Das Update auf Mac OS X Snow Leopard wurde heute geliefert und die Installation war nach entspannten 45 Minuten ohne weitere Benutzereingriffe erledigt.
Auf den ersten Blick gab es eigentlich keine sichtbaren Änderungen, aber das war auch das was ich erwartet habe.
Mein erster Test galt dem eingebauten VPN-Client, der unter 10.6 neben dem schon vorher unterstützten PPTP und L2TPoverIPSec nun auch nativ das Cisco IPSec-VPN unterstützt. Das ist vor allem deshalb interessant, da Cisco den IPSec-Client nicht weiterentwickelt und deren Präferenz der AnyConnect-Client ist, der z.Zt. aber nur SSL-VPNs unterstützt.
Die Konfiguration ist recht einfach:
In den Netzwerk-Eigenschaften eine neue Verbindung anlegen Cisco VPN auswählen, VPN-Server-Adresse, Username konfigurieren und unter den Identifizierungseinstellungen die Gruppe mit PSK bzw. das Zertifikat konfigurieren:
Nachdem man das VPN verbunden hat bekommt man in der Menüleiste auf Wunsch ein Icon eingeblendet:
Ein paar Einschränkungen gegenüber dem Cisco VPN-Client sind mir aber aufgefallen:
- Es gibt keine Möglichkeit Backup-Server einzutragen.
- Keine eingebauten Statistiken
- Keine Mutual Group-Authentication
Auch mehrere Adressen im Feld “Serveradresse” gehen nicht.
Wenn die VPN-Gegenstelle eine Cisco ASA ist, dann ist diese Authentifizierung eine recht einfache Methode, um Man-in-the-Middle-feste VPNs hinzubekommen, was mit PSKs und digitalen Zertifikaten alleine etwas aufwendiger ist. Diese Einschränkung ist IMHO die wichtigste, die gegen den eingebauten Client spricht. Zumindest meine bevorzugte VPN-Art ist immer noch IPSec gegen die ASA wenn es um Remote-Access geht.
Glücklicherweise läuft der original Cisco-VPN-Client auch noch unter Snow Leopard, so dass man noch nicht auf den eingebauten Client wechseln muss.
danke für die Anleitung, ich habe leider noch kein Snow Leopard verfügbar.
Mich würde daher interessieren ob die Anmeldung mit RSA SecureID Token (Hardwaretoken) auch supportet wird.
Am iPhone gibt es keine Probleme damit.
RSA habe ich hier nicht im Einsatz. Da der wichtigste Teil aber auf der ASA konfiguriert wird, würde ich erstmal keine Probleme erwarten.
Hei, super Anleitung. Danke ganz herzlich!
Ich verzichte gerne auf Statistiken und weiteres – der Cisco-Client hat nach dem Update auf Snow-Leopard nicht mehr funktioniert… da lob ich mir das Dingens 😉
Gruß
Angie
komisch, bei mir funktioniert auch noch der original Cisco-Client. Ich musste ihn allerdings neu installieren. Aktuelle Version verwendet?
Ja, #funzt – da war auch hier nur ein re-install notwendig.
Schöne Anleitung! 🙂
Leider schaffe ich es nicht, ein Zertifikat auszuwählen.
Sieht bei mir so aus:
3. Zertifikat wählen -> “Kein Rechner-Zertifikat” … usw.
Beim Admin gemeldet, Zertifikat bekommen, ins Schlüsselbund importiert -> immer noch “Kein Rechner-Zertifikat”
Zertifikat auf “immer vertrauen” gesetzt und für alle Anwendungen verfügbar gemacht … leider nix.
Hat noch jemand eine Idee?
Danke&VG!
Hallo Karsten!
Ich würde auch gerne den im SL eingebauten VPN Client verwenden, aber leider klappt die IPsec-Verbindung zu meiner ASA5505 nicht. Hab im Internet schon fest rumgesucht, aber keine brauchbaren Informationen für dieses Problem gefunden. Ich habe das Gefühl, dass die ASA ein paar spezielle Einstellungen braucht. Gibt es irgendwo eine funktionierende Konfig für die ASA?
Beste Grüsse
Thomas
Sofern Du keine Hybrid-Auth machst, sollte es mit der gleichen Konfiguration laufen, mit der auch der Cisco-Client funktioniert. Ansonsten auf der ASA debuggen.
Hallo,
interessensante Website und toller Artikel.
Ich plage mich gerade mit einem VPN von Vodafone/Arcor rum, leider bin ich da noch nicht erfolgreich gewesen. Es gibt zwar eine Anleitung zur Einrichtung von einem Vodafone-Mitarbeiter, der VPN-Zugang unter MacOS wird aber nicht offiziell unterstützt.
Ich bin nicht gerade der Experte, was Zertifikate und VPN betrifft, dashalb kann es sein, dass ich evtl. nicht die richtige Terminologie benutze. Ich lass mich aber gern korrigieren. 🙂
Ich hatte anfangs auch das Problem, dass ich das Rechnerzertifikat nicht auswählen konnte, wie oben Mahatmac geschrieben hat. Allerdings ist sein Kommentar noch aus 2009 so dass die Ursache evtl. eine andere ist.
Laut meiner Anleitung soll man in der Schlüsselbundverwaltung einen Zertifikatsrequest erstellen und an Vodafone schicken, man bekommt dann das Rechner-Zertifikat zurück und muss dieses importieren.
Für die Erstellung des Zertifikatsrequests sollte man in der Schlüsselbundverwaltung des Schlüsselbund “System” als Standard setzen und dann das Zeritifikat erstellen.
Allerdings gibt es – wie ich jetzt mit Hilfe des Apple-Support herausbekommen habe – eine Bug in MacOS 10.6.4. Als Benutzer mit Admin-Rechten kann man das Schlüsselbund “System” nicht als Standard setzen. Die Funktion ist zwar im Kontexmenü verfügbar, aber sie hat keinerlei Auswirkungen. Der Apple-Support-Mitarbeiter hat das gleiche auf MacOS 10.6.3 probiert, wo es funktioniert, anschließend auf eine jungfräulichen 10.6.4, wo dann der gleiche Fehler auftrat.
Da es aber keinerlei Fehlermeldung gab, ist mir gar nicht gleich aufgefallen, dass das nicht funktioniert hat. man erkennt das nur daran, dass nach wie vor das Schlüsselbund “Anmeldung” fett ist und icht “System”.
Das Zertifikat, dass ich dann zurück bekam, konnte ich zwar importieren aber bei der Konfiguration der VPN-Verbindung konnte ich es nicht als Rechner-Zertifikat auswählen mit eben jener Fehlermeldung, dass keine Rechner-Zertifikate vorhanden seien.
Der Workaround:
– den root-Benutzer aktivieren
– als root anmelden
– Zertifikatsrequest hier erstellen
Das Zertificat, dass ich anschließend von Vodafone zurück bekam, konnte ich auch als Rehcner-Zertifikat auswählen, auch in einem anderen Benutzer.
Leider bin ich jetzt mit der Anleitung durch und kann trotzdem keine Verbindung zum VPN-Server herstellen. woran das jetzt liegt, weiß der Himmel.
Ich werde mal sehen, ob ich den Autor der Anleitung kontaktieren kann.
Offtopic:
@Karsten: Die Screenshots sind sehr professionell gemacht. Mich würde interessieren, mit welcher Software Du die bearbeitet hast und ob die diese Objekte zur Nummerierung und Erläuterung zur Verfügung stellt.
Ciao
Sven
Die Screenshots habe ich mit LittleSnapper gemacht:
http://www.realmacsoftware.com/littlesnapper/
Für manche Sachen benutze ich aber auch Voila:
http://www.globaldelight.com/voila/voila_overview.html