Problem mit WLAN und ipsec

[FLOST 10]

Hi,

 

ich habe folgenden Aufbau:

 

Ein Netz mit u.a. Server W2K3, Client mit XP und einen Netgear WG602 v2 Access Point. Der hängt an einem Port vom Switch. IP-Adresse sind alle aus dem gleichen Netz (für Clients DHCP).

 

Der Client und der Server sind für IPsec konfiguriert, es funktioniert auch, wenn der Client am Switch hängt. Sobald der Cloient über den AP geht, klappt fast nichts mehr. Er bekommt nur eine IP-Adresse vom DHCP-Server zugewiesen, aber sonst geht nichts. Kein Ping (kommt nur viermal die Meldung "IP Sicherheit wird verhandelt"), ich kann die Webseite auf dem Server (IIS) nicht öffnen, ich kann mich nicht auf Freigaben verbinden. Ok, wenn der Ping nicht geht, kann der rest ja nicht gehn, aber das nru zur vollständigkeit.

 

Wenn ich jetzt auf dem Client IPsec deaktiviere, geht alles.

 

So meine Frage dazu:

 

Warum geht das nicht?

 

Normalerweise sollte es doch gehen, da es sich nur um IPsec handet, kein VPN oder so. Der AP interesiert sich doch nur für die MAC-Adressen, nicht für die höheren Schichten.

 

Ich hab schon gegoogelt, hier im board gesucht, aber nix gefunden. Bei den Datenblättern staht dazu auch nix.

 

Wär schön, wenn mir jemand helfen könnte.

 

FG

 

fLOST

[holgi_man 10]

Hallo erstmal

 

Deine Gerätschaften müssen auch IPSec durchlassen, sonst kann ja die Sicherheit nicht verhandelt werden.

 

mit den freundlichsten

 

holgi :)

[Wildi 10]

Kann Dir zwar nicht wirklich aus Deinem Problem helfen, jedoch glaube ich nicht, dass es an den WLAN Gerätschaften liegt. WLAN ist ja so gesehen nur ein anderes Medium als Kabel. Rein vom WLAN betrachtet ist das transparent.

 

Einziges, was ich mir vorstellen könnte ist, wenn Du WEP aktiviert hast. Evtl. ändert Dir das WEP ein bisschen was am Header. Schalt mal zum testen aus, wenn möglich.

 

Wenn's dann geht ist es klar. Wobei das ja nicht stören würde, sofern alle WLAN Clients dann mit IPSec gesichert würden.

[FLOST 10]

Stimmt, mit der Verschlüsselung kann es zusammenhängen. Ich verwende WPA.

 

Allerdings werden doch die Daten am Ende der Funkstrecke wieder entschlüsselt und an dan normale Netzwerk weitergegeben. hmm. Mal schaun.

 

Danke schonmal für die Antworten.

 

FG

 

fLOSt

[humpi 11]

hi,

 

ich hoffe das entmutigt dich nicht zu sehr: http://www.lugmoe.de/modules.php?name=Reviews&rop=showcontent&id=5

[Wildi 10]

Ja, natürlich werden die Daten am Ende der Strecke wieder entschlüsselt. Jedoch ändert das auch die Headerinformationen. Und das ist die größte Allergie bei IPSec ;)

 

Daher war ja auch IPSec VPN bisher über NAT nicht machbar. Erst seit dem, äh wie heißt es noch gleich (???), SNAT unter 2003 geht ja auch L2TP/IPSec.

[Velius 10]

 

Daher war ja auch IPSec VPN bisher über NAT nicht machbar. Erst seit dem, äh wie heißt es noch gleich (???), SNAT unter 2003 geht ja auch L2TP/IPSec.

 

:D NAT-T heisst dem, oder auch "UDP encapsulation" genannt :p und dabei werden die IPSEC Päckchen normalerweise in ein UDP eingekapselt, was dem NAT ermöglicht, eine Tabelle aufzubauen, da UDP immer mit einem Quelle und Ziel Port kommt. IPSEC pur kommt leider nur mit einer Protokoll Nummer, und das reicht nicht, um eine Tabelle aufzubauen.

 

 

Gruss

Velius

 

 

P.S.: Das Päckchen kann auch in TCP eingekapselt werden, was einer Packet-Fragmentierung vorbeugt.

[holgi_man 10]

Hallo erstmal

 

@ Wildi

 

Ich glaub es steht ein 2003er SRV zur verfügung ... ;)

 

@ FLOST

 

Ich Denke oder kenne es vom D-Link das es Optionen gibt die da heißen IPSec... oder PPTP ... Paasthrough, das sollte eigentlich das sein was du brauchst.

 

mit den freundlichsten

 

holgi :)

[Wildi 10]

@holgi man.

 

Das ein 2003'er zur Verfügung steht ist schon klar. Ich habe das mit dem geänderten VPN IPSec Header auch nur als Beispiel genommen.

 

Das WEP bzw. WPA macht aber der Access Point und WLAN Client. Also ist das Thema 2003 hier aussen vor.

 

An Deinem letzten Posting sehe ich aber, dass Du da etwas in die falsche Richtung denkst ;)

Was Du hier ansprichst mit dem Passthrough ist für Router und NAT gedacht.

 

Er will aber einfach in seinem Subnet über WLAN von Host A zu Host B mit IPSec kommunizieren. Und da geht halt meine Vermutung in die Richtung:

 

Wenn er für die Kommunikation auf der WLAN Strecke (wohlgemerkt im gleichen Subnet) eine zusätzliche Verschlüsselung wie WEP oder WPA verwendet, kann dass durchaus sein, dass diese Verschlüsselungen den IPSec Header der Pakete verbiegt. Klar, am Endpunkt wird das WEP bzw. WPA zwar wieder entschlüsselt, jedoch ist die Änderung des Headers dann schon passiert.

 

Lange Rede, kurzer Sinn. Würde mich mal von FLOST interessieren, ob sich schon was dahingehend getan hat :)

 

@Velius

 

Danke :)

[holgi_man 10]

@ Wildi

 

deine Argumentation klingt schlüssig ... aber ist der AP kein Router (oder Routerfunktion) ?

normalerweise gibt es gerätschaften die IPSec unberührt durchlassen.

 

Und schließlich und endlich frag ich mich wie ist sein IPSec konfiguriet ???

 

Es gibt da Denke ich mehrere betrachtungsweisen ...

 

mit den freundlichsten

 

holgi :)

[Wildi 10]

@holgi man

 

Es gibt Access Points (wie er einen hat WG602) und es gibt Router mit Wireless LAN Funktionalität (sprich: Router mit eigebautem Access Point)

 

Selbst Router mit integriertem AP haben dann aber nicht das Problem mit dem Passthrough, weil:

 

Der integrierte AP in diesem Router IMMER auf der LAN Seite sitzt. Das, was Du mit dem Passtrough meinst wäre aber der Weg durch den Router durch (WAN <--- Passthrough --> LAN).

 

Sein Problem betrifft aber nicht die Kommunikation von WAN zu LAN.

Er hat 2 Rechner, diese sillen mit IPSec kommunizieren. Daher bildet der 1. Rechner ein IPSec und der 2. entschlüsselt. Bei einer Übertragung mit Kabel ist da sonst nix mehr dazwischen. Er allerdings verwendet WLAN. Solange ich dort keine Sicherheit integriere ist diese Kommunikation fast 100% identisch wie mit Kabel.

 

Wenn er aber WEP oder WPA am AP und auf der WLAN Karte aktiviert, werden die einzelnen Pakete verschlüsselt. Und wenn nun ein IPSec Paket daher kommt wird dieses auf von WEP/WPA verschlüsselt. Und das ist, das WEP/WPA nicht einkapselt vermutlich das große Verhängnis.

 

Leider gibt FLOST keinen Feedback mehr dazu, sodas wir das ohne selbst testen niemals rausbekommen werden :(

[holgi_man 10]

Hallo Roland

 

auf die Gefahr hin nocheinmal unnötigerweise zu Posten ... ;)

 

Ich verstehe schon was Du meinst ... aber es gibt doch zwei möglichkeiten mit IPSec zu arbeiten.

 

Und wenn dem so ist wie Du meinst ... ;) ... wozu dann IPSec ich mein wegen der Sicherheit ...

 

na cu

 

holgi :)

[Wildi 10]

2 Möglichkeiten? Jetzt versteh ich nur Bahnhof

 

IPSec dient einzig und allein eine gesicherte Verbindung von A zu B zu schicken.

 

Was ist die 2 Möglichkeit????

[FLOST 10]

danke für die tipps.

 

fg

 

fLOST

[holgi_man 10]

Hallo Roland

 

ok ich vertiefe

 

IPSec = verfahren zur Azhtentifizierung und Verschlüsselung

 

Authenticated Header (AH) = eine digitale verschlüsselung des IP Headers

 

Encapsulating Security Payload (ESP) = verschlüsselt Pakete

 

dann gibt es noch zwei ESP Modi im Transportmodus werden Nutzdaten verschlüsselt während Header Daten unberührt bleiben und Tunnelmodus wird das gesamte ursprüngliche Packet verschlüsselt.

 

cu

 

holgi :)