VPN - (IPsec) Windows Vista x64 mit NCP-VPN-Client - Archiv
Als Alternative zum Cisco-Client, der unter Vista x64 bis zur Version 5.7 leider nicht funktionierte, kann der VPN-Client der Firma NCP eingesetzt werden. Er ist allerdings kostenpflichtig, eine Testversion für 30 Tage kann unter https://www.ncp-e.com/de/service/download-vpn-client/ heruntergeladen werden.
Es folgt eine Anleitung wie dieser Client unter Windows Vista x64 zu konfigurieren ist, um damit Verbindungen im MWN aufzubauen. (Nicht alle erscheinenden Fenster sind dargestellt)
Die Installation des Programms durch Entpacken und Ausführen der heruntergeladenen Datei (unter Administrator-Recht) sollte kein Problem bereiten. Anschließend muss das System neu gestartet werden.
Wenn der folgende Sicherheitshinweis erscheint ist Nicht mehr blocken zu wählen.
Interessanter ist die anschließende Konfiguration. Der Client wird nach dem Reboot automatisch gestartet. Schließen Sie das folgende Fenster des Assistenten für eine Testverbindung, es soll gleich die produktive Verbindung eingerichtet werden.
Falls eine Aufforderung zum Auswählen eines Zertifikats erscheint, stellen Sie keine Zertifikate benutzen ein.
Wählen Sie im Hauptfenster des Clients Konfiguration->Profil-Einstellungen und klicken im sich öffnenden Fenster auf Neuer Eintrag.
Im nächsten Fenster ist als Verbindungstyp Verbindung zum Firmennetz über IPsec zu wählen.
Weiter ist ein beliebiger Name für das Profil festzulegen, z.B. LRZ.
Dann wird das Verbindungsmedium abgefragt, stellen Sie dieses auf LAN (over IP).
Im folgenden Fenster stellen wir als Gateway ncp-vpnclient.lrz.de ein. Dies ist ein Aliasname für einen der VPN.Server am LRZ. Die Angabe des Clusternamens ipsec.lrz.de funktioniert nicht, da der NCP-Client kein Loadbalancing unterstützt. Die Erweiterte Authentisierung (XAUTH) muss aktiviert werden. Als Benutzername geben Sie Ihre MWN-Kennung ein (LRZ, Mytum.de, Campus.lmu.de usw.) inklusive der Radiuszone an. Das zugehörige Passwort muss 2 mal eingegeben werden. Die Felder für Benutzername und Passwort können auch freigelassen werden, dann wird die Eingabe bei jedem Verbindungsaufbau angefordert.
Als Austausch-Modus ist Main Mode, als PFS-Gruppe DH-Gruppe 2 (1024 Bit) einzustellen.
Das Shared Secret (Gruppenpasswort) im nächsten Fenster müssen Sie sich von der Seite https://www.lrz.de/services/netz/mobil/vpnpda holen. (Dabei wird Ihre Kennung (Benutzername) und Ihr Passwort abgefragt.) Als Type der Lokalen Identität wählen Sie IP-Adresse, bei ID geben Sie mwnpda ein.
Die IP-Adressen-Zuweisung muss auf IKE Config Mode verwenden stehen, die Adressfelder sind auf 0.0.0.0 zu belassen.
Als nächstes ist NetBIOS über IP zu deaktivieren.
Nach Fertigstellen ist das Profil LRZ angelegt, es müssen aber darin noch einige Einstellungen vorgenommen werden. Markieren Sie dazu das Profil LRZ und klicken auf Konfigurieren.
Die IPsec-Einstellungen müssen wie folgt aussehen:
Gateway ncp-vpnclient.lrz.de
IKE-Richtlinie Pre-shared Key
IPsec-Richtlinie Automatischer Modus
Exch. mode Aggressive Mode
PFS-Gruppe DH-Gruppe 2 (1024 Bit)
Nach einem Klick auf Editor kommt das nächste Fenster, dort ist Pre-shared Key zu markieren und Konfigurieren zu klicken.
Hier ist die Verschlüsselung auf Triple DES, der Hash auf MD5 und die Diffie-Hellman-Gruppe wieder auf 1024 Bit einzustellen.
Als nächstes kommt die IPsec-Richtlinie an die Reihe.
Hier ist ESP-3DES-MD5 einzustellen und als Name einzutragen.
Bei Identität wählen Sie den Typ Fully Qualified Username, als ID mwnpda, markieren Sie Pre-shared Key und XAUTH und geben die entsprechenden Werte (s.o.) ein. Benutzername und Passwort können auch freigelassen werden.
Nach OK ist das Profil jetzt fertig eingestellt, durch einen Klick auf Verbinden sollte eine Verbindung aufgebaut werden.
Wenn der Verbindungsaufbau geklappt hat sieht das Fenster so aus:
Falls es nicht klappen sollte, prüfen Sie nochmals sorgfältig alle Einstellungen. Testen Sie durch ein ping ncp-vpnclient.lrz.de in einem Eingabefenster auch, ob die primäre Netzverbindung funktioniert. Um das Problem zu analysieren ist oft auch ein Blick in das Logbuch (Menü Log) hilfreich.