Hallo Andreas,
Am 2005-03-14 16:08:22, schrieb Andreas Vögele:
> Möchtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder
> möchtest Du über die Router zwei Netze gesichert verbinden? Im
Also standardmäßig zwei Netzwerke (Also "Hauptsitz" mit POP) verbinden,
mit Ausnahme von meinem Laptop, mit dem ich mich von Kunden oder
Internet Cafes oder per Modem direkt verbinden will..
> letzteren Fall würde ich unter Linux doch OpenVPN nehmen, da OpenVPN
> IMHO einfacher einzurichten ist als IPsec.
Würde aber bedeuten, das ich an jedem POP einen LinuxRouter
installieren muß die wesentlich Störungsanfälliger sind als
VPN IPSec Hardware Router. Desweiteren ist nicht sichergestellt,
das vor Ort, im Falle von Problemen, eine kompetente Person da ist.
> Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es
Funktioniert halt nicht mit Hardware Routern was ich bereits
festgestellt habe... SSL != IPSec
> wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner
Würde aber bedeuten, das meine Programme auf dem Router
reprogrammiert und neu angeschaft werden müssen...
> Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie
> IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollständig
> implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten
Also ich bin derzeit am lesen (FreeSWAN), aber die
Manualseiten sind wirklich keien Hilfe...
> die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine
> Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon
> große Probleme mit FreeSWAN zwischen Debian und Suse.
Solange FreeSWAN mit DrayTek funktioniert...
> Hier mal eine Beispielkonfiguration für OpenVPN:
>
> 1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse
> 123.4.5.6. Alle Clients verbinden sich mit diesem Server über Port
> 1194/UDP:
Sowas habe ich aus der Beispielconfig übernommen...
> local 123.4.5.6
^^^^^^^^^
Die sollte doch wohl mit dem "ifconfig" Eintrag correspondieren
oder ? Also iregndwas mit 172.16.X.X.
> port 1194
> proto udp
> dev tap0
> ca myca.crt
> cert myserver.crt
> key myserver.key
> dh mydh1024.pem
> mode server
> tls-server
> ifconfig 172.16.0.1 255.255.0.0
> push "route-gateway 172.16.0.1"
Was mußt Du bei ifconfig angeben ? Welche IP ist das ?
Ich habe z.B.:
__( 'stdin' )_________________________________________________________
/
| publicnet 192.168.1. 0-127/25 router .1
| privatenet 192.168.1.128-191/26 router .129
| securenet 192.168.1.192-199/29 router .193
| cybernet 192.168.1.224-255/27 router .225
|
| internet 192.168.1.200-207 router .201 adsl1 .202
| adsl2 .203
| adsl3 .204
| adsl4 .205
| isdn1 .206
|
| wavenet 192.168.1. 1-255/24 router .1
| dslnet 192.168.2. 1-255/24 router .1
| dialnet 192.168.3. 1-255/24 router .1
\______________________________________________________________________
Wobei OpenVPN auf dem Router sitzt, welcher die IP-Addressen:
192.168.1.1
192.168.1.129
192.168.1.193
192.168.1.113
192.168.1.201
192.168.2.1
192.168.3.1
192.168.4.1
hat. Was muß ich dann für "local" angeben ?
Wenn ich mit der config mein "cybernet" VPNen will, sollten
ifconfig 192.168.1.225 255.255.255.224
push "route-gateway 192.168.1.225"
richtig sein.
> client-config-dir ccd
> keepalive 10 60
> tls-auth myta.key 0
> user nobody
> group nogroup
> persist-key
> persist-tun
> comp-lzo
> verb 4
Was ich daran nicht verstehe, ist der Client der sich
zu DIESEM Server conneted ein $HOST oder $NETWORK ?
> Die Zertifikate und Schlüssel werden mit openssl angelegt. Sollen sich
> die Clients gegenseitig sehen, muss zusätzlich die Option
> client-to-client verwendet werden.
Hatte die "Tools" im "/usr/share/doc/openvpn/examples/"
Verzeichnis gefunden...
> Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdatei
> mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe
> dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im
Also ist das ganze eine $NETWORK => $HOST configuration, sprich,
jeder Computer der sich connected benötigt einen OpenVPN CLient.
Was muß in der Datei alles drinstehne ?
> Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere
> Route angelegt:
>
> ifconfig-push 172.16.0.2 255.255.0.0
> push "route 192.168.1.0 255.255.255.0"
Das verstehe ich nicht...
Wo soll diese Config sein ? Auf dem VPN Server oder Client ?
> 2. Die Konfiguration auf dem Client ist einfacher:
>
> client
> dev tap
> remote server.domain.com 1194
> tls-auth myta.key 1
> ca myca.crt
> cert myclient.crt
> key myclient.key
> comp-lzo
> verb 4
Igendwie eigenartig...
Die Variablen $KEY_DIR und $KEYCONFIG existieren bei mir bereits, aber
beim Generieren der Certifikate, etc., bekomme ich Fehlermeldungen und
wenn ich die Variablen löschen kriege ich Ärger mit zwei Programmen.
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature