Re: 2 Netze über 2 Router via VPN verbinden

To: sven@dreampixel.de, debian-user-german@lists.debian.org
Subject: Re: 2 Netze über 2 Router via VPN verbinden
From: Robert Michel <news@RobertMichel.de>
Date: Fri, 12 Sep 2003 14:26:14 +0200
Message-id: <[🔎] 200309121426.14354.news@RobertMichel.de>
In-reply-to: <[🔎] 200309121105.40297.sven@dreampixel.de>
References: <[🔎] 200309101717.30175.sven@dreampixel.de> <[🔎] 1063225870.2218.12.camel@HideouT> <[🔎] 200309121105.40297.sven@dreampixel.de>

Salve Sven & Debianer!

Am Freitag, 12. September 2003 11:06 schrieb Sven Gehr:
> Hallo Liste(n),
>
> ich hoffem ich miche mich jetzt nich allzu unbeliebt da ich die Mail in
> mehere Listen schreibe. Da ich jedoch in mehreren Liste die Problemstellung
> gelesen habe denke ich einfach es könnte auch mehrere Interessieren.
>
> http://www.linuxforen.de/forums/showthread.php?s=&threadid=98330

Wenn man in einer ML ein Problem lösen möchte, ist ein Link ohne 
informationen/Zusamamenfassung ist das wenig hilfreich.

Hier die Zusammenfassung:
"Sven hat ans Linux-Magazin geschrieben und gefragt ob sein vorhaben  
prinzipell möglich, besonders wenn zwei Dyndns Adressen verwendet werden und 
ob Freeswan auch am Tunnel vorbei einen Internetzugang ermöglicht.  Der Autor 
gab eine unklare Antwort und verwies auf sein demnächst erscheinendes Buch."
Es gibt einen Link auf 
http://www.dr-lotz.de/freeSWAN-dyndns.html
der aber bei Dein primären Problem nicht weiterhilft:

Am Mittwoch, 10. September 2003 17:17 schrieb Sven Gehr:
> Wenn dann jedoch FreeSwan gestartet ist habe ich vom LAN her keinen Zugriff
> mehr aus Internet (kein Ping, kein Web, einfach nichts). Sobald ich
> FreeSwan stope komme ich auch wieder ins Internet.

IMHO ist dies Dyndns unabhänig und unabhänig von dem 2. Router. 
Was wirklich interressant wäre ist was unsere Idee mit der konfiguration von 
iptables gebracht hat.

Am Mittwoch, 10. September 2003 22:31 schrieb Marius Oskandi:
> iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -d \!
> 192.0.2.128/29 -j MASQUERADE
>
> -s(ource) bedeutet: alle packets mit quell-IP 10.0.0.*
> -d(estination) bedeutet: alle packets die NICHT "\!" ziel-IP
> 192.0.2.127-128 haben
>
> das heisst also, bei -s und -d jeweils die Gegenstellen gegengleich
> eintragen (bzw. bei einem Gesamt-Netz einfach die Super-Netmask negiert
> eintragen.

Bezüglich Linux-Magazin: ich sehe dieses Magazin nicht als Magazin mit 
detailierten Kochrezepten, sondern als als Meta-Informationsquelle an. Wenn 
man detailiert schreiben würde, was man mit Süß-Kartoffeln kreiren kann, dann 
würde dies nicht ein 5 seitiger Artikel sondern ein Buch. Die 5 Seiten 
Artikel Freeswan geben Information das es ein stabiles vielseitig 
einsetzbares Tool ist und wenn die Artikelserie Anspruch auf einen Vergleich 
von gänigen VPN unter GNU/Linux erfüllt, IMHO das tool, welches ich als 
erstes einsetzen würde.

Der Artikel gibt Links auf weitere Informationsquellen, z.B. FreeSwan.org

Meine Frage:
>> FreeSwan Dokumentation gelesen?
Deine Antwort:
> ja, soweit mein Englisch mir dies ermöglichte. Nur dort gibt es den Fall den 
>ich habe gar nicht.

Ich möchte nicht behaupten, das ich mit iptables die Lösung habe, sondern ich 
hatte diese Idee/Vermutung hier zur Diskussion gestellt und keinen 
Widerspruch bekommen. In meinen Augen ist es immer noch das erste was ich 
ausprobieren würde. D.h. ohne das Du auf die Empfehlung von Marius & mir ein 
Ergebniss schreibst (Erfolg/Misserfolg) braucht man sich garnicht um eine 
mögliches zweites Problem mit Dyndns Gedanken machen.

Ich finde die FreeS/Wan Dokumentationsseite sehr gut und bin mir sicher, das 
neben dem Roadworrier ein Net 2 Net die zweithäufigster Anwendungsfall von 
VPN ist.
Die FreeS/Wan Dokumentation ist eine Einführung wie koche ich mit FreeS/Wan.
Wenn dort Befehle/Werkzeuge verwendet werden, die Dir unbekannt sind, z.B. 
iptables, lese in deren man Pages und entsprechenden Basis Howtos nach.

Versuche das Problem aufbauend anzugehen:
Mann probiert auch ersteinmal ein Sandkuchen, dann ein Marmorkuchen, dann 
einen Käsekuchen ... bevor man eine Buttercremetorte backt.

An statt Wochenlang nach einer Anleitung in Deutsch, für Deinen speziellen 
Fall (2 Netze, zwei mal Dyndns) zu suchen, wäre die Zeit in einer 
systematischem Einarbeit sinvoller genutzt.
Es mag schade sein, das die Dokumetationen nicht alle auch auf Deutsch 
verfügbar sind - andereseits ist das Lesen eine Chance nicht nur die 
GNU/Linux Kenntnisse zu verbessern, sondern auch die Englischkentnisse.

Dein Projekt hört sich so an, als würde dies nicht nur Deine PCs betreffen. 
Wenn Du die Verantwortung für die Sicherheit dieser zwei Netze hast, dann 
reicht es nicht nur das es läuft - Du must wissen was Du tust.
Daher nochmals der Hinweis, probiere nichts an einem produktiven genutzen 
System, nutze andere Rechner zum experimentieren, die 1. hinter einer 
Firewall stehen und 2. nach der Experimentierphase neuinstalliert werden.

Als Admin eines produktiven Sytems muß man anderen erklären können,
was, warum mit welchen Konsequenzen man etwas am System ändert.

Fohes lesen von: 
http://www.freeswan.org/freeswan_trees/freeswan-2.02/doc/intro.html
(wo auch steht:  "RTFM!")

Gruss
rob


PS: Vielleicht ist jetzt jemand motiviert ein Kochrezept zu diesem 
Anwendungsfall schreiben, und dabei berücksichtigen den Neu-Administartoren 
genügend KnowHow bei der Hand zu geben, das sie verstehen was sie tun und wie 
sicher diese Lösungen sind ;)

Reply to:

References:
- 2 Netze über 2 Router via VPN verbinden
  - From: Sven Gehr <sven@dreampixel.de>
- Re: 2 Netze über 2 Router via VPN verbinden
  - From: Marius Oskandi <tryptichon@gmx.at>
- Re: 2 Netze über 2 Router via VPN verbinden
  - From: Sven Gehr <sven@dreampixel.de>

Prev by Date: Re: UDP-Port 135
Next by Date: Re: Shell script im Hintergrund ausführen
Previous by thread: Re: 2 Netze über 2 Router via VPN verbinden
Next by thread: Cyrus Imap - Bare Newlines
Index(es):
- Date
- Thread