TwoCom Online-Forum

[nobody]

Geht mit etwas hand anlegen doch:
1. von
http://www.bouncycastle.org/latest_releases.html
das file: bcprov-jdk15-145.jar besorgen

2. diese Datei in:
/System/Library/Frameworks/JavaVM.framework/Versions/1.5.0/Home/lib/ext/
kopieren

3. datei "java.security" in
/System/Library/Frameworks/JavaVM.framework/Versions/1.5.0/Home/lib/security/

bearbeiten:
Zeile hinzufügen unter:
# List of providers and their preference orders (see above):
security.provider.8=org.bouncycastle.jce.provider.BouncyCastleProvider

Wichtig: die nummerierung muss durchgehend ohne lücken sein.
also "security.provider.8" die eben nächste größere Zahl nach der bisher letzten.

schon geht rdp und vnc.

Dies trifft im prinzip auch auf Windows mit JRE 1.5 zu.
Anleitung dafür siehe hier:
http://www.mobilefish.com/developer/bou ... stall.html

davon habe ich die variante für MacOSX abgekuckt.

Es ist natürlich schade, dass Draytek das applet nicht kompatibel zu etwas älteren JAVA versionen designed hat, aber, so hat man wenigestens einen workaround.

[QuickMik]

hmmmmm...
sehr gut ist das SSL VPN am mac noch nicht zu brauchen
schon eine schlimme schnitzerei.
schade das sowas nicht ohne geht

[nobody]

Hast Du einen PPC oder einen Intel Mac ?
(meine erfahrung mit Intel Mac ist nämlich, dass es ohne o.g. änderungen eigentlich auch nicht geht)

Ich habe das an die Fa. Draytek als anregung weitergegeben. Vielleicht passiert ja doch was ? Die genannten bibliotheken liessen sich ja in das jar archiv, das man vom Router geladen bekommt einbauen - dann muss man nicht selber basteln.

[QuickMik]

das ist wohl zu machen.
allerdings fängt dann die bastelei beim nächsten update wieder an.

[QuickMik]

gibts jetzt eigentlich schon eine SSL VPN geschichte ohne gefrickel für os x ?

[kango_bs]

Ich musste kürzlich einen 2930 hinter ein VDSL-Zyxel hängen (neuer Provider). Bisher VPN mit PPTP oder L2TP ohne Probleme. Versuche nun, via SSH-VPN einen Tunnel aufzubauen (IE, Win7, falls möglich auch zu Mac). Hat jemand SSH-VPN zum Laufen gebracht? In div. Foren sind viele kritische Bemerkungen (v.a. Mac und Linux). Liegt es an noch falschen port forwardingregeln (443) und Firewalleinstellungen von mir? Oder ist das ActiveX Element oder das Java Applet bei der gegenwärtigen Auslieferung nicht in Ordnung? Danke für Erfahrungsberichte.

[nobody]

Also, SSL-VPN (nicht ssh !) funktioniert, so man windows als client hat prima mit 2930 + 2950.

somit sollte es also auch kein problem geben wenn ein macosx oder egal was PC im netzwerk hinter dem Draytek-Router steht.
Activex/Java ist dafür ja nicht notwendig.
Mein post hier bezieht sich ja auf die "SSL Application" des 2950. Hier kann man sich über ein java applet auf den Router einloggen, und, kann dann z.B. rdp oder samba dienste benutzen.

Jedoch einen ssl-vpn client für MacOSX, den kenne ich nicht. Wenn Du einen weisst, wäre ich interessiert daran.
von apple gibts nur PPTP + L2TP

Ausserdem sollte man "openVPN" nicht mit SSL-VPN/Microsoft SSTP verwechseln.
AFAIK ist openVPN eine initiative der Linux Gemeinde. Hier wird ein Tunnel über Zertifikate gesichert.
SSL-VPN ist ein Microsoft Produkt, eingebaut in Windows ab Vista

oder sehe ich das falsch ?

[nobody]

Edit/Zusatz:

das ist eh ein Chaos mit der namensgebung:
Sowohl VPN als auch SSL-VPN sind ja reine allgemeinplätze.
Draytek unterstützt was SSL VPN angeht, sowohl
SSL-VPN: ein allgemeinplatz für VPN über SSL transport, Authentifizierung über ein Java applet.
und,
Microsoft SSTP: VPN über SSL-transport, Authentizifierung über ChapV2

[kango_bs]

ev. kommen meine Schwierigkeiten vom IE 8: ich kriege den nicht in den gesicherten Modus (Trotz Kontrolle Benützerkontensteuerung, Änderungen an Sicherheitseinstellungen: Extras-Sicherheit) und obwohl ich ihn als Admin starte. Ich kann remote auf 2930 einloggen, habe die Berechtigung, den Tunnel zu starten, der Download beginnt, er fragt nach dem Speicherort des Zertifikats, dann am Schluss ist Stop.

[nobody]

Schonmal versucht:
1. IP/DNS name des Routers in die zone der "trusted Sites" / "Vertrauenwürdigen Sites" in den internet optionen hinzufügfen,
2. Sicherheitsstufe der trusted Sites auf minimum schieben.

gehts dann ?
Ich habe gerade leider keinen IE8 um das zu testen.

[kango_bs]

1. ja
2. noch nicht
Probiere ich gerne. Danke

[nobody]

habs gerade mal ausprobiert mit IE8
geht nichts:
es geht ein stück weiter, wenn man:
1. TLS 1.0 in den java sicherheitseinstellungen deaktiviert
2. den popupblocker vom IE8 deaktiviert.
aber. dennoch nichts.

Kann sein, dass ein Selbstigniertes Applet (das von draytek ist auch selbstsigniert) sonst nicht ausgeführt wird.
Wenn es selbst bei niedriger sicherheitsstufe + trusted zone nicht ausgeführt wird:
eigenes root zertifikat bauen, eigenes Zertifikat für den Router generieren, dieses für das applet verwenden - weiss aber nicht, ob das geht - das müsste ich noch testen.

Daraus folgt mal wieder:
der von Sun plattgetretene satz: write once, run anywhere, der trifft einfach nicht zu. Java ist durchschnittlich einfach Sch****.
langsam, nicht kompatibel, entweder, zu alt - siehe mein problem/lösung für das MacOSX auf PPC in diesem Beitrag, oder, java ist zu neu, Umgebung ist zu neu.
Wenn der Hersteller nicht ständig nachbessert/die User nicht ständig updaten, dann geht es in den meisten Fällen einfach nicht.

java ->papierkorb.

übrigens, die SSL Applikation (rdp oder vnc, samba) die läuft mit meinem 2950, das war ja das starter-topic in diesem thread
-----
aber, Solange man windows hat: nimm doch einfach den Draytek smart VPN client. Damit geht das SSL VPN mit einem klick. kein langes runterladen, einfach klick und tut.
Nur schade, dass es das nicht für das MacOSX gibt.

Das hier ist geschrieben über SSL VPN mit draytek smart VPN client von der bahnhofskneipe via UMTS. Also wenn es tut, dann ist es schon praktisch.

[kango_bs]

Danke fürs Ausprobieren: damit erspare ich mir und möglicherweise mancher andere sich frustrierende Stunden. Mühsam, dass Draytek mit SSL-VPN als der super einfachen Lösung überall wirbt: SSL-VPN Draytek als Mogelpackung? Dann werde ich mich noch einmal daran machen, die Ports für L2TP zu forwarden.

[nobody]

Warum nimmst Du nicht den Draytek Smart VPN client - damit geht doch alles..... ?

Du solltest es ausserdem lieber nochmals selber testen. Mit aktuellen MacOSX ging das schon.

Tut es mit MacOSX mit dem java applet, und, mit Windows mit dem smart VPN client, dann hast Du doch alles was Du brauchst.

[kango_bs]

Weder Mac OS 10.5.8 noch 10.6.6 laden leider das Java Applet. Und Draytek Smart VPN client behauptet, mit IPSec verbunden zu sein, doch kann ich nichts remote anpingen. Der 2930 sitzt ja hinter einem VDSL-Router; die Ports werden dort weiter geleitet, die Firewallregeln sind angepasst. Ich vermute, NAT könnte das Problem verursachen.