Re: [OpenVPN] Pro Client eine Session ?

To: debian-user-german@lists.debian.org
Subject: Re: [OpenVPN] Pro Client eine Session ?
From: Andreas Vögele <voegele@trustsec.de>
Date: Mon, 14 Mar 2005 16:08:22 +0100
Message-id: <[🔎] a7bd71f5a904e95e5d6be2dbb32916cd@trustsec.de>
In-reply-to: <[🔎] 20050314135601.GO1288@freenet.de>
References: <[🔎] 20050314102353.GA1288@freenet.de> <[🔎] 20050314131656.GX5256@schlittermann.de> <[🔎] 20050314135601.GO1288@freenet.de>

Am 14.03.2005 um 14:56 schrieb Michelle Konzack:

Hallo Heiko,

Am 2005-03-14 14:16:56, schrieb Heiko Schlittermann:

??? Soll der Vigor OpenVPN können?


:-/

Also mittlerweile gehe ich auf (Open|Free)SWAN" was wohl um einiges
kompatibler sein dürfte, da ich hardware router einsetzen möchte.

Möchtest Du direkt zu den Routern IPsec-Verbindungen aufbauen odermöchtest Du über die Router zwei Netze gesichert verbinden? Imletzteren Fall würde ich unter Linux doch OpenVPN nehmen, da OpenVPNIMHO einfacher einzurichten ist als IPsec.

Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn eswirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. MeinerErfahrung nach ist das derzeit die einzige wirklich brauchbare freieIPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollständigimplementiert und schlecht dokumentiert. Solange Du auf beiden Seitendie gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keineProbleme haben. In der Vergangenheit hatte ich aber zum Beispiel schongroße Probleme mit FreeSWAN zwischen Debian und Suse.


Hier mal eine Beispielkonfiguration für OpenVPN:

1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse123.4.5.6. Alle Clients verbinden sich mit diesem Server über Port1194/UDP:


local 123.4.5.6
port 1194
proto udp
dev tap0
ca myca.crt
cert myserver.crt
key myserver.key
dh mydh1024.pem
mode server
tls-server
ifconfig 172.16.0.1 255.255.0.0
push "route-gateway 172.16.0.1"
client-config-dir ccd
keepalive 10 60
tls-auth myta.key 0
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
verb 4

Die Zertifikate und Schlüssel werden mit openssl angelegt. Sollen sichdie Clients gegenseitig sehen, muss zusätzlich die Optionclient-to-client verwendet werden.

Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdateimit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfedieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. ImBeispiel wird mit Hilfe von push auf dem Client außerdem eine weitereRoute angelegt:


ifconfig-push 172.16.0.2 255.255.0.0
push "route 192.168.1.0 255.255.255.0"

2. Die Konfiguration auf dem Client ist einfacher:

client
dev tap
remote server.domain.com 1194
tls-auth myta.key 1
ca myca.crt
cert myclient.crt
key myclient.key
comp-lzo
verb 4

Reply to:

Follow-Ups:
- Re: [OpenVPN] Pro Client eine Session ?
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- [OpenVPN] Pro Client eine Session ?
  - From: Michelle Konzack <linux4michelle@freenet.de>
- Re: [OpenVPN] Pro Client eine Session ?
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: [OpenVPN] Pro Client eine Session ?
  - From: Michelle Konzack <linux4michelle@freenet.de>

Prev by Date: Re: ADSL Modem-Router und VPN
Next by Date: Re: ADSL Modem-Router und VPN
Previous by thread: Re: [OpenVPN] Pro Client eine Session ?
Next by thread: Re: [OpenVPN] Pro Client eine Session ?
Index(es):
- Date
- Thread