Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-10 Diskussionsfäden Julian Thomas

On 05/10/12 00:43, Ulrich Graef wrote:

Am 15. Mai, nächsten Dienstag?

Ich mache mal.


Ich mache auch mal.
Vortrag heisst ganz simpel  "Oracle Sun Ray's und VPN"

Gruss

Julian



On 09.05.12 18:39, Julian Thomas wrote:

Hallo,

ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend...

Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?)
einen Vortrag über mein Setup und wir diskutieren Alternativen, 
Erweiterungen,
Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas 
klarer.

Und ich hätte auch noch die ein oder andere Frage zu meinem Setup.

Dann müssen wir das nicht alles über die Mailingliste klären - und
es gibt ja auch von anderer Seite her Interesse an einem Vortrag über 
das Thema.


Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec 
und VPN im

Allgemeinem sagen kann.

Viele Grüße

Julian (der gerade von der Uni aus via OVDC und VPN auf dem 
Sunray-Server zuhause arbeitet ;) )


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug





___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Ulrich Graef

Am 15. Mai, nächsten Dienstag?

Ich mache mal.


On 09.05.12 18:39, Julian Thomas wrote:

Hallo,

ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend...

Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?)
einen Vortrag über mein Setup und wir diskutieren Alternativen, 
Erweiterungen,
Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas 
klarer.

Und ich hätte auch noch die ein oder andere Frage zu meinem Setup.

Dann müssen wir das nicht alles über die Mailingliste klären - und
es gibt ja auch von anderer Seite her Interesse an einem Vortrag über 
das Thema.


Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec 
und VPN im

Allgemeinem sagen kann.

Viele Grüße

Julian (der gerade von der Uni aus via OVDC und VPN auf dem 
Sunray-Server zuhause arbeitet ;) )


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug



--
Ulrich Graef / Principal Sales Consultant / Phone: + 49 6103 752 359
ORACLE Deutschland B.V.&  Co. KG / Amperestr. 6 / 63225 Langen
http://www.oracle.com

ORACLE Deutschland B.V.&  Co. KG
Hauptverwaltung: Riesstr. 25, D-80992 Muenchen
Registergericht: Amtsgericht Muenchen, HRA 95603
GeschaeftsfŸhrer: Juergen Kunz

Komplementaerin: ORACLE Deutschland Verwaltung B.V.
Hertogswetering 163/167, 3543 AS Utrecht, Niederlande
Handelsregister der Handelskammer Midden-Niederlande, Nr. 30143697
GeschaeftsfŸhrer: Alexander van der Ven, Astrid Kepper, Val Maher

___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Matthias Pfützner
Hatten wir einen Verantwortlichen benannt?

Denn das ist in 6 Tagen... :-) Wir sollten uns also um die Räume kümmern, und
auch die Einladung rausschicken... :-)

Matthias

Du (Volker A. Brandt) schreibst:
> Hi Matthias!
> 
> 
> > Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht
> > sicher...
> >
> > Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht?
> 
> Wir hatten den 15.05. in Langen ausgemacht.  Leider kann ich aber nicht
> kommen (Kundentermin) und habe mich deshalb auch nicht weiter darum
> gekümmert.
> 
> 
> Viele Grüße -- Volker
> -- 
> 
> Volker A. Brandt   Consulting and Support for Oracle Solaris
> Brandt & Brandt Computer GmbH   WWW: http://www.bb-c.de/
> Am Wiesenpfad 6, 53340 Meckenheim Email: v...@bb-c.de
> Handelsregister: Amtsgericht Bonn, HRB 10513  Schuhgröße: 46
> Geschäftsführer: Rainer J. H. Brandt und Volker A. Brandt
> 

-- 
Matthias Pfützner | Tel.: +49 700 PFUETZNER  | An den Scheidewegen des
Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Lebens stehen keine Weg-
D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487  | weiser.
Germany  | http://www.pfuetzner.de/matthias/ | (Charlie Chaplin)
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Volker A. Brandt
Hi Matthias!


> Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht
> sicher...
>
> Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht?

Wir hatten den 15.05. in Langen ausgemacht.  Leider kann ich aber nicht
kommen (Kundentermin) und habe mich deshalb auch nicht weiter darum
gekümmert.


Viele Grüße -- Volker
-- 

Volker A. Brandt   Consulting and Support for Oracle Solaris
Brandt & Brandt Computer GmbH   WWW: http://www.bb-c.de/
Am Wiesenpfad 6, 53340 Meckenheim Email: v...@bb-c.de
Handelsregister: Amtsgericht Bonn, HRB 10513  Schuhgröße: 46
Geschäftsführer: Rainer J. H. Brandt und Volker A. Brandt
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Matthias Pfützner
Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht
sicher...

Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht?

Matthias

Du (Julian Thomas) schreibst:
> Hallo,
>
> ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend...
>
> Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?)
> einen Vortrag über mein Setup und wir diskutieren Alternativen, 
> Erweiterungen,
> Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer.
> Und ich hätte auch noch die ein oder andere Frage zu meinem Setup.
>
> Dann müssen wir das nicht alles über die Mailingliste klären - und
> es gibt ja auch von anderer Seite her Interesse an einem Vortrag über das 
> Thema.
>
> Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec und 
> VPN im
> Allgemeinem sagen kann.
>
> Viele Grüße
>
> Julian (der gerade von der Uni aus via OVDC und VPN auf dem Sunray-Server 
> zuhause arbeitet ;) )
>
>

-- 
Matthias Pfützner | Tel.: +49 700 PFUETZNER  | An den Scheidewegen des
Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Lebens stehen keine Weg-
D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487  | weiser.
Germany  | http://www.pfuetzner.de/matthias/ | (Charlie Chaplin)
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Julian Thomas

Hallo,

ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend...

Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?)
einen Vortrag über mein Setup und wir diskutieren Alternativen, 
Erweiterungen,

Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer.
Und ich hätte auch noch die ein oder andere Frage zu meinem Setup.

Dann müssen wir das nicht alles über die Mailingliste klären - und
es gibt ja auch von anderer Seite her Interesse an einem Vortrag über 
das Thema.


Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec 
und VPN im

Allgemeinem sagen kann.

Viele Grüße

Julian (der gerade von der Uni aus via OVDC und VPN auf dem 
Sunray-Server zuhause arbeitet ;) )


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Matthias Pfützner
Ergänzung:

Und wir sind uns auch einig, daß das keine gute Idee ist, und daher also so,
wie es jetzt implementiert ist, bleiben wird.

Denn:

Wenn nur pre-shared keys möglich wären, ohne user und ohne pw, dann könnte so
JEDER, der die Sun Ray klaut, problemlos in ein Firmennetzwerk
reinkommen. Daher ist eine zusätzliche interaktive, nutzerabhängige
Authentifizierung absolut unumgänglich.

Liebe Grüße,
Matthias

Du (Matthias Pfützner) schreibst:
> Und hier ist die Antwort des Firmwareentwicklers:
> 
> > It's possible to configure preshared only through the Sun Ray GUI, but
> > it's never been tested on a Cisco gateway. I think it was there to
> > support Nortel VPN gateways, because that's the mode they used. Have the
> > customer give it a try to see if it works.
> > 
> > My guess is that it won't work, by the way. The code is hardwired to do the
> > Xauth transaction.
> 
> Gruß,
> Matthias
> 
> Ich (Matthias Pfützner) schrieb:
> > Julian,
> > 
> > ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
> > kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
> > Antwort da ist, gebe ich Bescheid!)
> > 
> > Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit 
> > über
> > 4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
> > sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" 
> > nicht
> > mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
> > bin schon sehr gespannt...):
> > 
> > [sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
> > traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
> > packets
> >  1  smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9)  0.732 ms  0.546 ms
> >  0.376 ms
> >  2  129.157.42.6 (129.157.42.6)  0.688 ms  0.651 ms  0.393 ms
> >  3  65.250.18.73 (65.250.18.73)  1.485 ms  1.592 ms  1.555 ms
> >  4  68.137.134.142 (68.137.134.142)  123.363 ms  123.340 ms  122.809 ms
> >  5  smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37)  138.871 ms  138.583 
> > ms
> >  138.581 ms
> >  6  smuscobrm04r98-po-1.central.sun.com (10.0.20.241)  138.846 ms  138.829 
> > ms
> >  139.062 ms
> >  7  brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134)  138.813 ms  
> > 138.823
> >  ms  138.765 ms
> >  8  * * *
> >  9  * * *
> > 10  ge-6-3.car1.Denver1.Level3.net (4.53.0.121)  175.103 ms  167.223 ms
> > 359.997 ms
> > 11  vlan52.ebr2.Denver1.Level3.net (4.69.147.126)  160.641 ms  156.272 ms
> > 168.104 ms
> > 12  ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62)  165.824 ms  165.863 ms
> > 173.011 ms
> > 13  ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134)  165.642 ms  165.715 ms
> > 165.600 ms
> > 14  dtag (4.68.62.222)  190.775 ms  191.806 ms  191.711 ms
> > 15  da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141)  276.302 ms  277.843 ms  
> > 276.777
> > ms
> > 16  217.0.77.49 (217.0.77.49)  272.474 ms  272.994 ms  272.888 ms
> > 17  p5DDCD1CF.dip.t-dialin.net (93.220.209.207)  289.695 ms !X  289.892 ms 
> > !X
> > 289.824 ms !X
> > [sr1-efra05-04: home/mpfuetzn] {2} % 
> > 
> > Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
> > Telekom...
> > 
> > Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!
> > 
> > Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
> > Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
> > aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
> > nutzen können...
> > 
> > Freut mich, daß mein Hinweis Dir geholfen hat!
> > 
> > Matthias
> > 
> > Du (Julian Thomas) schreibst:
> > >
> > > Hallo,
> > >
> > > ersteinmal vielen Dank für die schnelle Antwort, Matthias.
> > > Die Sache mit dem Usernamen und dem Passwort
> > > war der entscheidende Denkanstoss.
> > >
> > > Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router 
> > > fürs 
> > > DSL.
> > >
> > > Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
> > > Da ich die User und Passwörter im Cisco-Router anlegen muss,
> > > wollte ich mir das sparen.
> > >
> > > Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
> > > (VPN-Mode auf pre-shared stellen, Username und Passwort einfach 
> > > leerlassen)
> > >
> > > Das SunRay-Config-GUI lässt als
> > > VPN-Modus "pre-shared", "xauth" und "hybrid" zu.
> > > Daher dachte ich, "pre-shared" auswählen, Username und Passwort 
> > > leerlassen,
> > > würde zum Ziel führen. Das geht offensichtlich so nicht.
> > > Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
> > > ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, 
> > > oder 
> > > das
> > > ein Bug (Cisco oder Sunray) ist.
> > >
> > > Ich habe nun die User im Cisco-Router angelegt und den entsprechend 
> > > eingestellt,
> > > dass er eine Authentifizierung mit Username und Passwort verlangt,
> > > im Sunray-GUI-Menü "xauth" als VPN-Mode eingestellt, die 
> > > Netzwerk-Ein

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Michael Gottwald

Hi,

das deckt sich mir meinen Erfahrungen: Ich habe meinen SunRay Server 
seit Dezember unter Solaris 11 laufen.
Die Installation war weitestgehend die gleiche wie unter 
http://wiki.sun-rays.org/index.php/SRS_5.1_on_Solaris_11_Express 
beschrieben. Hier holpert es allerdings doch noch ziemlich und das ist 
der Grund warum ich auf VDI für Solaris 11 warte.


Ein Problem mit "verlorenen" Sessions habe ich nicht, wobei ich immer 
SunRay-Karten verwende. - Ohne Karten ist es so wie von Matthias 
beschrieben.


Grüße
Michael

Am 09.05.12 18:04, schrieb Matthias Pfützner:

Christian,

unten Fragen...

Du (christian.eickh...@oracle.com) schreibst:

Hallo Ihr zwei,

meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut, nur 
kann ich
einen verriegelten Bildschirm nicht mehr verbinden:

SunRay Start zeigt Anmeldebildschirm - okay
User meldet sich an - okay
User kann arbeiten - okay
GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm 
bekommen.

Falsch! Nur im "Non-Smart-Card-Mode", denn nicht die Sun Ray wird gelockt,
sondern die Session. Und im Non-Smart-card-Mode ist die Session an eine Sunray
gebunden, aber auch nur solange, bis die Session "woandershin"
verschwindet. Bei den In-Oracle Installationen ist das nach etwa 5 Minuten der
Fall, und dann muß ich mich da auf dem ganz normalen Session Login neu wieder
anmelden, und dabei könnte ich mich auch als ein ganz anderer User wieder
anmelden...


Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt - 
okay, keine Sicherheit mehr :-)

Dein Problem muß woanders liegen... :-)


Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese 
verriegelt wird - Dat is nich gut!

Auch falsch! Du solltest einen ganz normalen Login-Screen sehen, und Dich da
einloggen können. Wenn es unter Deinem Namen eine Session gibt, sollte die
dann freigeschaltet werden (ja, auch der ScreenLock!).


Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.

Das verstehe ich nicht, was da behoben sein soll...


Nun zu VPN:

Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige Umgebung 
erstellen konnte.

Thomas? Julian!


Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router 
eine Umgebung aufbauen kann.

Wohl schon! Du brauchst aber irgendwie VPN...


Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und 
anschließend zum SunRay
Server geroutet werden.

Ja, ich denke, daß ist genau das, was Julian gemacht hat!

Bei Julian ist das aber getrennt, VPN und DSL (obwohl, auch Cisco bietet
kombinierte Geräte an!) an zwei Geräten...

Julian, Du sagtest doch, daß Du nun auch eine Fritz!Box hast. Hast Du da schon
mal Fritz!Box VPN probiert? Solte, denke ich, auch gehen:

http://www.avm.de/vpn


Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?

Hä? Was willst Du in der Zone betreiben? Und. Das "N" in VPN steht für
Netzwerk, Du braucht also schon ein ganzes Netzwerksegment, daß Du via VPN mit
irgendetwasx anderem verbinden willst, entweder nur ein Device (wie z.B. die
Sun Ray, oder einen PC) oder auch ein ganzes Netzwerk (davon haben wir hier
aber noch nicht gesprochen, und ist im Kontext Sun ray auch eher
unwahrscheinlich).


Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
Können Thomas's Erkenntnisse übertragen werden?

Julians...


An welcher Stelle kann ich nun sinnvoll einsteigen?

Vorschlag:
   Solaris 11 Zone für VPN erstellen
   OpenVpn Installieren
   Test mit OpenVpn Client vom Laptop zur VPN Zone

Soll dann die Zone den Router ins Hausnetz bei Dir spielen? Ich verstehe noch
nicht so ganz, was Du wie aufbauen willst...


   ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
   Routing Konfigurieren
   ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay Server

Ah ja, also doch, die Zone als VPN Gateway...


   Konfiguration von VPN für die SunRay Client Firmware
   Verbindung zur VPN Zone mit Routing zum SunRay Server

Ersetze begrifflich "VPN Zone" als "VPN Gateway, berieben in einer Solaris
Zone", dann wird es uns etwas klarer, was Du möchtest... Könnte wohl schon so
gehen, wie Du es beschrieben hast...

Matthias


Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.

Gruß
Christian

On 09.05.2012 08:51, Matthias Pfützner wrote:

Julian,

ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)

Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):

[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to p

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Matthias Pfützner
Christian,

unten Fragen...

Du (christian.eickh...@oracle.com) schreibst:
> Hallo Ihr zwei,
>
> meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut, 
> nur kann ich
> einen verriegelten Bildschirm nicht mehr verbinden:
>
> SunRay Start zeigt Anmeldebildschirm - okay
> User meldet sich an - okay
> User kann arbeiten - okay
> GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm 
> bekommen.

Falsch! Nur im "Non-Smart-Card-Mode", denn nicht die Sun Ray wird gelockt,
sondern die Session. Und im Non-Smart-card-Mode ist die Session an eine Sunray
gebunden, aber auch nur solange, bis die Session "woandershin"
verschwindet. Bei den In-Oracle Installationen ist das nach etwa 5 Minuten der
Fall, und dann muß ich mich da auf dem ganz normalen Session Login neu wieder
anmelden, und dabei könnte ich mich auch als ein ganz anderer User wieder
anmelden...

> Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt - 
> okay, keine Sicherheit mehr :-)

Dein Problem muß woanders liegen... :-)

> Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese 
> verriegelt wird - Dat is nich gut!

Auch falsch! Du solltest einen ganz normalen Login-Screen sehen, und Dich da
einloggen können. Wenn es unter Deinem Namen eine Session gibt, sollte die
dann freigeschaltet werden (ja, auch der ScreenLock!).

> Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.

Das verstehe ich nicht, was da behoben sein soll...

> Nun zu VPN:
>
> Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige 
> Umgebung erstellen konnte.

Thomas? Julian!

> Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router 
> eine Umgebung aufbauen kann.

Wohl schon! Du brauchst aber irgendwie VPN...

> Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und 
> anschließend zum SunRay
> Server geroutet werden.

Ja, ich denke, daß ist genau das, was Julian gemacht hat!

Bei Julian ist das aber getrennt, VPN und DSL (obwohl, auch Cisco bietet
kombinierte Geräte an!) an zwei Geräten...

Julian, Du sagtest doch, daß Du nun auch eine Fritz!Box hast. Hast Du da schon
mal Fritz!Box VPN probiert? Solte, denke ich, auch gehen:

http://www.avm.de/vpn

> Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?

Hä? Was willst Du in der Zone betreiben? Und. Das "N" in VPN steht für
Netzwerk, Du braucht also schon ein ganzes Netzwerksegment, daß Du via VPN mit
irgendetwasx anderem verbinden willst, entweder nur ein Device (wie z.B. die
Sun Ray, oder einen PC) oder auch ein ganzes Netzwerk (davon haben wir hier
aber noch nicht gesprochen, und ist im Kontext Sun ray auch eher
unwahrscheinlich).

> Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
> Können Thomas's Erkenntnisse übertragen werden?

Julians...

> An welcher Stelle kann ich nun sinnvoll einsteigen?
>
> Vorschlag:
>   Solaris 11 Zone für VPN erstellen
>   OpenVpn Installieren
>   Test mit OpenVpn Client vom Laptop zur VPN Zone

Soll dann die Zone den Router ins Hausnetz bei Dir spielen? Ich verstehe noch
nicht so ganz, was Du wie aufbauen willst...

>   ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
>   Routing Konfigurieren
>   ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay 
> Server

Ah ja, also doch, die Zone als VPN Gateway...

>   Konfiguration von VPN für die SunRay Client Firmware
>   Verbindung zur VPN Zone mit Routing zum SunRay Server

Ersetze begrifflich "VPN Zone" als "VPN Gateway, berieben in einer Solaris
Zone", dann wird es uns etwas klarer, was Du möchtest... Könnte wohl schon so
gehen, wie Du es beschrieben hast...

   Matthias

> Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.
>
> Gruß
>Christian
>
> On 09.05.2012 08:51, Matthias Pfützner wrote:
>> Julian,
>>
>> ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
>> kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
>> Antwort da ist, gebe ich Bescheid!)
>>
>> Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
>> 4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
>> sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" nicht
>> mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
>> bin schon sehr gespannt...):
>>
>> [sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
>> traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
>> packets
>>   1  smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9)  0.732 ms  0.546 ms
>>   0.376 ms
>>   2  129.157.42.6 (129.157.42.6)  0.688 ms  0.651 ms  0.393 ms
>>   3  65.250.18.73 (65.250.18.73)  1.485 ms  1.592 ms  1.555 ms
>>   4  68.137.134.142 (68.137.134.142)  123.363 ms  123.340 ms  122.809 ms
>>   5  smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37)  138.871 ms  138.583 
>> ms
>>   138.581 ms

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden christian . eickhoff

Hallo Ihr zwei,

meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut, nur 
kann ich
einen verriegelten Bildschirm nicht mehr verbinden:

SunRay Start zeigt Anmeldebildschirm - okay
User meldet sich an - okay
User kann arbeiten - okay
GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm 
bekommen.
Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt - 
okay, keine Sicherheit mehr :-)
Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese 
verriegelt wird - Dat is nich gut!

Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.


Nun zu VPN:

Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige Umgebung 
erstellen konnte.
Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router 
eine Umgebung aufbauen kann.

Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und 
anschließend zum SunRay
Server geroutet werden.
Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?
Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
Können Thomas's Erkenntnisse übertragen werden?
An welcher Stelle kann ich nun sinnvoll einsteigen?

Vorschlag:
  Solaris 11 Zone für VPN erstellen
  OpenVpn Installieren
  Test mit OpenVpn Client vom Laptop zur VPN Zone
  ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
  Routing Konfigurieren
  ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay Server

  Konfiguration von VPN für die SunRay Client Firmware
  Verbindung zur VPN Zone mit Routing zum SunRay Server

Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.

Gruß
   Christian

On 09.05.2012 08:51, Matthias Pfützner wrote:

Julian,

ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)

Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):

[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
  1  smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9)  0.732 ms  0.546 ms
  0.376 ms
  2  129.157.42.6 (129.157.42.6)  0.688 ms  0.651 ms  0.393 ms
  3  65.250.18.73 (65.250.18.73)  1.485 ms  1.592 ms  1.555 ms
  4  68.137.134.142 (68.137.134.142)  123.363 ms  123.340 ms  122.809 ms
  5  smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37)  138.871 ms  138.583 ms
  138.581 ms
  6  smuscobrm04r98-po-1.central.sun.com (10.0.20.241)  138.846 ms  138.829 ms
  139.062 ms
  7  brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134)  138.813 ms  138.823
  ms  138.765 ms
  8  * * *
  9  * * *
10  ge-6-3.car1.Denver1.Level3.net (4.53.0.121)  175.103 ms  167.223 ms
359.997 ms
11  vlan52.ebr2.Denver1.Level3.net (4.69.147.126)  160.641 ms  156.272 ms
168.104 ms
12  ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62)  165.824 ms  165.863 ms
173.011 ms
13  ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134)  165.642 ms  165.715 ms
165.600 ms
14  dtag (4.68.62.222)  190.775 ms  191.806 ms  191.711 ms
15  da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141)  276.302 ms  277.843 ms  276.777
ms
16  217.0.77.49 (217.0.77.49)  272.474 ms  272.994 ms  272.888 ms
17  p5DDCD1CF.dip.t-dialin.net (93.220.209.207)  289.695 ms !X  289.892 ms !X
289.824 ms !X
[sr1-efra05-04: home/mpfuetzn] {2} %

Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
Telekom...

Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!

Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
nutzen können...

Freut mich, daß mein Hinweis Dir geholfen hat!

 Matthias

Du (Julian Thomas) schreibst:

Hallo,

ersteinmal vielen Dank für die schnelle Antwort, Matthias.
Die Sache mit dem Usernamen und dem Passwort
war der entscheidende Denkanstoss.

Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs
DSL.

Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
Da ich die User und Passwörter im Cisco-Router anlegen muss,
wollte ich mir das sparen.

Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
(VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)

Das SunRay-Config-GUI lässt als
VPN-Modus "pre-shared", "xauth" und "hybrid" zu.
Daher dachte ich, "pre-shared" auswählen, Username und Passwort leerlassen,
würde zum Ziel führen. Das geht offensichtlich so nicht.
Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
i

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-09 Diskussionsfäden Matthias Pfützner
Und hier ist die Antwort des Firmwareentwicklers:

> It's possible to configure preshared only through the Sun Ray GUI, but
> it's never been tested on a Cisco gateway. I think it was there to
> support Nortel VPN gateways, because that's the mode they used. Have the
> customer give it a try to see if it works.
> 
> My guess is that it won't work, by the way. The code is hardwired to do the
> Xauth transaction.

Gruß,
Matthias

Ich (Matthias Pfützner) schrieb:
> Julian,
> 
> ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
> kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
> Antwort da ist, gebe ich Bescheid!)
> 
> Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
> 4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
> sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" nicht
> mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
> bin schon sehr gespannt...):
> 
> [sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
> traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
> packets
>  1  smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9)  0.732 ms  0.546 ms
>  0.376 ms
>  2  129.157.42.6 (129.157.42.6)  0.688 ms  0.651 ms  0.393 ms
>  3  65.250.18.73 (65.250.18.73)  1.485 ms  1.592 ms  1.555 ms
>  4  68.137.134.142 (68.137.134.142)  123.363 ms  123.340 ms  122.809 ms
>  5  smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37)  138.871 ms  138.583 ms
>  138.581 ms
>  6  smuscobrm04r98-po-1.central.sun.com (10.0.20.241)  138.846 ms  138.829 ms
>  139.062 ms
>  7  brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134)  138.813 ms  138.823
>  ms  138.765 ms
>  8  * * *
>  9  * * *
> 10  ge-6-3.car1.Denver1.Level3.net (4.53.0.121)  175.103 ms  167.223 ms
> 359.997 ms
> 11  vlan52.ebr2.Denver1.Level3.net (4.69.147.126)  160.641 ms  156.272 ms
> 168.104 ms
> 12  ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62)  165.824 ms  165.863 ms
> 173.011 ms
> 13  ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134)  165.642 ms  165.715 ms
> 165.600 ms
> 14  dtag (4.68.62.222)  190.775 ms  191.806 ms  191.711 ms
> 15  da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141)  276.302 ms  277.843 ms  276.777
> ms
> 16  217.0.77.49 (217.0.77.49)  272.474 ms  272.994 ms  272.888 ms
> 17  p5DDCD1CF.dip.t-dialin.net (93.220.209.207)  289.695 ms !X  289.892 ms !X
> 289.824 ms !X
> [sr1-efra05-04: home/mpfuetzn] {2} % 
> 
> Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
> Telekom...
> 
> Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!
> 
> Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
> Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
> aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
> nutzen können...
> 
> Freut mich, daß mein Hinweis Dir geholfen hat!
> 
> Matthias
> 
> Du (Julian Thomas) schreibst:
> >
> > Hallo,
> >
> > ersteinmal vielen Dank für die schnelle Antwort, Matthias.
> > Die Sache mit dem Usernamen und dem Passwort
> > war der entscheidende Denkanstoss.
> >
> > Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs 
> > DSL.
> >
> > Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
> > Da ich die User und Passwörter im Cisco-Router anlegen muss,
> > wollte ich mir das sparen.
> >
> > Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
> > (VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)
> >
> > Das SunRay-Config-GUI lässt als
> > VPN-Modus "pre-shared", "xauth" und "hybrid" zu.
> > Daher dachte ich, "pre-shared" auswählen, Username und Passwort leerlassen,
> > würde zum Ziel führen. Das geht offensichtlich so nicht.
> > Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
> > ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, oder 
> > das
> > ein Bug (Cisco oder Sunray) ist.
> >
> > Ich habe nun die User im Cisco-Router angelegt und den entsprechend 
> > eingestellt,
> > dass er eine Authentifizierung mit Username und Passwort verlangt,
> > im Sunray-GUI-Menü "xauth" als VPN-Mode eingestellt, die 
> > Netzwerk-Einstellungen
> > und den Sunray-Server eingetragen, et voilà, es klappt!!!
> >
> > Und es klappt _phänomenal_ gut!
> >
> > Falls Interesse besteht, kann ich das gerne für das nächste oder übernächste
> > Treffen in einen kurzen Vortrag stecken.
> >
> >
> > Viele Grüße und vielen Dank für alle URL's, Tipps und Hinweise!
> >
> > Julian
> >
> >
> >> Hallo,
> >>
> >> nachdem ich nun das ein oder andere ausprobiert habe, hier ein
> >> kurzer Zwischenbericht (für diejenigen, die es interessiert).
> >>
> >> Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
> >> speziell auf der Server-Seite.
> >>
> >> Was ich bisher erreicht habe, ist folgendes:
> >>
> >> - Cisco Router ist als VPN-Server konfiguriert
> >>
> >> - Ei

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-08 Diskussionsfäden Matthias Pfützner
Julian,

ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)

Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com" nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):

[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
 1  smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9)  0.732 ms  0.546 ms
 0.376 ms
 2  129.157.42.6 (129.157.42.6)  0.688 ms  0.651 ms  0.393 ms
 3  65.250.18.73 (65.250.18.73)  1.485 ms  1.592 ms  1.555 ms
 4  68.137.134.142 (68.137.134.142)  123.363 ms  123.340 ms  122.809 ms
 5  smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37)  138.871 ms  138.583 ms
 138.581 ms
 6  smuscobrm04r98-po-1.central.sun.com (10.0.20.241)  138.846 ms  138.829 ms
 139.062 ms
 7  brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134)  138.813 ms  138.823
 ms  138.765 ms
 8  * * *
 9  * * *
10  ge-6-3.car1.Denver1.Level3.net (4.53.0.121)  175.103 ms  167.223 ms
359.997 ms
11  vlan52.ebr2.Denver1.Level3.net (4.69.147.126)  160.641 ms  156.272 ms
168.104 ms
12  ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62)  165.824 ms  165.863 ms
173.011 ms
13  ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134)  165.642 ms  165.715 ms
165.600 ms
14  dtag (4.68.62.222)  190.775 ms  191.806 ms  191.711 ms
15  da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141)  276.302 ms  277.843 ms  276.777
ms
16  217.0.77.49 (217.0.77.49)  272.474 ms  272.994 ms  272.888 ms
17  p5DDCD1CF.dip.t-dialin.net (93.220.209.207)  289.695 ms !X  289.892 ms !X
289.824 ms !X
[sr1-efra05-04: home/mpfuetzn] {2} % 

Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
Telekom...

Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!

Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
nutzen können...

Freut mich, daß mein Hinweis Dir geholfen hat!

Matthias

Du (Julian Thomas) schreibst:
>
> Hallo,
>
> ersteinmal vielen Dank für die schnelle Antwort, Matthias.
> Die Sache mit dem Usernamen und dem Passwort
> war der entscheidende Denkanstoss.
>
> Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs 
> DSL.
>
> Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
> Da ich die User und Passwörter im Cisco-Router anlegen muss,
> wollte ich mir das sparen.
>
> Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
> (VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)
>
> Das SunRay-Config-GUI lässt als
> VPN-Modus "pre-shared", "xauth" und "hybrid" zu.
> Daher dachte ich, "pre-shared" auswählen, Username und Passwort leerlassen,
> würde zum Ziel führen. Das geht offensichtlich so nicht.
> Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
> ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, oder 
> das
> ein Bug (Cisco oder Sunray) ist.
>
> Ich habe nun die User im Cisco-Router angelegt und den entsprechend 
> eingestellt,
> dass er eine Authentifizierung mit Username und Passwort verlangt,
> im Sunray-GUI-Menü "xauth" als VPN-Mode eingestellt, die 
> Netzwerk-Einstellungen
> und den Sunray-Server eingetragen, et voilà, es klappt!!!
>
> Und es klappt _phänomenal_ gut!
>
> Falls Interesse besteht, kann ich das gerne für das nächste oder übernächste
> Treffen in einen kurzen Vortrag stecken.
>
>
> Viele Grüße und vielen Dank für alle URL's, Tipps und Hinweise!
>
> Julian
>
>
>> Hallo,
>>
>> nachdem ich nun das ein oder andere ausprobiert habe, hier ein
>> kurzer Zwischenbericht (für diejenigen, die es interessiert).
>>
>> Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
>> speziell auf der Server-Seite.
>>
>> Was ich bisher erreicht habe, ist folgendes:
>>
>> - Cisco Router ist als VPN-Server konfiguriert
>>
>> - Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco 
>> VPN Software Client)
>> und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer 
>> DSL-Internet-Verbindung.
>>
>> - Linux-Rechner -> Internetverbindung via pppoe aufbauen -> vpnc starten, 
>> um VPN-Tunnel aufzubauen
>> -> Oracle VDC starten -> IP-Adresse des SunRay-Server eingeben und 
>> verbinden.
>> Das funktioniert einwandfrei und für eine normale DSL-Verbindung 
>> erstaunlich gut.
>> Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen.
>>
>> - Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen.
>>
>> - Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk ü

Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-08 Diskussionsfäden Julian Thomas


Hallo,

ersteinmal vielen Dank für die schnelle Antwort, Matthias.
Die Sache mit dem Usernamen und dem Passwort
war der entscheidende Denkanstoss.

Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router 
fürs DSL.


Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
Da ich die User und Passwörter im Cisco-Router anlegen muss,
wollte ich mir das sparen.

Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
(VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)

Das SunRay-Config-GUI lässt als
VPN-Modus "pre-shared", "xauth" und "hybrid" zu.
Daher dachte ich, "pre-shared" auswählen, Username und Passwort leerlassen,
würde zum Ziel führen. Das geht offensichtlich so nicht.
Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, 
oder das

ein Bug (Cisco oder Sunray) ist.

Ich habe nun die User im Cisco-Router angelegt und den entsprechend 
eingestellt,

dass er eine Authentifizierung mit Username und Passwort verlangt,
im Sunray-GUI-Menü "xauth" als VPN-Mode eingestellt, die 
Netzwerk-Einstellungen

und den Sunray-Server eingetragen, et voilà, es klappt!!!

Und es klappt _phänomenal_ gut!

Falls Interesse besteht, kann ich das gerne für das nächste oder übernächste
Treffen in einen kurzen Vortrag stecken.


Viele Grüße und vielen Dank für alle URL's, Tipps und Hinweise!

Julian



Hallo,

nachdem ich nun das ein oder andere ausprobiert habe, hier ein
kurzer Zwischenbericht (für diejenigen, die es interessiert).

Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
speziell auf der Server-Seite.

Was ich bisher erreicht habe, ist folgendes:

- Cisco Router ist als VPN-Server konfiguriert

- Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: 
Cisco VPN Software Client)
und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an 
einer DSL-Internet-Verbindung.


- Linux-Rechner -> Internetverbindung via pppoe aufbauen -> vpnc 
starten, um VPN-Tunnel aufzubauen
-> Oracle VDC starten -> IP-Adresse des SunRay-Server eingeben und 
verbinden.
Das funktioniert einwandfrei und für eine normale DSL-Verbindung 
erstaunlich gut.
Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay 
bedienen.


- Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen.

- Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN 
betreiben.

Die SunRay hängt bei "28F VPN IKE Phase 1 agg I est".

- Was mangels vernünftigem Router noch nicht möglich ist:
Linux-Rechner (und/oder SunRay) an einem Router und 
DSL-Internetverbindung über den Router via pppoe.

Dies ist das endgültige Ziel.

Ich arbeite weiter daran...


Viele Grüße

Julian
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-07 Diskussionsfäden Matthias Pfützner
Uups, alte Doku, aktuelle ist:

http://docs.oracle.com/cd/E25749_01/E25745/html/TroubleIcons.html

Matthias

Ich (Matthias Pfützner) schrieb:
> Du (Julian Thomas) schreibst:
> > Hallo,
> >
> > nachdem ich nun das ein oder andere ausprobiert habe, hier ein
> > kurzer Zwischenbericht (für diejenigen, die es interessiert).
> >
> > Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
> > speziell auf der Server-Seite.
> >
> > Was ich bisher erreicht habe, ist folgendes:
> >
> > - Cisco Router ist als VPN-Server konfiguriert
> 
> Verstanden!
> 
> > - Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco 
> > VPN Software Client)
> > und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer 
> > DSL-Internet-Verbindung.
> 
> OK!
> 
> > - Linux-Rechner -> Internetverbindung via pppoe aufbauen -> vpnc starten, 
> > um VPN-Tunnel aufzubauen
> > -> Oracle VDC starten -> IP-Adresse des SunRay-Server eingeben und 
> > verbinden.
> > Das funktioniert einwandfrei und für eine normale DSL-Verbindung 
> > erstaunlich gut.
> > Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen.
> 
> Gut! Das bedeutet doch schon erstmal, daß Du VPN am Laufen hast, und daß auch
> der Sun Ray Server erreichbar ist.
> 
> > - Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen.
> 
> Soll das gehen? Da bin ich etwas unsicher... Denn: "Automatisch finden" nutzt
> Broadcasts, und die können u.U. nicht via VPN weitergereicht werden,
> evtl. wäre das noch im VPNc und dem VPN Server zu erlauben?
> 
> > - Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN 
> > betreiben.
> 
> Wie soll das gehen? VPN lokal?
> 
> > Die SunRay hängt bei "28F VPN IKE Phase 1 agg I est".
> 
> Gemäß http://docs.oracle.com/cd/E19214-01/820-0411/t-s.html ist 28F ein Teil
> der VPN Init-Phase:
> 
> 28 VPN connection being attempted 
> F  VPN Phase 1 IKE complete. 
> 
> Danach käme dann wohl 28H: H VPN Phase 2 initiated. 
> Oder 29: VPN connection established.
> 
> > - Was mangels vernünftigem Router noch nicht möglich ist:
> > Linux-Rechner (und/oder SunRay) an einem Router und DSL-Internetverbindung 
> > über den Router via pppoe.
> > Dies ist das endgültige Ziel.
> 
> Also, ich habe zuhause eine Fritz!Box 7570 (genauer: einen SpeedPort W920V, 
> den
> ich gefrizzt habe), der als DSL-Router läuft. Dahinter (als bei mir zuhause)
> hängt 'ne Sun Ray, und die bekommt via DHCP eine IP (zuhause) und die Config
> sagt Ihr, daß sie den VPN Gateway Server bei Oracle erreichen soll, und wie
> ich mich dort ins VPN einzuloggen habe (da poppt ein Window hoch, in dem ich
> User und PW für das VPN einzugeben habe!). Und dann bekommt sie via stop-m
> config noch den Namen des Sun Ray Servers (als FQHN!) mitgeteilt, damit sie
> den auch findet.
> 
> > Ich arbeite weiter daran...
> 
> Klingt doch erstmal schon ganz gut, Du scheinst beim User/PW Handshake noch
> irgendwas falsch zu tun, denn sonst würdest Du die Sun Ray über den 28F
> hinausbekommen...
> 
> Matthias
> 
> > Viele Grüße
> >
> > Julian
> > ___
> > ug-fraosug mailing list
> > ug-fraosug@opensolaris.org
> > http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
> >
> 
> -- 
> Matthias Pfützner | Tel.: +49 700 PFUETZNER  | Wenn wirklich mal ein
> Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Gefühl aufkommen sollte,
> D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487  | dann weinen die Eiswürfel.
> Germany  | http://www.pfuetzner.de/matthias/ | Dieter Hildebrandt
> ___
> ug-fraosug mailing list
> ug-fraosug@opensolaris.org
> http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
> 

-- 
Matthias Pfützner | Tel.: +49 700 PFUETZNER  | Wenn wirklich mal ein
Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Gefühl aufkommen sollte,
D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487  | dann weinen die Eiswürfel.
Germany  | http://www.pfuetzner.de/matthias/ | Dieter Hildebrandt
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug


Re: [ug-fraosug] Zwischenbericht SunRay+VPN

2012-05-07 Diskussionsfäden Matthias Pfützner
Du (Julian Thomas) schreibst:
> Hallo,
>
> nachdem ich nun das ein oder andere ausprobiert habe, hier ein
> kurzer Zwischenbericht (für diejenigen, die es interessiert).
>
> Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
> speziell auf der Server-Seite.
>
> Was ich bisher erreicht habe, ist folgendes:
>
> - Cisco Router ist als VPN-Server konfiguriert

Verstanden!

> - Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco 
> VPN Software Client)
> und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer 
> DSL-Internet-Verbindung.

OK!

> - Linux-Rechner -> Internetverbindung via pppoe aufbauen -> vpnc starten, 
> um VPN-Tunnel aufzubauen
> -> Oracle VDC starten -> IP-Adresse des SunRay-Server eingeben und 
> verbinden.
> Das funktioniert einwandfrei und für eine normale DSL-Verbindung 
> erstaunlich gut.
> Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen.

Gut! Das bedeutet doch schon erstmal, daß Du VPN am Laufen hast, und daß auch
der Sun Ray Server erreichbar ist.

> - Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen.

Soll das gehen? Da bin ich etwas unsicher... Denn: "Automatisch finden" nutzt
Broadcasts, und die können u.U. nicht via VPN weitergereicht werden,
evtl. wäre das noch im VPNc und dem VPN Server zu erlauben?

> - Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN 
> betreiben.

Wie soll das gehen? VPN lokal?

> Die SunRay hängt bei "28F VPN IKE Phase 1 agg I est".

Gemäß http://docs.oracle.com/cd/E19214-01/820-0411/t-s.html ist 28F ein Teil
der VPN Init-Phase:

28 VPN connection being attempted 
F  VPN Phase 1 IKE complete. 

Danach käme dann wohl 28H: H VPN Phase 2 initiated. 
Oder 29: VPN connection established.

> - Was mangels vernünftigem Router noch nicht möglich ist:
> Linux-Rechner (und/oder SunRay) an einem Router und DSL-Internetverbindung 
> über den Router via pppoe.
> Dies ist das endgültige Ziel.

Also, ich habe zuhause eine Fritz!Box 7570 (genauer: einen SpeedPort W920V, den
ich gefrizzt habe), der als DSL-Router läuft. Dahinter (als bei mir zuhause)
hängt 'ne Sun Ray, und die bekommt via DHCP eine IP (zuhause) und die Config
sagt Ihr, daß sie den VPN Gateway Server bei Oracle erreichen soll, und wie
ich mich dort ins VPN einzuloggen habe (da poppt ein Window hoch, in dem ich
User und PW für das VPN einzugeben habe!). Und dann bekommt sie via stop-m
config noch den Namen des Sun Ray Servers (als FQHN!) mitgeteilt, damit sie
den auch findet.

> Ich arbeite weiter daran...

Klingt doch erstmal schon ganz gut, Du scheinst beim User/PW Handshake noch
irgendwas falsch zu tun, denn sonst würdest Du die Sun Ray über den 28F
hinausbekommen...

Matthias

> Viele Grüße
>
> Julian
> ___
> ug-fraosug mailing list
> ug-fraosug@opensolaris.org
> http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
>

-- 
Matthias Pfützner | Tel.: +49 700 PFUETZNER  | Wenn wirklich mal ein
Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Gefühl aufkommen sollte,
D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487  | dann weinen die Eiswürfel.
Germany  | http://www.pfuetzner.de/matthias/ | Dieter Hildebrandt
___
ug-fraosug mailing list
ug-fraosug@opensolaris.org
http://mail.opensolaris.org/mailman/listinfo/ug-fraosug