mIDentity VPN Router

Hallo,

die mIDentity USB-Sticks funktionieren die eigentlich auch mit anderen VPN-Gateways? Unser Lancom 1721 VPN ist eigentlich ein sehr ordentliches Gerät. Es wäre schön wenn sich das kombinieren ließe.

mfg
Steffen Tillmann

Guten Tag Herr Tillmann,

wie möchten Sie denn DATEV mIDentity mit dem Lancom 1721VPN kombinieren? Geht es um die VPN Authentifizierung über die Zertifikate des mIDentity?

Vielleicht beschreiben Sie in Ansätzen kurz Ihr Anliegen.

Mit freundlichem Gruß aus Nürnberg

Programmservice DATEV eG

Hallo Herr Tillmann,
ich habe jetzt das mIDentity seit Dezember 2004 im Einsatz und betreibe es an unterschiedlichen Zugängen (mit und ohne VPN; mit und ohne Router; DSL, ISDN, UMTS, GPRS und GSM).
Aus meiner Sicht ist der USB-Stick relativ unabhängig von der Zugangshardware.
Schöne Grüße
Horst Müller

Geht es um die VPN Authentifizierung über die Zertifikate des mIDentity?

Hallo Herr Jedlitzke,

ja genau auf der einen Seite der Roadwarrior mit dem mIDentity und auf der anderen Seite der Lancom-Router der hierzu erfahren muss welche Zertifikate gültig sind. Vielleicht lassen sich zur Lösung dieses Vorhabens auch noch zusätzliche Zertifikate (self-signed) auf den Stick schieben.

Gruß
Steffen Tillmann

Guten Tag Herr Tillmann,

entschuldigen Sie, dass ich mich erst jetzt auf Ihren Beitrag melden kann!

Zu Ihrem Anliegen:

Das Ablegen von eigenen Zertifikaten auf der SmartCard des mIDentity ist nicht möglich. Ausnahme: Sie können ein LogOn Zeritifikat eines Windows-Domain-Controllers auf der SmartCard ablegen. Das nennt sich bei mIDentity Mehrplatz-Logon.

Zum Logon am LanCom VPN-Router können eventuell die Zertifikate auf der SmartCard des mIDentity herangezogen werden. Grundvoraussetzung ist hier sicherlich, dass der LanCom Client auf die Windows-Zertifikatsverwaltung zugreift. Dort stehen unsere Zertifikate zur Verfügung. Ansonsten sehe ich hier keine Erfolgsaussichten. Sie müssten dann irgendwie direkt die Zertifikate auf der SmartCard auslesen. Das dürfte sich als schwierig und in der Praxis wahrscheinlich als fehleranfällig erweisen.

Die hier gegebenen Hinweise sind natürlich ohne Gewähr. Chancen für eine Realisierung sind vermutlich eher gering. Es wäre schön, wenn Sie Ihre Erfahrungen auch anderen Anwendern in der DATEV newsgroup zur Verfügung stellen.

Ansonsten möchte ich Sie auf die VPN-Lösung der DATEV, den Telearbeitsplatz VPN, hinweisen. Als Besitzkomponente für die Authentifizierung fungiert hier entweder eine DATEV SmartCard, ein DATEV mIDentity oder eine DATEV ISDN-Karte. Damit ist eine sichere VPN Verbindung in die Kanzlei von unterwegs möglich.

Mit freundlichen Grüßen

DATEV Programmservice SmartCard

Thorsten Jedlitzke

Hallo Herr Tillmann,

nur noch eine kurze Frage hierzu.
nutzen Sie den VPN Client von Lancom?

MfG

Ronny Neubert

nutzen Sie den VPN Client von Lancom?

Hallo Herr Neubert,

nein ich bevorzuge den Greenbow-Client www.thegreenbow.de. Der hat neuerdings das Feature "USB-Stick-Modus". Da kommt dann für einen sehr günstigen Preis schon richtiges USB-Token-Feeling auf.

Gruß
Steffen Tillmann

Hallo Herr Jedlitzke,

danke für diese Informationen. Probieren geht über studieren. Fortschritte werde ich hier mitteilen.

Gruß
Tillmann

Hallo Herr Tillmann,

das zertifikatsbasierende Login per Datev-Smartcard zum Lancom ist seit der Firmware 6.10 (derzeit nur die Modelle 17xx, 7111 und 8011) mit dem Lancom VPN-Client möglich. Am Lancom muss dazu nur das CA-Zertifikat der Datev hinterlegt und die vereinfachte Zertifikatseinwahl aktiviert werden. Im Lancom VPN-Client kann nach der Installation des Sicherheitspaketes die DATEV Smartcard-Verwaltung ausgewählt werden. Im cacerts Verzeichnis ist das Zertifikat der CA zu hinterlegen, welche das Gerätezertifikat des Lancoms ausgestellt hat.

MfG

Mario Arndt

Hallo Herr Jedlitzke,

danke für diese Informationen. Probieren geht über studieren. Fortschritte werde ich hier mitteilen.

Gruß
Tillmann

Hallo Herr Arndt,

sehr schön, danke für diese Information.

Gruß
Steffen Tillmann

Hallo Herr Tillmann,

sehr schön, danke für diese Information.

Herr Jedlitzke hat mich freundlicherweise auf einen besonders zu beachtenden Umstand aufmerksam gemacht: Falls am Lancom die vereinfachte Zertifikats-Einwahl aktiviert ist, wird ja nur noch die Gültigkeit des übermittelten Client-Zertifikates geprüft. Damit könnte jeder Inhaber einer DATEV Smartcard (und das dürften einige zehntausende sein) eine VPN-Verbindung aufbauen. Von dieser Variante ist also dringends abzuraten.

Die Alternative (vereinfachte Zertifikats-Einwahl deaktivieren und jeden VPN-User im Lancom einzeln zu konfigurieren) funktioniert leider derzeit nicht. Hier gibt es ein Kompatibilitätsproblem beim Übermitteln des Distinguished Name des Client-Zertifikates zum Lancom.

Wünschenswert wäre es, wenn das auf dem mIdentity erzeugte Windows-Logon Zertifikat zum VPN-Verbindungsaufbau benutzt werden könnte.

Mit freundlichen Grüßen

Mario Arndt

Gibt´s hier eigentlich neue Erkenntnisse?

Hallo NG.

Das würde mich auch interessieren.

Grüße aus Berlin.

H. Müller