Cisco VPN Client

[TommyM]

Hi,

Deine vorangegangenen Bemerkungen/Schlußfolgerungen sind sicherlich alle richtig. Ich bin zwar auch kein 150%-iger Experte, aber soweit passt alles zusammen.

Falls meine Erklärungsversuche einigermassen richtig sind, stellt sich für mich die Frage, ob dann der Zugriff über das point-to-point tunneling protocol, wie du und dein Admin es vorschlagen, diesen Fremdzugriff verhindern können. Was wäre dann dabei anders? Könnte dann wirklich keine andere Maschine aus dem Heimnetzwerk über diesen Tunnel auf das Schul-/Firmen-Netzwerk zugreifen?

Gruss und Dank, Rosario

Die Stateful Firewall verhindert jeglichen anderen Zugriff auf das Internet lokal oder aus dem LAN. Praktisch gesagt, solange Du mit Stateful Firewall des WIN-Cisco-Clients online bist, kannst Du oder sonst jemand im LAN nicht mal Email vom ISP abrufen.

Um das abschließend beurteilen zu können, ob es im Umkehrschluss zwingend bedeutet, dass bei PPTP jeder andere im LAN auch mit auf den Tunnel zugreifen kann -- womöglich ohne Dein Wissen -- sollte man es vielleicht im Einzelfall simulieren bzw. probieren. Es doch im LAN andere Möglichkeiten geben, dies zu unterbinden (z.B. Aktivieren einer lokalen Firewall zwischen VPN-Client und LAN, die das LAN ausschließt?).

Für mich ist das eh nicht so das Problem, denn wenn ich VPN brauche/nutze, hängt mein Mac meistens eh nicht am LAN. Und wenn, weiß ich, dass die anderen im LAN absolut vertrauenswürdig sind.

"Learning by doing", hmmm?!

 

[carco]

"Learning by doing", hmmm?!

Ja, genau, da geht es uns LehrerInnen/ExpertInnen nicht anders als unseren SchülerInnen. Auch ich lasse mich gerne belehren.

Ich bin leider kein Linux-Experte, weiss aber, dass sich unter Unix Dienste auf Interfaces binden lassen. Vielleicht könnte man den Cisco VPN-Client Dienst auf die physische Netzkarte binden - wenn das nicht bereits ohnehin der Fall ist - und vielleicht liesse sich so auf dem Mac der Fremdzugriff auf den VPN-Tunnel verhindern?? - Zumindest bis Cisco die Client Firewall auch für OS X anbieten wird.

Aktivieren einer lokalen Firewall zwischen VPN-Client und LAN, die das LAN ausschließt

Eben... genau das macht Cisco mit der Client Firewall direkt im Client. Die hängen das lokale Netz ganz ab. Wahrscheinlich kann man während der VPN Verbindung nicht einmal auf den eigenen (Heim-) Netzwerkdruckern ausdrucken, ausser der Datenverkehr in diese Richtung sei möglich (muss ich aber noch testen). Ob man so was auch mit einer eigenen Firewall ereichen kann, weiss ich eben nicht. Also wieder DOING und daraus LEARNING und dann WEITERSAGEN...

Ich hoffe, dass uns da ein echter Kenner noch erleuchten wird.

 

[TommyM]

Eben... genau das macht Cisco mit der Client Firewall direkt im Client. Die hängen das lokale Netz ganz ab. Wahrscheinlich kann man während der VPN Verbindung nicht einmal auf den eigenen (Heim-) Netzwerkdruckern ausdrucken, ausser der Datenverkehr in diese Richtung sei möglich (muss ich aber noch testen). Ob man so was auch mit einer eigenen Firewall ereichen kann, weiss ich eben nicht. Also wieder DOING und daraus LEARNING und dann WEITERSAGEN...

Ich hoffe, dass uns da ein echter Kenner noch erleuchten wird.

Wie gesagt, bin kein 150%-iger Kenner, aber die im Cisco-WIN-Client integrierte Stateful Firewall lässt (a) keine Daten "neben" dem Tunnel ins oder aus dem Internet, weder lokal von der tunnelnden Maschine, noch von irgendeinem LAN-Rechner, der die Connection mitbenutzen will -- einfach um einen lokalen Lauschangriff von vornherein zu unterbinden; (b) lässt er andere LAN-Rechner an den Tunnel ran, aber nur, wenn Du das zulässt/aktivierst per Haken in den Properties.

So oder so, wenn der VPN-Host IPSec samt Stateful Firewall wie beim Cisco-WIN-Client voraussetzt, wird das mit dem Mac nix -- mit keiner Software dieser Welt, soweit bekannt.

Also, entweder Windows, oder der Host-Admin lässt sich (wie bei mir) überzeugen, dass er für Dich einen Account mit PPTP und Login/Passwort einrichtet; dann geht's auch mit dem Tiger-Onboard-Client.


Übrigens, ich will jetzt noch ausprobieren, ob die PPTP-Lösung auch mit dem Cisco-Mac-Client funktionuckelt, weil der Tiger-Client sich bei mir irgendwie die VPN-Settings nicht merken kann.
Oder weißt Du, wie ich dem Mac die Settings für immer ins Hirn brennen kann?

 

[carco]

Ich warte auf deine Test-Resultate.

Was den PPTP Tunnel anbelangt, habe ich noch keine Tests gemacht. Aber in der von dir zitierten Anleitung steht doch:

>>First, be sure you have updated to Mac OS X 10.3.4 or later.

Follow these steps:
Open Internet Connect.
Click VPN (PPTP).
From the Configuration pop-up menu, choose Edit Configuration.
From the Encryption pop-up menu, choose None.

The change is persistent.
This PPTP connection must be used only to connect to the ISP for which you configured it.
If you need an additional VPN PPTP connection, you must create a new one using Internet Connect.
>>>

Das würde doch heissen, dass die Einstellungen bestehen bleiben sollten... vielleicht ja noch ein Bug.

Aber schlimmer dünkt mich "Encryption none" übers Internet? Oder wie ist das gemeint?

 

[TommyM]

Bin noch nicht zum Testen gekommen...

"The change is persistent." etc: Das dürfte bedeuten, dass die Änderung unwiderruflich bestehen bleibt, daher wohl auch der folgende Hinweis, dass für zusätzliche Verbindungen neue Konfigurationen angelegt werden müssen.

Tja, no encryption. Ich hatte es die Tage zuerst mit "Automatisch..." versucht, da ging aber nix. Dann entsprechend dem Hinweis die Verschlüsselung abgeschaltet, und siehe da -- es funktionierte. Sorgen mach ich mir trotzdem keine.
Bug? Weiß nicht, ich tippel hier mit 10.4.1 samt Security Update 2005-0006, wobei bei letzterem auch VPN betroffen war.

Es ist nur blöde, dass aus unbekanntem Grund meine funktionierende VPN-Konfiguration plötzlich nicht mehr da war. Lag's nur am Neustart? Hab ich inzwischen zuviele Caches gelöscht? Keine Ahnung. Hab's seitdem noch nicht wieder probieren können, weil ich derzeit wieder zuhause hinter einem Proxy mit Dial-up sitze und außer dem internen Analogmodem keinen direkten Internetzugang vom Mac habe...