Re: 2 Netze über 2 Router via VPN verbinden
Salve Sven & Debianer!
Am Freitag, 12. September 2003 11:06 schrieb Sven Gehr:
> Hallo Liste(n),
>
> ich hoffem ich miche mich jetzt nich allzu unbeliebt da ich die Mail in
> mehere Listen schreibe. Da ich jedoch in mehreren Liste die Problemstellung
> gelesen habe denke ich einfach es könnte auch mehrere Interessieren.
>
> http://www.linuxforen.de/forums/showthread.php?s=&threadid=98330
Wenn man in einer ML ein Problem lösen möchte, ist ein Link ohne
informationen/Zusamamenfassung ist das wenig hilfreich.
Hier die Zusammenfassung:
"Sven hat ans Linux-Magazin geschrieben und gefragt ob sein vorhaben
prinzipell möglich, besonders wenn zwei Dyndns Adressen verwendet werden und
ob Freeswan auch am Tunnel vorbei einen Internetzugang ermöglicht. Der Autor
gab eine unklare Antwort und verwies auf sein demnächst erscheinendes Buch."
Es gibt einen Link auf
http://www.dr-lotz.de/freeSWAN-dyndns.html
der aber bei Dein primären Problem nicht weiterhilft:
Am Mittwoch, 10. September 2003 17:17 schrieb Sven Gehr:
> Wenn dann jedoch FreeSwan gestartet ist habe ich vom LAN her keinen Zugriff
> mehr aus Internet (kein Ping, kein Web, einfach nichts). Sobald ich
> FreeSwan stope komme ich auch wieder ins Internet.
IMHO ist dies Dyndns unabhänig und unabhänig von dem 2. Router.
Was wirklich interressant wäre ist was unsere Idee mit der konfiguration von
iptables gebracht hat.
Am Mittwoch, 10. September 2003 22:31 schrieb Marius Oskandi:
> iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -d \!
> 192.0.2.128/29 -j MASQUERADE
>
> -s(ource) bedeutet: alle packets mit quell-IP 10.0.0.*
> -d(estination) bedeutet: alle packets die NICHT "\!" ziel-IP
> 192.0.2.127-128 haben
>
> das heisst also, bei -s und -d jeweils die Gegenstellen gegengleich
> eintragen (bzw. bei einem Gesamt-Netz einfach die Super-Netmask negiert
> eintragen.
Bezüglich Linux-Magazin: ich sehe dieses Magazin nicht als Magazin mit
detailierten Kochrezepten, sondern als als Meta-Informationsquelle an. Wenn
man detailiert schreiben würde, was man mit Süß-Kartoffeln kreiren kann, dann
würde dies nicht ein 5 seitiger Artikel sondern ein Buch. Die 5 Seiten
Artikel Freeswan geben Information das es ein stabiles vielseitig
einsetzbares Tool ist und wenn die Artikelserie Anspruch auf einen Vergleich
von gänigen VPN unter GNU/Linux erfüllt, IMHO das tool, welches ich als
erstes einsetzen würde.
Der Artikel gibt Links auf weitere Informationsquellen, z.B. FreeSwan.org
Meine Frage:
>> FreeSwan Dokumentation gelesen?
Deine Antwort:
> ja, soweit mein Englisch mir dies ermöglichte. Nur dort gibt es den Fall den
>ich habe gar nicht.
Ich möchte nicht behaupten, das ich mit iptables die Lösung habe, sondern ich
hatte diese Idee/Vermutung hier zur Diskussion gestellt und keinen
Widerspruch bekommen. In meinen Augen ist es immer noch das erste was ich
ausprobieren würde. D.h. ohne das Du auf die Empfehlung von Marius & mir ein
Ergebniss schreibst (Erfolg/Misserfolg) braucht man sich garnicht um eine
mögliches zweites Problem mit Dyndns Gedanken machen.
Ich finde die FreeS/Wan Dokumentationsseite sehr gut und bin mir sicher, das
neben dem Roadworrier ein Net 2 Net die zweithäufigster Anwendungsfall von
VPN ist.
Die FreeS/Wan Dokumentation ist eine Einführung wie koche ich mit FreeS/Wan.
Wenn dort Befehle/Werkzeuge verwendet werden, die Dir unbekannt sind, z.B.
iptables, lese in deren man Pages und entsprechenden Basis Howtos nach.
Versuche das Problem aufbauend anzugehen:
Mann probiert auch ersteinmal ein Sandkuchen, dann ein Marmorkuchen, dann
einen Käsekuchen ... bevor man eine Buttercremetorte backt.
An statt Wochenlang nach einer Anleitung in Deutsch, für Deinen speziellen
Fall (2 Netze, zwei mal Dyndns) zu suchen, wäre die Zeit in einer
systematischem Einarbeit sinvoller genutzt.
Es mag schade sein, das die Dokumetationen nicht alle auch auf Deutsch
verfügbar sind - andereseits ist das Lesen eine Chance nicht nur die
GNU/Linux Kenntnisse zu verbessern, sondern auch die Englischkentnisse.
Dein Projekt hört sich so an, als würde dies nicht nur Deine PCs betreffen.
Wenn Du die Verantwortung für die Sicherheit dieser zwei Netze hast, dann
reicht es nicht nur das es läuft - Du must wissen was Du tust.
Daher nochmals der Hinweis, probiere nichts an einem produktiven genutzen
System, nutze andere Rechner zum experimentieren, die 1. hinter einer
Firewall stehen und 2. nach der Experimentierphase neuinstalliert werden.
Als Admin eines produktiven Sytems muß man anderen erklären können,
was, warum mit welchen Konsequenzen man etwas am System ändert.
Fohes lesen von:
http://www.freeswan.org/freeswan_trees/freeswan-2.02/doc/intro.html
(wo auch steht: "RTFM!")
Gruss
rob
PS: Vielleicht ist jetzt jemand motiviert ein Kochrezept zu diesem
Anwendungsfall schreiben, und dabei berücksichtigen den Neu-Administartoren
genügend KnowHow bei der Hand zu geben, das sie verstehen was sie tun und wie
sicher diese Lösungen sind ;)
Reply to: