Der Cisco VPN-Client im MacOS X 10.6 Snow Leopard – Teil 2

Posted by on September 4, 2009 · Hinterlasse einen Kommentar 

In etlichen Mac-Online-Publikationen (u.a. maclife, Macbug) kann man lesen, dass der eingebaute VPN-Client nur IPSec over TCP, aber kein IPSec over UDP unterstützt.
Das ist in dieser Form aber falsch. Im Moment bin ich hinter einem NAT-Gateway und connecte mich mit dem SL-Client auf einen IOS-Router (12.4(15)T9) als IPSec-Gateway (die 89.246.26.242 ist dabei meine DSL-IP):

c2811>sh crypto session remote 89.246.26.242
Crypto session current status

Interface: Virtual-Access2
Username: karsten.iwen
Profile: vpn-ra
Group: VPN-RA
Assigned address: 10.10.10.1
Session status: UP-ACTIVE
Peer: 89.246.26.242 port 4500
  IKE SA: local a.b.c.d/4500 remote 89.246.26.242/4500 Active
  IPSEC FLOW: permit ip 10.10.0.0/255.255.0.0 host 10.10.10.1
        Active SAs: 2, origin: crypto map

Deutlich ist zu erkennen, dass hier das standardkonforme IPSec over UDP (NAT-Traversal) verwendet wird. Ob das Cisco-proprietäre IPSec over UDP unterstützt wird kann ich nicht sagen. Aber wer das einsetzt lebt vermutlich sowieso noch im Jahr 1999 und glaubt immer noch, dass sich ATM nächstes Jahr durchsetzt … ;-)

Filed under Apple Macintosh, Cisco - Security · Tagged with , , , ,

Der Cisco VPN-Client im MacOS X 10.6 Snow Leopard

Posted by on August 31, 2009 · 10 Kommentare 

Das Update auf Mac OS X Snow Leopard wurde heute geliefert und die Installation war nach entspannten 45 Minuten ohne weitere Benutzereingriffe erledigt.
Auf den ersten Blick gab es eigentlich keine sichtbaren Änderungen, aber das war auch das was ich erwartet habe.
Mein erster Test galt dem eingebauten VPN-Client, der unter 10.6 neben dem schon vorher unterstützten PPTP und L2TPoverIPSec nun auch nativ das Cisco IPSec-VPN unterstützt. Das ist vor allem deshalb interessant, da Cisco den IPSec-Client nicht weiterentwickelt und deren Präferenz der AnyConnect-Client ist, der z.Zt. aber nur SSL-VPNs unterstützt.

Die Konfiguration ist recht einfach:

In den Netzwerk-Eigenschaften eine neue Verbindung anlegen Cisco VPN auswählen, VPN-Server-Adresse, Username konfigurieren und unter den Identifizierungseinstellungen die Gruppe mit PSK bzw. das Zertifikat konfigurieren:
CiscoVPN1
CiscoVPN2

Nachdem man das VPN verbunden hat bekommt man in der Menüleiste auf Wunsch ein Icon eingeblendet:
CiscoVPN3

Ein paar Einschränkungen gegenüber dem Cisco VPN-Client sind mir aber aufgefallen:

  • Es gibt keine Möglichkeit Backup-Server einzutragen.

    • Auch mehrere Adressen im Feld “Serveradresse” gehen nicht.

  • Keine eingebauten Statistiken
  • Keine Mutual Group-Authentication

    • Wenn die VPN-Gegenstelle eine Cisco ASA ist, dann ist diese Authentifizierung eine recht einfache Methode, um Man-in-the-Middle-feste VPNs hinzubekommen, was mit PSKs und digitalen Zertifikaten alleine etwas aufwendiger ist. Diese Einschränkung ist IMHO die wichtigste, die gegen den eingebauten Client spricht. Zumindest meine bevorzugte VPN-Art ist immer noch IPSec gegen die ASA wenn es um Remote-Access geht.

Glücklicherweise läuft der original Cisco-VPN-Client auch noch unter Snow Leopard, so dass man noch nicht auf den eingebauten Client wechseln muss.

Filed under Apple Macintosh, Cisco - Security · Tagged with , , , ,

Schlechtes Timing

Posted by on August 28, 2009 · 3 Kommentare 

Warum kommt diese Mail von Amazon gerade heute???

Guten Tag,

wir versuchen noch immer, den / die folgenden Artikel (Bestellnummer #303-2568643-4325114), die Sie am August 25 2009 bestellt haben, zu besorgen:

“Mac OS X 10.6 Snow Leopard Upgrade deutsch”
http://www.amazon.de/gp/product/B001AZ3Y66

Derzeit könen wir leider keinen Liefertermin nennen. Sobald wir ein aktuelles voraussichtliches Lieferdatum haben, werden wir Sie umgehend per E-Mail informieren.

Besteht Ihr Interesse an diesem Artikel weiter? Wir versuchen gerade, den Artikel noch für Sie zu beziehen. Bitte haben Sie noch ein wenig Geduld. Wir können allerdings nicht garantieren, dass der Artikel noch erhältlich ist.

Müssen wir Apple-User uns jetzt Sorgen machen? ;-)

Filed under Allgemeines, Apple Macintosh · Tagged with ,

Apple Mac OS 10.6 Snow Leopard

Posted by on August 25, 2009 · 1 Kommentar 

Vorgestern hat Apple “die Katze aus dem Sack gelassen”. Snow Leopard kommt am 28. August. Die wichtigsten Punkte zu diesem Update:

  • Snow Leopard läuft nur auf Intel-Macs. Die PowerPC-Plattform wird nicht unterstützt.
  • Für Leopard-Benutzer kostet das Update 29,- Euro

  • Wer noch Tiger benutzt kann für EUR 169,- das Mac Box Set kaufen. Dies besteht aus Snow Leopard und den aktuellen Versionen von iWork und iLife.

  • Wer mehr als einen Mac hat, kann die Family-Packs kaufen. Für EUR 49,- bzw. EUR 229,- darf man diese auf bis zu fünf privaten MACs installieren.

Passend dazu gibt es auch zwei drei neue “Get a Mac”-Werbespots. Vor allem der “Top of the Line” ist einfach nur klasse!

Filed under Apple Macintosh · Tagged with ,