Re: [OpenVPN] Pro Client eine Session ?
Am 14.03.2005 um 14:56 schrieb Michelle Konzack:
Hallo Heiko,
Am 2005-03-14 14:16:56, schrieb Heiko Schlittermann:
??? Soll der Vigor OpenVPN können?
:-/
Also mittlerweile gehe ich auf (Open|Free)SWAN" was wohl um einiges
kompatibler sein dürfte, da ich hardware router einsetzen möchte.
Möchtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder
möchtest Du über die Router zwei Netze gesichert verbinden? Im
letzteren Fall würde ich unter Linux doch OpenVPN nehmen, da OpenVPN
IMHO einfacher einzurichten ist als IPsec.
Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es
wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner
Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie
IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollständig
implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten
die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine
Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon
große Probleme mit FreeSWAN zwischen Debian und Suse.
Hier mal eine Beispielkonfiguration für OpenVPN:
1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse
123.4.5.6. Alle Clients verbinden sich mit diesem Server über Port
1194/UDP:
local 123.4.5.6
port 1194
proto udp
dev tap0
ca myca.crt
cert myserver.crt
key myserver.key
dh mydh1024.pem
mode server
tls-server
ifconfig 172.16.0.1 255.255.0.0
push "route-gateway 172.16.0.1"
client-config-dir ccd
keepalive 10 60
tls-auth myta.key 0
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
verb 4
Die Zertifikate und Schlüssel werden mit openssl angelegt. Sollen sich
die Clients gegenseitig sehen, muss zusätzlich die Option
client-to-client verwendet werden.
Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdatei
mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe
dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im
Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere
Route angelegt:
ifconfig-push 172.16.0.2 255.255.0.0
push "route 192.168.1.0 255.255.255.0"
2. Die Konfiguration auf dem Client ist einfacher:
client
dev tap
remote server.domain.com 1194
tls-auth myta.key 1
ca myca.crt
cert myclient.crt
key myclient.key
comp-lzo
verb 4
Reply to: