Ich finde den Artikel sehr interessant, jedoch finde ich den Aufwand ohne "iproute2" nicht sehr hoch.
Man muss einfach bei den VPN-Gateway eine weitere Connection definieren mit dem "leftsubnet"-Parameter = lokale IP-Adresse des Gateways. (Muss man eh machen, sobald kein lokales Netz hinter dem Gateway existiert und man nur die Gateways miteinander verbinden möchte).
iproute2 kann aber in der Tat vieles vereinfachen.
ne Frage die mich etwas mehr intressiert ist ob man auf nem linux Rechner der pppoe macht gleichzeitig einen PPtP Server aufbauen kann. Wär ja klasse wenn man sich von unterwegs zu Haus einwählen könnte. Vielleicht hat ja jemand da schon gute Erfahrung gemacht.
Bei mir läuft auf einem Server beides parallel. Ist kein Problem. Wenn Du Dich von unterwegs mit Linux einwählen willst, ist IMHO OpenVPN die einfachste Lösung. Wenn Du andere Betriebssysteme brauchst, IpSec. PPTP gilt als unsicher und wird von mir nur ab und an benutzt, da ein nacktes Win98 nichts anderes kann.
Was ich so weiss, habe ich in der LUG Krefeld auf http://www.lug-kr.de/cgi-bin/lugwiki.pl?VirtualPrivateNetwork zusammengetragen. Wer Fragen dazu hat, kann mich aber erst ab dem 15.4. wieder erreichen, da ich heute Mittag in Urlaub gehe...
Ich verwende als VPN den Klassiker: eine PPP-Verbindung ueber SSH aufbauen. Das klappt in jedem Fall mit Linux-Hausmitteln. Allerdings duerfte man bei win-systemen Probleme bekommen. Ausserdem halte ich diese Methode fuer sehr sicher, weil SSH sehr gut getestet ist. Bei den anderen VPN-Methoden bekomme ich schon etwas Bauchschmerzen, weil der Code erstens ziemlich gross ist und zweitens auch von nicht wirklich vielen Usern getestet wird/wurde.
Schöner Tipp. Ich hab bis jetzt immer 4 connections definiert, damit alle auf alles zugreifen können.
Wer keine Lust hat IPSec einzusetzen, aber trotzdem ein VPN aufbauen will, kann das auch mit den Bordmitteln von iproute2 machen:
ip tunnel add VPN1 mode gre remote $REMOTE_PUB_IP local $LOCAL_PUB_IP ttl 255 ip addr add $LOCAL_PRIV_IP dev VPN1 ip link set VPN1 up ip route add $REMOTE_PRIV_NET dev VPN1
Ein solches VPN hat man in 1 Minute aufgesetzt, ist aber natürlich nicht verschlüsselt...
Von Ralf Spenneberg am Sa, 29. März 2003 um 17:00 #
Ich habe gerade einen Vortrag darüber auf dem Frühjahrsfachgespräch gehalten (Paper unter http://www.spenneberg.com/ipsec-2.6.pdf). In dem neuesten Linux Magazin (05/2003) wird auch ein Artikel von mir dazu erscheinen.
Langer Rede, kurzer Sinn: Ja, es ist kompatibel. Nein, die FreeS/WAN Konfigurationsdateien funktionieren nicht mehr. Es werden neue Werkzeuge benötigt.
Welche aktuelle Software ist für einen Windows-Client zu empfehlen, der sich per IPSec (FreeS/WAN) in ein Netz einwählen möchte? Ich weiß nur, daß der X509-Patch auf Linux-Seite zu installieren ist. Was aber nutzt der RoadWarrior ohne IPSec-Gateway?
Ich habe gute Erfahrungen mit SSH Sentinel (www.ssh.com) gemacht. Die Version 1.3 die ich einsetze war noch für nichtkommerzielle Zwecke kostenlos, bei der aktuellen Version 1.4 ist das leider nicht mehr der Fall. Die alte Version 1.3 gibt's z.B. noch hier: ftp://ftp.demon.co.uk/pub/mirrors/crypto/privacy/sentinel/SSHSentinel1.3.exe
IMO muss man nicht zwingend den x509-Patch benutzen. Es geht auch mit pre-shared secrets. Die Frage ist nur, ob das Sinn macht, wenn man viele RoadWarriors hat.
Wie Simon schreibt, ist SSH-Sentinel (http://www.ssh.com) 1.3 für privaten Gebrauch kostenlos. Ab 1.4 nicht mehr und die Laufzeit ist auf eine paar Wochen beschränkt (30 Tage?). Neben SSH-Sentinel gibt es noch PGPnet (hat eine Test-Installation von WindowsXP allerdings zerschossen!) oder das freie Tool von vpn.ebootis.de
AFAIK gibt es PGPnet nicht mehr. Ich werde mir Sentinel mal ansehen, falls das ebooties-Paket nicht so will. Wird aber vermutlich noch eine Woche dauern, da ich gerade meine Workstation mehr oder weniger "ffrom scratch" aufsetze, was natürlich Vorrang vor Windows-Spielchen hat.
Ich werde meine Erfahrungen mit den Windows-Clients zu gegebener Zeit hier posten.
Von Frank Meilinger am Di, 1. April 2003 um 17:59 #
Hallo Carsten,
wir verwenden das freie Tool von ebootis (http://vpn.ebootis.de/). Dafür muss auf Win2k der >= SP2 installiert sein. Mit XP haben wir noch nichts getestet.
Hallo Ich, habe eine Frage wenn ich die Gateways verbinded habe ich , leider das Problem das ich zwar die Server unter einander Komunizieren aber leider fkt die Komuni. zwischen den Workstations (W2K) nicht, hat vielleicht einer von euch einen Tipp für Mich
wenn man aber eine webaplikation auf dem server hat, funktioniert das mit route add nicht. vpn geht zwar, aber die aplikation kann nicht erreicht werden
Ich finde den Artikel sehr interessant, jedoch finde ich den Aufwand ohne "iproute2" nicht sehr hoch.
Man muss einfach bei den VPN-Gateway eine weitere Connection definieren mit dem "leftsubnet"-Parameter = lokale IP-Adresse des Gateways.
(Muss man eh machen, sobald kein lokales Netz hinter dem Gateway existiert und man nur die Gateways miteinander verbinden möchte).
iproute2 kann aber in der Tat vieles vereinfachen.
Grüße BC
ne Frage die mich etwas mehr intressiert ist ob man auf nem linux Rechner der pppoe macht gleichzeitig einen PPtP Server aufbauen kann. Wär ja klasse wenn man sich von unterwegs zu Haus einwählen könnte. Vielleicht hat ja jemand da schon gute Erfahrung gemacht.
kai
Was ich so weiss, habe ich in der LUG Krefeld auf http://www.lug-kr.de/cgi-bin/lugwiki.pl?VirtualPrivateNetwork zusammengetragen. Wer Fragen dazu hat, kann mich aber erst ab dem 15.4. wieder erreichen, da ich heute Mittag in Urlaub gehe...
eine PPP-Verbindung ueber SSH aufbauen. Das klappt in jedem Fall mit Linux-Hausmitteln. Allerdings duerfte man bei win-systemen Probleme bekommen.
Ausserdem halte ich diese Methode fuer sehr sicher, weil SSH sehr gut getestet ist. Bei den anderen VPN-Methoden bekomme ich schon etwas Bauchschmerzen, weil der Code erstens ziemlich gross ist und zweitens auch von nicht wirklich vielen Usern getestet wird/wurde.
Ich hab bis jetzt immer 4 connections definiert, damit alle auf alles zugreifen können.
Wer keine Lust hat IPSec einzusetzen, aber trotzdem ein VPN aufbauen will, kann das auch mit den Bordmitteln von iproute2 machen:
ip tunnel add VPN1 mode gre remote $REMOTE_PUB_IP local $LOCAL_PUB_IP ttl 255
ip addr add $LOCAL_PRIV_IP dev VPN1
ip link set VPN1 up
ip route add $REMOTE_PRIV_NET dev VPN1
Ein solches VPN hat man in 1 Minute aufgesetzt, ist aber natürlich nicht verschlüsselt...
Grüße,
Hosi
Grüße,
Gunter
Ist die kompatibel zu freeswan, gibt es da features-Unterschiede?
Langer Rede, kurzer Sinn: Ja, es ist kompatibel. Nein, die FreeS/WAN Konfigurationsdateien funktionieren nicht mehr. Es werden neue Werkzeuge benötigt.
Gruß,
Ralf
TIA,
Carsten
Die alte Version 1.3 gibt's z.B. noch hier:
ftp://ftp.demon.co.uk/pub/mirrors/crypto/privacy/sentinel/SSHSentinel1.3.exe
Wie Simon schreibt, ist SSH-Sentinel (http://www.ssh.com) 1.3 für privaten Gebrauch kostenlos. Ab 1.4 nicht mehr und die Laufzeit ist auf eine paar Wochen beschränkt (30 Tage?).
Neben SSH-Sentinel gibt es noch PGPnet (hat eine Test-Installation von WindowsXP allerdings zerschossen!) oder das freie Tool von vpn.ebootis.de
Grüße,
Hosi
AFAIK gibt es PGPnet nicht mehr. Ich werde mir Sentinel mal ansehen, falls das ebooties-Paket nicht so will. Wird aber vermutlich noch eine Woche dauern, da ich gerade meine Workstation mehr oder weniger "ffrom scratch" aufsetze, was natürlich Vorrang vor Windows-Spielchen hat.
Ich werde meine Erfahrungen mit den Windows-Clients zu gegebener Zeit hier posten.
Mit freundlichem Glückauf,
Carsten
wir verwenden das freie Tool von ebootis (http://vpn.ebootis.de/). Dafür muss auf Win2k der >= SP2 installiert sein. Mit XP haben wir noch nichts getestet.
Gruss,
Frank
Ich, habe eine Frage wenn ich die Gateways verbinded habe ich , leider das Problem das ich zwar die Server unter einander Komunizieren aber leider fkt die Komuni. zwischen den Workstations (W2K) nicht, hat vielleicht einer von euch einen Tipp für Mich
DANKE TOTO
Ich hätte gerne die einfachste Methode um ein FirmenVPN zu erstellen! Was ist dazu Notwendig und wie bekomme ich es unter SuSE 8.1 ans Laufen?
bitte keine links auf irgend welche howtos die nicht zu verstehen sind!!!
Möglicherweise musst Du auf den Clients noch routen hinzufügen:
route add 192.168.0.0 MASK 255.255.255.0 192.168.10.1
wobei 192.168.0.0 das remote netzwerk ist, und 192.168.10.1 das lokale gateway...
vie glück