N95 VPN-Client

Soweit ich weiss, gibt es noch keinen funktionierenden VPN Client für das N95. Für mich absolut unverständlich, da Nokia doch wollte, das sich das N95 gut der breiten Masse verkaufen lässt. 10% davon sind sicherlich irgendwo in der Nähe eines WLAN Netzes, das aber nur über einen VPN Tunnel nutzbar ist. Es gibt zu diesem Problem ein Thread in diesem Forum, der aber im Sande zerlaufen ist. Keiner hat es geschafft einen einfachen Client selbst zu basteln oder eine einfache How-to-Anleitung zu basteln. Den Client der von Nokia fürs N80 zum Download angeboten wird, funktioniert leider mit dem N95 nicht. Anwender haben versucht sich eigene SIS Files und Policies zu basteln, waren aber wie gesagt nicht erfolgreich. Auch ich bin immer noch auf der Suche nach etwas das funktioniert und keine Programmier-Kenntnisse erfordert. Ich glaube auch nicht das Putty funktioniert. Ist eigentlich auch nur f den Communicator gedacht. Wenn jemand eine Lösung hat, möge er sie bitte posten!
Gruss

Oh ja das wäre in der Tat sehr interessant... vielleicht gibts noch noch fähige Leute die doch noch was machen können. Wenns auf anderen Geräten geht sollte es hier doch auch gehen

Stimmt Alles! Für dieses Thema gibt es riesiges Potenial!
Was nützt einem W-Lan, wenn man nicht über VPN ins Uni/Firmennetz kommt!

Die externen beiden Clients die es gibt, laufen leider nicht auf S60 v.3!
und der von Nokia geht nur mit Cisco VPN!

Nach langem getue habe ich es ans laufen bekommen. Unser RZ von der RWTH Aachen hat da ganze arbeit geleistet. Hier die beschreibung:

0. Einleitung

So manches aktuelle Nokia-Telefon hat sowohl WLAN als auch einen brauchbaren
Web-Browser an Bord, und die Display-Auflösung ist zum Teil auch ganz
ordentlich. Was liegt also näher, als damit auch das MoPS-Netz der RWTH zu
benutzen? Aber auch bei anderen Modellen, die einen Netzzugang "nur" per GPRS
oder UMTS erlauben, ist's ja denkbar, daß man ins RWTH-VPN möchte, um bestimmte
Dienste zu erreichen, die Nutzern mit "externen" IP-Adressen verwehrt bleiben.

Nun benutzt die RWTH bekanntlich Cisco-VPN-Server, und Cisco bietet selbst
leider keinen Client an, der auf den bei Nokia oft verwendeten
Symbian-Betriebssystemen läuft. Der auf den Rechenzentrums-Seiten erwähnte
MovianVPN Client ist leider nur mit ganz bestimmten (älteren) Versionen des
Symbian OS kompatibel, und ganz kostenlos ist er auch nicht zu haben. Da freut
es einen sehr, daß Nokia auf http://europe.nokia.com/A4153110 schreibt, daß ihr
eigener "Nokia Mobile VPN Client" auch mit "Cisco 3000 Concentrators running
software release 4.7 or higher" kompatibel sei. Auf der genannten Seite ist auch
eine (sehr unvollständige) Liste von Telefonen zu finden, auf denen der Client
vorhanden ist.

Leider hat Nokia ihrem eigenen Client keine Telefon-basierte
Konfigurationsoberfläche mitgegeben, sondern geht im Grunde genommen davon aus,
daß der "Netzwerkadministrator" den geneigten Handy-Nutzer automatisch (über
sogenannte "Policy Server") oder manuell mit Konfigurationsdateien versorgt, die
dann dem Client sagen, wie er sich anzustellen hat. Damit das alles nicht zu
einfach wird, dokumentiert Nokia öffentlich so gut wie gar nichts im Hinblick
auf diese Dateien, und außerdem ist auf den neuesten Telefonmodellen Symbian OS
9.1 oder neuer installiert, welches grundsätzlich nichts Sicherheitsrelevantes
installiert, was nicht von irgendeiner "vertrauenswürdigen" Autorität
kryptographisch signiert worden ist. (VPN-Konfigurationsdateien gelten natürlich
als sicherheitsrelevant - richtig geraten. Eine "vertrauenswürdige" Autorität
ist natürlich eine, die mit einem Schlüssel signieren kann, der dem Handy ab
Werk bekannt ist - wer könnte das also sein? -, und eine solche Signatur bekommt
man entweder nur für viel Geld (irgendjemand überrascht?), oder unter sehr
unpraktischen Umständen - siehe unten.)

1. Unterstützte Telefonmodelle

Vor allem die aktuellen "Business"-Geräte E60, E61, E70 und der "Communicator"
9500 - diese Handys haben WLAN & den VPN-Client. (Und bis auf letzteres sind
alle mit Symbian 9.1 versehen und legen dem Nutzer, der
VPN-Konfigurationsdateien installieren möchte, einige Felsbrocken in den Weg.)

Diverse andere Series-60- und Series-80-Modelle haben zwar kein WLAN, aber
dennoch VPN-Support (siehe jeweiliges Handbuch).

Getestet wurde die hier vorgestellte Konfiguration auf einem E60 und sollte
unverändert auch auf E61 und E70 laufen. Auf älteren Modellen oder z.B. bei den
Communicators können sich Konfigurationsdateien an anderen Stellen befinden -
die Dateien wären dann entsprechend anzupassen.

2. VPN-Policy-Dateien

Es werden drei Dateien benötigt. Ich nenne sie VPN-Policy.pkg,
VPN-Policy.pin, VPN-Policy.pol.

VPN-Policy.pkg sieht folgendermaßen aus - hierin stehen vor allem die
Installationspfade innerhalb des Dateisystems auf dem Telefon (wie gesagt,
Anpassungsbedarf bei manchen Modellen):

-----[schnipp]-----
;
; A VPN POLICY PACKAGE
;
; LANGUAGES
&EN
; - None (English only by default)
; INSTALLATION HEADER
; - Only one component name is needed to support English only
; - UID is the UID of the VPN Policy Installer application
#{"VPN Policy"},(0x1000597E),1,0,0,TYPE = SISCONFIG

;Localised Vendor name
%{"Christoph Viethen, RWTH Aachen"}

;Unique Vendor name
:"Christoph Viethen, RWTH Aachen"

;Supports Series 60 v 3.0
[0x101F7961], 0, 0, 0, {"Series60ProductID"}

; LIST OF FILES
; Policy file
"VPN-Policy.pol"-"C:\System\Data\Security\Install\VPN-Policy.pol"
; Policy-information file
; - NOTE: The policy-information file MUST be the last file in this
; list!
; - FM (FILEMIME) passes the file to the respective MIME handler
; (in this case, the VPN Policy Installer
; application).
"VPN-Policy.pin"-"C:\System\Data\Security\Install\VPN-Policy.pin", FM, "application/x-ipsec-policy-info"
; REQUIRED FILES
; - The VPN Policy Installer application
(0x1000597E), 1, 0, 0, {"VPN Policy Installer"}
-----[schnipp]-----

Wie man sieht, verweist diese Datei auf die beiden anderen. Benennt man also
irgendetwas um, muß es in dieser .pkg-Datei entsprechend auch geändert werden.

VPN-Policy.pin hat folgenden Inhalt:

-----[schnipp]-----
[POLICYNAME]
VPN Policy MoPS (RWTH)
[POLICYDESCRIPTION]
VPN-Policy.pol for Nokia Mobile VPN Client v3.0.
[POLICYVERSION]
1.1
[ISSUERNAME]
Do not edit
[CONTACTINFO]
Do not edit
-----[schnipp]-----

VPN-Policy.pol ist eigentlich die interessanteste Datei und hat
folgenden Inhalt:

-----[schnipp]-----
SECURITY_FILE_VERSION: 3
[INFO]
VPN-Policy.pol for Nokia Mobile VPN Client v3.0.
[POLICY]
sa ipsec_1 = {
esp
encrypt_alg 3
auth_alg 2
identity_remote 0.0.0.0/0
src_specific
hard_lifetime_bytes 0
hard_lifetime_addtime 3600
hard_lifetime_usetime 3600
soft_lifetime_bytes 0
soft_lifetime_addtime 3600
soft_lifetime_usetime 3600
}
remote 0.0.0.0 0.0.0.0 = { ipsec_1(xxx.xxx.x.xxx) }
inbound = { }
outbound = { }
[IKE]
ADDR: 134.130.5.234 255.255.255.255
MODE: Aggressive
SEND_NOTIFICATION: TRUE
ID_TYPE: 11
FQDN: EUER NAME
GROUP_DESCRIPTION_II: MODP_1024
USE_COMMIT: FALSE
IPSEC_EXPIRE: FALSE
SEND_CERT: FALSE
INITIAL_CONTACT: FALSE
RESPONDER_LIFETIME: TRUE
REPLAY_STATUS: TRUE
USE_INTERNAL_ADDR: FALSE
USE_NAT_PROBE: FALSE
ESP_UDP_PORT: 0
NAT_KEEPALIVE: 60
USE_XAUTH: TRUE
USE_MODE_CFG: TRUE
REKEYING_THRESHOLD: 90
PROPOSALS: 1
ENC_ALG: 3DES-CBC
AUTH_METHOD: PRE-SHARED
HASH_ALG: MD5
GROUP_DESCRIPTION: MODP_1024
GROUP_TYPE: DEFAULT
LIFETIME_KBYTES: 0
LIFETIME_SECONDS: 2147483
PRF: NONE
PRESHARED_KEYS:
FORMAT: STRING_FORMAT
KEY: 8 EUER PW
-----[schnipp]-----

Interessant sind vor allem die *zwei* Stellen, wo die IP-Adresse des VPN-Servers
steht (hier: xxx.xxx.x.xxx).

Außerdem findet sich im File der Name der Gruppe (FQDN: EUER NAME) und das
Gruppenpasswort bei KEY: 8 (EUER PW). Die "8" vor dem Passwort gibt die Passwortlänge an.

Die RWTH spezifischen Daten habe ich gelöscht. Hier müßt Ihre eure Daten eintragen. Wer einen RWTH Zugang hat kann diese Daten auf der rz.rwth-aachen.de Seite finden

3. Wie installiert man das nun alles?

Man benötigt aus dem Series 60 SDK (zu bekommen u.a. bei
http://www.forum.nokia.com/) das Tool "makesis" und wahrscheinlich auch das Tool
"signsis".

a) Zunächst also "makesis": Damit wird aus diesen drei Textdateien eine
SIS-Datei erstellt, die mit dem Installer (der ist z.B. bei der Nokia PC Suite
dabei) dann auf's Handy hochgeladen werden kann:

makesis VPN-Policy.pkg

Das sollte (bis auf eine kleinere Warnung, daß ihm der Dateityp nicht so ganz
gefällt) Erfolg haben und eine Datei namens VPN-Policy.SIS erzeugen.

Hat man ein Handy mit einem älteren Symbian OS (d.h.: Version kleiner 9), sollte
ein einfacher Upload der Datei mit dem Installer genügen, um sie erfolgreich im
System zu verankern (vorausgesetzt, alle Pfade stimmen, s.o.).

b) Hat man ein Handy mit Symbian 9.1, wird's jetzt richtig unangenehm. Es werden
vom Telefon nur signierte Dateien akzeptiert, wenn's um so
"sicherheitsrelevante" Dinge wie VPN-Konfigurationsdateien geht ... Daher ist
der zusätzliche Schritt des Signierens vor dem Upload unbedingt erforderlich,
sonst wird das Gerät die Datei einfach nur ablehnen (ruhig mal ausprobieren -
falls es wider Erwarten doch klappen sollte, hat man sich viel Arbeit gespart).

Das Signieren an sich sieht einfach aus:

signsis VPN-Policy.SIS VPN-Policy-signed.sis nokiae60.cer
nokiae60.key "mein Passwort fuer nokiae60.key"

Die entstehende Datei VPN-Policy-signed.sis kann man dann eben mit dem
Software Installer aus der PC Suite auf's Handy hochladen.

Die interessante Frage ist: Wo bekommt man denn das Zertifikat und den Key her?
Tja, den Key baut man sich mit der passenden Software, und das Zertifikat dafür
muß man über http://www.symbiansigned.com/ beschaffen (alle Einzelheiten zu
diesem Thema dort nachlesbar). Das einzig bezahlbare (weil kostenlose) ist das
"Developer Certificate", das eine Softwareinstallation auf einem einzigen, ganz
bestimmten Gerät erlaubt. D.h., man muß auf "symbiansigned", nachdem man dort
einen Account erzeugt hat, einen Certificate Request uploaden, in welchem u.a.
die IMEI des verwendeten Telefons steht, und bekommt daraufhin eine Zertifikat,
welches Softwareuploads auf genau dieses eine Telefon erlaubt. Klingt
kompliziert, ist es auch, und ist vielleicht das absolut nervigste Feature von
Symbian 9.1 ...

Die einzige "bessere" Lösung wäre, wenn z.B. die RWTH bzw. das Rechenzentrum die
350 oder so Euro pro Jahr ausgeben würde, um einen "höherwertigen" Key zu
bekommen, mit dem man dann für eine Vielzahl von Telefonen (bis zu 100, oder
waren's mehr?) signieren könnte. Oder vielleicht schafft's ja die RWTH, Nokia zu
überzeugen, mit ihr einen besseren Deal zu machen. Eine große technische
Hochschule, welche möglicherweise Interesse hat, einige dienstliche
Mobiltelefone zu beschaffen, und selbiges davon abhängig macht, daß der dortige
VPN Client mit dem Server im Reze "spielt", kann eventuell auch einer Firma wie
Nokia gegenüber eine hohe Überzeugungskraft entwickeln.

4. Benutzung / Einrichtung auf dem Telefon selbst

Wenn man mutig (oder verzweifelt) war oder Glück hatte und ein Telefon mit einem
älteren Symbian (und VPN-Client) sein Eigen nennt, hat man es nun geschafft, das
geschnürte Paket auf's Telefon zu laden und dort zu installieren.

Daraufhin kann man nun die VPN-Client-Konfiguration aufrufen (bei mir: Tools -->
Settings --> Connection --> VPN --> VPN Management), wo unter "Policies" nun die
"VPN Policy MoPS (RWTH)" prominent aufgelistet sein sollte. (Falls nicht: redo
from start - eventuell ein anderes Telefonmodell, und die Pfade stimmten nicht?)

Unter "Tools --> Settings --> Connection --> VPN --> VPN Access Points" ist nun
jedenfalls ein VPN Access Point zu definieren. Nicht besonders spannend: Man
erfindet einen "Connection name" (z.B. "MoPS über WLAN"), sieht zu, daß unter
"VPN policy" die soeben hart erkämpfte neue Policy erscheint, und wählt für
"Internet access point" den Access Point aus, den man schon irgendwann im
Vorfeld erstellt hat und der auf's MoPS-Netz per WLAN verweist. (Wie das geht,
steht im Handbuch des Telefons.)

Damit ist man im Grunde am Ziel: über diesen neuen "VPN Access Point" kann man
nun über's MoPS-Netz ins Internet gehen. Die Fragen nach Username und Passwort
beantwortet man mit den bekannten persönlichen Daten.

5. Fazit

Ein eigener VPN-Client "an Bord" ist eigentlich eine Super-Idee von Nokia, wenn,
ja wenn, da nicht diese extrem hinderlichen Symbian-9.1-Sicherheitsfeatures
wären.

Im Grunde genommen hat man aber derzeit keine andere Wahl - ein anderer VPN
Client, der auf Symbian 9.1 überhaupt liefe, ist mir nicht bekannt und ihn
wird's evtl. auch so rasch nicht geben, da er auch nur mit einer speziellen
Signatur versehen auf's Telefon geladen werden könnte. Derartige Signaturen
aber, die der signierten Software "tiefen Systemzugriff" auf alle möglichen
Teile von Symbian erlaubt - durchaus denkbar, daß diese Art von Zugriff nötig
ist, um einen VPN-Client an's Laufen zu kriegen - gibt Nokia nicht eben
leichtfertig an Dritthersteller heraus. Ältere Symbian-Software wie z.B. der
Movian-Client, egal ob signiert oder nicht, dürfte auf Symbian 9.1 ohnehin nicht
laufen.

Man muß sich also derzeit nicht nur als "Konfigurationsfile-Zusammenreimer" sehr
viel Arbeit machen, sondern auch für jedes einzelne Telefon, wo der Client mit
der RWTH-Konfiguration laufen soll, eine kryptographische Signatur beschaffen.
Das mag noch angehen, wenn man ein einziges Telefon hat, aber in größeren
Umgebungen (mehrere Telefone am Institut etc.) kann das doch irgendwie in Arbeit
ausarten.

Ich hoffe, dieser Text hat zumindest einigen mutigen Lesern geholfen, ihr
WLAN-Handy mit dem MoPS-Netz zu verheiraten. Für Feedback, insbesondere
Informationen über die Kompatibilität mit anderen (älteren) Handymodellen, die
den VPN-Client haben, bin ich dankbar, und werde dann versuchen, diese Hinweise
in dieses Dokument einzuarbeiten.

So bei mir das das geklappt, aber nehmt euch einige Zeit und wälzt andere Foren für die Signierung. Nicht alles findet man sofort. Viel Erfolg

Cool, danke.
Werd das die Tage mal ausprobieren und dann bei uns im Uni-Netz testen...

Ich berichte dann.

So, ich hab mir mal die Verbindungseinstellungen unserer Uni angeschaut. Leider komm ich daraus nicht so ganz klar.

Leider sind bei dem Cisco-Client-Konfigurationsfile alle Variablen anders, als bei deinem Nokia-File. Was muss ich denn wo eintragen?

Hier meine Konfigurationsdatei der Uni-Saarbrücken:

[main]
Description=Authentifikation mit RSA-Zertifikat und XAUTH
Host=vpncampus.rz.uni-saarland.de
AuthType=3
GroupName=world-secure
GroupPwd=
enc_GroupPwd=319CD815F5D3A69DA08D0F00AA581D07EDEEA91F441544461F2F7D9DCFF09CF54B5ADFA6198FA8032C62D8379BAF8AE7
EnableISPConnect=0
ISPConnectType=0
ISPConnect=
ISPPhonebook=
ISPCommand=
Username=
SaveUserPassword=0
UserPassword=
enc_UserPassword=
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=0
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=1
CertName=UdS-VPN-Client
CertPath=
CertSubjectName=e=net@rz.uni-saarland.de,cn=UdS-VPN-Client,ou=world-secure,o=Universitaet des Saarlandes,st=Saarland,c=DE
CertSerialHash=EC7F7E7BB43742CE868145F71D37B53C
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=0
VerifyCertDN=cn="VPN-SERVER"
UseLegacyIKEPort=1

Außerdem muss ich noch ein RSA-Zertifikat namens "vpn-client.p12" importieren. Da steht allerdings nur kryptisches Zeug drin...

Was soll also beim Nokia mit der Datei passieren? Wo wird die hinkopiert?

Ich weiß, dass es viel verlangt ist, sich für einen Fremden die Arbeit zu machen, aber es wär echt sehr nett, wenn du dir meine Datei ansehen könntest und mit mitteilen würdest, was ich nun in die entsprechenden Nokia-Dateien eintragen muss...

Vielen Dank im Vorraus

Tobias

PS:
Eine Idee hatte ich noch:
Was ist denn, wenn man den VPN-Client auf der Speicherkarte installiert? Dann müssten deine Dateien doch auch in den entsprechenden Ordnern der Seicherkarte abgelegt werden, oder?
Und falls das korrekt ist, könnte man die Files doch einfach im Datentransfermodus rüberkopieren und könnte sich den ganzen Stess sparen...

Hi,

So genau kann ich dir das auch nicht sagen, wie das bei euch funktioniert. Aus den 3 Textabschnitten muß die die entsprechenden Textfiles machen mit den entsprechenden Endungen. Bei

remote 0.0.0.0 0.0.0.0 = { ipsec_1(xxx.xxx.x.xxx) }
muß die IP von euren Remoteserver rein, bei
FQDN: EUER NAME
euer Gruppenname, scheint world-secure bei euch zu sein, also
FQDN: world-secure
bei
KEY: 8 EUER PW
das Gruppenpasswort. 8 heist hier die Anzahl der Zeichen des PW

Was ein RSA-Zertifikat ist weiß ich nicht. auf jeden Fall mußt du das umständliche Installationsprozedere durchgehen, da das dann nur für deine IME nummer gültig ist. Sorry.
Viel Erfolg noch !!!!!