Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)

To: debian-user-german@lists.debian.org
Subject: Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
From: Christoph Haas <haas@debian.org>
Date: Thu, 23 Aug 2007 11:39:50 +0200
Message-id: <[🔎] 20070823093950.GB26432@torf.workaround.org>
Mail-followup-to: Christoph Haas <haas@debian.org>, debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20070823090131.GA19429@aismis.intra.grenchen.ch>
References: <[🔎] 20070823090131.GA19429@aismis.intra.grenchen.ch>

On Thu, Aug 23, 2007 at 11:01:31AM +0200, Mario Iseli wrote:
> ich bin zurzeit dran mich mit VPNs zu beschaeftigen, von OpenVPN habe
> ich allerdings ziemlich die Nase voll weil es irgendwie ziemlich eigen
> ist und man einen speziellen Client braucht dafuer. 

Wenn du Clients draußen hast, die sowieso keine brauchbare
VPN/IPSEC-Software mitbringen (z.B. Windows), dann ist OpenVPN
brauchbar. Wir bedienen damit momentan 500 Außendienstler über
Zertifikate (eigene CA für den Zweck) und LDAP-Authentifizierung.
Läuft hervorragend auf Debian, SuSE, Windows XP, Windows 2000, Windows
Vista (mittlerweile mit der aktuellsten Version) und MacOS.

> Die einzig wirklich brauchbare Alternative scheint mir also OpenSWAN
> zu sein.

Das kommt wirklich darauf an. OpenVPN macht kein IPSEC. Aber das ist
sehr von Vorteil. Außerdem kannst du alles Skripten - z.B. eine eigene
Authentifizierung. Bei IPSEC machst du die Authentifizierung ja meistens
über Preshared Keys oder X.509-Zertifikate. Bei OpenVPN kannst du
Zertifikate mit User-Anmeldungen kombinieren, was sehr nett ist. IPSEC
eignet sich prima für das verbinden von Netzen. OpenVPN ist
super-komfortabel, wenn einzelne User auf ein Netz zugreifen wollen
(Client/Server).

> Jetzt moechte ich euch ein paar Fragen stellen, waere froh um
> Antworten. :)
> 
>  * Ist das Zeug so stabil wie es die Upstream Website verspricht?

OpenS/WAN? Ja.

>  * Hat das schonmal jemand mit Cisco getestet?

Gibt Schwierigkeiten auf Cisco-Seite, wenn NAT im Spiel ist. Hat was mit
den Policy-Identikationen zu tun. Leider ist IPSEC nicht immer IPSEC. :(
Ansonsten läuft es.

>  * Wenn ich Windows Clients habe, brauch ich da noch so L2TP Zeug oder
>    reicht es wenn ich dort einfach ein gueltiges SSL-Zerti installiere meiner
>    VPN-CA?

Meines bescheidenen Wissens hat Windows IPSEC-Komponenten eingebaut.
Bislang ist es hier aber niemandem geglückt, damit wirklich ein VPN zu
basteln. Wir haben eine große Anzahl IPSEC-Tunnel, aber niemals mit
Workstations (schon gar nicht mit Windows), sondern immer mit
dedizierter Hardware (CheckPoint VPN-1, Juniper Netscreen, OpenS/WAN o.ä.).

>  * Wie managed ihr eure CA? Von Hand mit dem "openssl" Befehl, CA.pl als
>    Hilfe oder sogar noch ein anderes Werkzeug?

OpenVPN hat ein paar rudimentäre Skripte dabei, die ich aufgebohrt habe.
Grafische Tools wie TinyCA haben mich nur geärgert, weil total verwanzt.
Das normale "CA.pl" macht seine Aufgabe ganz ordentlich, wenn man sich
bewusst ist, dass die Standard-Gültigkeitsdauer für Zertifikate ein Jahr
ist. :)

Gruß,
 Christoph

Reply to:

Follow-Ups:
- Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
  - From: Jakob Lenfers <debian.mailinglisten@jl42.de>

References:
- VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
  - From: Mario Iseli <mario@marioiseli.com>

Prev by Date: Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
Next by Date: Re: Grafische Ausgabe als anderer User
Previous by thread: Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
Next by thread: Re: VPN-Moeglichkeiten (IPsec, L2TP, Windows-Kompatibilitaet)
Index(es):
- Date
- Thread