|
|
|||||||
| Series 60 FAQ Fragen rund um die Series 60, hier hoffentlich bereits beantwortet! |
 |
|
|
Themen-Optionen |
|
#1
18. December 2007, 23:31
|
|||
|
|||
|
FAQ/HowTo: Mit einem S60 3rd-Edition Handy ins UNI-VPN
HOWTO: VPN-Verbindung in ein UNI-Wlan-Netz über ein S60-Fähiges Mobiltelefon (3rd-Edition)
Diese Anleitung ist mit Hilfe der hier verlinkten Anleitung entstanden: http://pipip.de/other.php?sub=nokia_vpn Hier wird beschrieben, wie ihr mit einem Wlan-fähigem Symbian Handy der S60-Serie (3rd-Edition) euch in euer UNI-Netz einloggen könnt. Voraussetzung ist dafür, dass euer UNI/FH-Netz mit dem Nokia-VPN-Client kompatibel ist. Wie findet man heraus, ob der Nokia-Client kompatibel ist? Grundsätzlich ist der Client mit dem Cisco-Concentrator-3000 kompatibel. Wird dieser oder ein kompatibler bei euch an der UNI/FH verwendet, was meistens der Fall ist, so habt ihr gute Chancen. Im Zweifelsfall nochmal im örtlichen HRZ nachfragen! Alle folgenden Schritte sind notwendig! Leider muss man sich durch diese komplizierte Anleitung quälen, wenn man ins VPN möchte. Man kann sich nicht von anderen eine Policy schicken lassen, da diese signiert ist und nur für jeweils eine IMEI gültig ist. Welche Software/Datei ist zwingend notwendig? - Nokia VPN-Client für Symbian S60 3rd-Edition - makesis.exe und signsis.exe -> zum Erstellen eine „signierten“ Policy.SIS. Die Policy ist die Datei, in der steht mit wechem VPN-Gateway sich der Client verbinden soll. -3 Konfigurationsdateien (*.pol, *.pkg, *.pin) zum Erstellen einer unsignierten Policy.SIS. Zum signieren wird folgendes Benötigt - Account bei www.symbiansigned.com - DevCertReq.exe zum Erstellen einer „Anforderungsdatei“. Diese Anforderungsdatei wird nach Anmeldung bei www.symbiansigned.com hoch geladen und mal bekommt ein Zertifikat (*.cer) mit diesen man dann unter anderem auch die Policy zertifizieren kann. Macht man das nicht, so kann man die Policy nicht installieren! Die DevCerReq.exe steht auf www.symbiansigned.com zum download bereit. Ihr müsstet jetzt folgende Dateien, zur Erstellung der Policy, haben: - eine *.pol - eine *.pkg - eine *.pin - und die makesis.exe und die signsis.exe - DevCertReq.exe zum erstellen einer Anforderungsdatei Die flogenden werden im Laufe der Anleitung zum Signieren entstehen: - eine *.cer - eine *.csr - eine *.key Erstellung einer UNSIGNIERTEN policy.sis: Kopiert die *.pol, *.pkg, *.pin -Dateien in einen Ordner eurer Wahl. Erstellt eine Text-Datei und benennt diese sofort beim Erstellen in MAKESIS.BAT. Damit erstellt ihr eine sog. Batchdatei. Mit Hilfe dieser könnt ihr ein Programm wie z.B. die „makesis.exe“ ausführen und diese noch mit den notwendigen Parametern versehen. Wenn ihr eure MAKESIS.BAT erstellt habt, dann müsst ihr den Inhalt editieren (rechte Maustaste auf die Datei und bearbeiten). In diese MAKESIS.BAT schreibt ihr folgenden Text: makesis.exe VPN-policy-preshared-Cisco.pkg wenn eure *.pkg anders heißt, dann müsst ihr diese eben so umbenennen. BEVOR ihr die MAKESIS.BAT ausführt, müsst ihr die *.pol editieren! Nicht die *.pkg! Diese sieht meistens so aus: SECURITY_FILE_VERSION: 3 [INFO] VPN-Policy for Nokia Mobile VPN Client v3.0. [POLICY] sa ipsec_1 = { esp encrypt_alg 3 max_encrypt_bits 256 auth_alg 2 identity_remote 0.0.0.0/0 src_specific hard_lifetime_bytes 0 hard_lifetime_addtime 3600 hard_lifetime_usetime 3600 soft_lifetime_bytes 0 soft_lifetime_addtime 3600 soft_lifetime_usetime 3600 } remote 0.0.0.0 0.0.0.0 = { ipsec_1(XX.XX.XX.XX) } inbound = { } outbound = { } [IKE] ADDR: XX.XX.XX.XX 255.255.255.255 MODE: Aggressive SEND_NOTIFICATION: TRUE ID_TYPE: 11 FQDN: GRUPPE (Name der Gruppe für den Zugang ins VPN) GROUP_DESCRIPTION_II: MODP_1024 USE_COMMIT: FALSE IPSEC_EXPIRE: FALSE SEND_CERT: FALSE INITIAL_CONTACT: FALSE RESPONDER_LIFETIME: TRUE REPLAY_STATUS: TRUE USE_INTERNAL_ADDR: FALSE USE_NAT_PROBE: FALSE ESP_UDP_PORT: 0 NAT_KEEPALIVE: 60 USE_XAUTH: TRUE USE_MODE_CFG: TRUE REKEYING_THRESHOLD: 90 PROPOSALS: 1 ENC_ALG: 3DES-CBC AUTH_METHOD: PRE-SHARED HASH_ALG: MD5 GROUP_DESCRIPTION: MODP_1024 GROUP_TYPE: DEFAULT LIFETIME_KBYTES: 0 LIFETIME_SECONDS: 28800 PRF: NONE PRESHARED_KEYS: FORMAT: STRING_FORMAT KEY: 8 PASSWORT (Gruppenpasswort für den Zugang ins VPN) In der *.pol müsst ihr standardmäßig nur die rot markierten Zeilen editieren. Die IP, die an der Stelle XX.XX.XX.XX eingetragen werden muss bekommt ihr durch „anpingen“ des VPN-Gateways aus eurem UNI-Netz. Ich habe mich dabei mit meinem Laptop ins UNI-Netz mit VPN eingeloggtund in der Kommandozeile (Start-_>Ausführen -> cmd) „ping vpngate.uni-musterstadt.de“ eingegeben. Wenn es nicht funktioniert, kann es aber auch sein, dass noch andere Parameter verändert werden müssen. Da müsst ihr euch an euer lokales HRZ wenden und denen die *.pol zeigen. Die werden schon wissen, was man da noch verändern muss :-). Jetzt die *.pol abspeichern und die MAKESIS.BAT ausführen. Es sollte nun eine VPN-policy-preshared-Cisco.sis in eurem Ordner erscheinen. Das ist eurere unsignierte Policy.sis, welche ihr noch nicht auf eurem Handy installieren könnt. Signieren: Zunächst müsst ihr das Programm DevCertRequest.exe installieren. Diese bekommt ihr auch auf www.symbiansigned.com. Soweit ich das sehen konnte gibt es da jetzt auch neue Möglichkeiten zu signieren. Ich beschreibe hier die alte schwierige Variante. Dazu müsst ihr das Programm „Symbian Developer Certificate Request Wizard“ starten, welches ihr gerade eben installiert habt. 1. Im ersten Bild wählt ihr das Ziel für die Anforderungsdatei. 2. Im zweiten Bild müsst ihr auf „No“ klicken und das Ziel für die *.key-datei wählen. Ein passwort muss zwingend eingegeben werden! Dieses Passwort gut merken!!! 3. Im dritten Bild die mit dem Stern markierten Felder ausfüllen 4. Im vierten Bild tragt ihr eure IMEI ein (*#06* im Stand-by-Screen des Handys) und mit einem Klick auf „Add“ alle „Capabilities“ hinzufügen, sodass diese alle in der rechten Spalte stehen. Mit einem Klick auf next hat man dann eine *.csr und eine *.key erzeugt. Jetzt muss man sich auf www.symbiansigned.com registrieren bzw. einloggen und NUR die *.csr datei hochladen. Da müsst ihr euch durchklicken, ich komme im Moment nicht in meinen Account. Es müsste einen Link wie „DevCert Request“ auf der Linken Seite zu sehen sein. Dort kann man die *.csr Hochladen und sich sofort das Zertifikat *.cer runterladen. Jetzt müsste man alle nötigen Dateien im Ordner haben, der aussehen sollte wie folgt: - eine *.pol - eine *.pkg - eine *.pin - eine makesis.exe und eine signsis.exe - eine MAKESIS.BAT - eine VPN-policy-preshared-Cisco.SIS - eine *.cer - eine *.csr - eine *.key Als letztes erstellen wir eine SIGNSIS.BAT wie schon oben die MAKESIS.BAT. In der SIGNSIS.BAT sollte dann folgendes stehen: signsis VPN-policy-preshared-Cisco.SIS VPN-policy-preshared-Cisco_signed.SIS ZERTIFIKATSDATEI.cer SCHLÜSSELDATEI.key PASSWORT_SCHLÜSSELDATEI . VPN-policy-preshared-Cisco.SIS - das ist die unsignierte datei, die wir signieren möchten VPN-policy-preshared-Cisco_signed.SIS - so soll die signierte Zieldatei heissen ZERTIFIKATSDATEI.cer - das von www.symbiansigned.com runtergeladene Zertifikat SCHLÜSSELDATEI.key - die vom DevCert-programm erstellte Key-datei PASSWORT_SCHLÜSSELDATEI - das ist das Passwort, welches ihr in Bild 2 „Devcert_2.jpg“ eingegeben habt. Die SIGNSIS.BAT speichern und ausführen. Nach dem Ausführen sollte nun die lang ersehnte VPN-policy-preshared-Cisco_signed.SIS im Ordner erscheinen, welche ihr nun auf euer Handy kopieren und installieren könnt. Anschließend noch den Nokia-VPN client auf euer Handy installieren. Dabei ist zu beachten, das die Installation wahrscheinlich abbrechen wird, aufgrund des Fehlers "Zertifikat abgelaufen". Dann sollte man die Systemuhr für die Installation des Clients ein paar Monate (von heute aus) zurückstellen, den Client installieren und die Uhr wieder auf die aktuelle Zeit zurückdrehen. Jetzt muss man noch den Client auf dem Handy Konfigurieren. Unter System -> Einstellungen ->Verbindung -> VPN -> VPN-Zugangspunkte, kann man einen Zugangspunkt erstellen. Sobald man auf VPN-Zugangspunkte klickt wird man gefragt ob man einen Zugangspunkt erstellen möchte. Dies bejaht man und erstellt somit einen VPN-Zugangspunkt. Im Normalfall müssen nur die mit * gekennzeichneten Einträge geändert werden. Den Namen des Zugangspunktes gut merken!! Unter VPN-Richtlinie sollte man nur eine Richtlinie haben, die zur Auswahlsteht. Sobald man „Zurück“ drückt, ist der Zugangspunkt erstellt und man kann ihn nicht mehr editieren! Also alles gut Kontrollieren! ACHTUNG! Bei einigen Geräten gibt es einen fetten BUG: Der erstellte VPN-Zugangspunkt taucht nicht in der VPN-Zugangspunkt-Liste auf. Ebenfalls ist dieser nicht in der allgemeinen Zugangspunkt-Liste zu sehen. Erst wenn man eine Verbindung ins Internet aufbauen möchte, dann wird der zuvor erstellte Zugangspunkt sichtbar. Diesen wählt man dann aus und es sollte ein Fenster aufpoppen in welches man User und Passwort eingeben muss. Das Passwort kann nicht gespeichert werden! Fehlerdiagnose: Taucht ein solches Fenster nicht auf, so meldet sich der Client häufig mit einer Fehlermeldung. Danach sollte man nochmal unter System -> Einstellungen ->Verbindung -> VPN -> VPN-Verwaltung->VPN-Protokoll nachschauen, was für Fehler aufgetaucht sind. Meistens liegt es an der Falsch eingetragenen IP, Gruppe oder Gruppenpasswort. Hat man einen Fehler gemacht, so muss man wieder eine SIS erstellen, diese signieren, wieder aufs Handy kopieren und einen neuen Zugangspunkt erstellen. Wenn alles gut geht, dann kann man gleich beim ersten Durchlauf ins UNI-Netz. Bei mir hat es etliche Durchläufe gebraucht, bis ich im UNI-Netz war. Also Anleitung in aller Ruhe durchgehen ,dann sollte es klappen. Viel Glück und Erfolg Grüße Michael 
|
| Sponsored Links |
|
| Themen-Optionen | |
|
|
