auch über TCP zu machen.

 

[Mc_O]

Werde ich wohl morgen mal nachfragen, ob es eine Möglichkeit gibt, das hier in MA auch über TCP zu machen.

wäre cool wenn du das ergebnis hier posten könntest!

 

[michaelsp]

So, ich habe gerade mit dem RZ telefoniert.

Das Problem liegt nicht an UDP und TCP, da die Uni theoretisch beides akzeptiert (laut RZ), das Problem liegt in dem verwendeten Zertifikat zur Authentifizierung, das ausschließlich der Cisco-Client unterstützt. Cisco weigert sich auch einen neuen Client für SL herauszubringen, laut RZ.

Es bleiben also nur die Möglichkeiten des bisher bekannten Cisco-Clients oder eben Shimo als etwas bessere Oberfläche für den Cisco.

Hätte gerne was anderes berichtet, aber die Uni MA ist eben was Besonderes

 

[t3lly]

tut mir leid für dich! Ich peil halt auch nicht warum man das verdammte Zertifikat, wenn man es in den Schlüsselbund integriert hat, nicht auch auswählen kann.

 

[michaelsp]

ja, das ist einer der 2 Punkte wo Apple bei der Weiterentwicklung nicht mitgedacht hat...sehr schade

 

[Momac]

Cisco ist halt einfach Mist. Als Alternative gibts noch Tunnelblick. Die beta läuft auch unter SL. Habe ich aber noch nicht ausprobiert.

 

[ThomasMorus]

@t3lly: Kannst du bitte die Loesung fuer Heidelberg posten. Ich versuche das grade einzurichten und dann muss ich nicht den Admin auch fragen.

 

[t3lly]

jau..

Server: vpn.uni-heidelberg.de
GroupName: zenz
Shared KEy: zens (GroupPwd)

GroupName und GroupPwd (Shared Key) sind in der uni-hd-klartext.pcf zu finden. Einfach auf der URZ Seite unter Zugang/Mac (link "hier") schauen.

und für das Problem, dass man das Pass immer eingeben muss das hier:

http://www.macosxhints.com/article.php?story=2009082703155512

 

[ThomasMorus]

Ich hatte gehofft, das es was anderes als die Klartextloesung gibt, aber ok dann werde ich mich damit begnuegen.

 

[t3lly]

was ist an der Lösung schlecht, bzw. macht sie unsicher? Hab da kein Plan von, wäre nett wenn du mir das erklären könntest.

 

[ThomasMorus]

Hm mir ist grade aufgefallen, dieses Profil ist nur mit Passwort zugaenglich, vlt solltest du das Gruppenpasswort und den Gruppennamen in deinem Post wieder loeschen. Wenigstens etwas Sicherheit.