Hallo zusammen, ich habe mir gerade einen VPN Server versucht einzurichten. Brauche aber leider jemanden der mir etwas unter die Arme greift :-( IPSec und FreeSwan sind installiert. Nun meine Frage: Kann mir jemand ein Beispiel für IPSec Mailen wie ich die Conf Datei anlegen muß für die User? Wie kann ich IPsec starten? Auf meinem WindowsClient habe ich den ssh Sentinel installiert. Wenn ich eine Testverb. im LAN aufbauen will, sagt er, das der Server IPSec nicht eingeschalltet hätte. Wie kann ich Schlüssel erzeugen? Kann ich auch ohne Keys Arbeiten, nur mit Kennwörtern? Wenn ja, wo stelle iich das ein? Hoffe mir kann einer von euch weiter helfen. Danke schonmal!!!!!! Stefan
Von: Stefan Eggert [mailto:stefan.linux.privat@gmx.de] Gesendet: Freitag, 6. September 2002 20:34
Kann ich auch ohne Keys Arbeiten, nur mit Kennwörtern? Wenn ja, wo stelle iich das ein?
hallo stefan ich kann dir allgemein zu ipsec helfen aber mit freeswan hab ichs nie getestet. du kannst bei ipsec soviel ich weiss nicht mit kennwoertern arbeiten, da die verschluesselung auf der ip-ebene passiert. es braucht entweder ein zertifikat oder schluessel. in der regel legt man fuer die erste phase (ike) einen psk fest (pre shared key) der auf beiden seiten bekannt ist. aufgrund dessen wird die verschluesselung fuer den tunnel ausgehandelt. es gibt bei ipsec verschiedene verfahren zur verschluesselung (des, 3des, rijndael, blowfish...etc). (auch fuer die erste phase muessen die verschluesselungen bereits uebereinstimmen). etwas von besten ist rijndael. da ich ipsec nur von der hardwareseite (firewall) her kenne (und ssh sentinel), mag das ein bisschen abweichen zu freeswan. wichtig ist bei ipsec, ob du tunnel, oder transport mode waehlen musst. tunnel ist zwischen zei lan's, z.b. bei 2 firewalls, transport mode ist zwischen hosts, z.b. notebook und firewall. die einfachere methode ist auf layer 2, also pptp z.b., dort kannst du mit username/passwort fahren. die verschluesselung funktioniert aber anders. auch dort kann man ipsec mitberuecksichtigen, da hab ich aber auch noch keine erfahrung. ich hab die erfahrung gemacht, dass ipsec alles andere als plug 'n play ist, aber der aufwand lohnt sich. eine gute website zum allgemeinen verstaendnis zu ipsec kann ich dir noch mitgeben, bei ihm hatte ich mal eine schulung zu ipsec: http://www.roman.ch gruesse marius
du kannst bei ipsec soviel ich weiss nicht mit kennwoertern arbeiten, da die verschluesselung auf der ip-ebene passiert. es braucht entweder ein zertifikat oder schluessel. in der regel legt man fuer die erste phase (ike) einen psk fest (pre shared key) der auf beiden seiten bekannt ist. aufgrund dessen wird die verschluesselung fuer den tunnel ausgehandelt. es gibt bei ipsec verschiedene verfahren zur verschluesselung (des, 3des, rijndael, blowfish...etc). (auch fuer die erste phase muessen die verschluesselungen bereits uebereinstimmen). etwas von besten ist rijndael.
da ich ipsec nur von der hardwareseite (firewall) her kenne (und ssh sentinel), mag das ein bisschen abweichen zu freeswan.
wichtig ist bei ipsec, ob du tunnel, oder transport mode waehlen musst. tunnel ist zwischen zei lan's, z.b. bei 2 firewalls, transport mode ist zwischen hosts, z.b. notebook und firewall.
die einfachere methode ist auf layer 2, also pptp z.b., dort kannst du mit username/passwort fahren. die verschluesselung funktioniert aber anders. auch dort kann man ipsec mitberuecksichtigen, da hab ich aber auch noch keine erfahrung.
Hallo Marius, ersteinmal danke. Du sagtest, das ich auch auf pptp ebene was machen kann. Ich habe mich da auch schlau gemacht, und Windows nutzt tatsächlich auch diese ebene. Wo kann ich denn dort die Konfigurationen vornehmen?? Ich will im Prinzip nur den Windows Clients eine VPN Verbindung in mein Netzwerk ermöglichen. EIne VPN Verbindung zu anderen Unixsystemen habe ich bereits mit Vtund erstellt. Nur das mit den Windows Clients ist garnicht so einfach merke ich. Bei Vtund gab es eine config Datei. Dort habe ich Passwords, PPP Optionen und so festegelegt. Gibt es das bei pptp denn auch??? Danke schonmal ;-) Stefan
Ich will im Prinzip nur den Windows Clients eine VPN Verbindung in mein Netzwerk ermöglichen. EIne VPN Verbindung zu anderen Unixsystemen habe ich bereits mit Vtund erstellt.
Nur das mit den Windows Clients ist garnicht so einfach merke ich. Bei Vtund gab es eine config Datei. Dort habe ich Passwords, PPP Optionen und so festegelegt. Gibt es das bei pptp denn auch???
hallo stefan, ja bei windows pptp kann ich dir helfen. also erst einmal installierst du das paket "pptp" von suse aus der kategorie "n". dann muss der benutzer erfasst sein auf dem linux system, mit dem du connecten moechtest. (also der benutzername unter windows muss derselbe sein) - ich bin mir nicht mal sicher ob nicht auch ein samba laufen muss, damit du shares sehen kannst vom windows aus...? ich denke schon. bei windows 2000 & XP kannst du im netzwerk eine zusaetzliche verbindung erstellen (VPN) und dort die ip adresse des vpn servers angeben. beim doppelklick auf die verbindung wirst du dann nach benutzername/passwort gefragt. achtung, soviel ich weiss darf der vpn server nicht hinter einer adressumsetzung sein (NAT), sondern sollte eine offizielle ip adresse haben, z.b. 81.6.3.156... oder so. um zugang zum internen netz zu erhalten, sollte der vpn server 2 netzwerkkarten haben. wenn jemand eine andere loesung hat, her damit, ich habs immer so geloest. bei einer sicheren verbindung ist dann natuerlich ein surfen im internet ausserhalb des tunnels nicht moeglich (ausser der internetverkehr wird vom lan her geroutet), aber das weisst du ja vermutlich schon. ich hab im buero im moment das pptp auf dem linux nicht drauf und es wuerde nix nuetzen weil er hinter einer firewall steht. mein adsl provider und ich sind noch am ueben mit den 8 oeffentlichen ip adressen und dem routing, daher hab ich dort nur 1 adresse zur verfuegung derzeit. soweit ich mich erinnerne musste ich auf serverseite (linux pptp) praktisch nix konfigurieren, das lief in relativ kurzer zeit. vielleicht ist hier in der liste noch jemand der dir in bezug auf das konfigfile vom pptp unter linux bei problemen weiterhelfen kann. ansonsten, aehm ich bin nicht der hellste und habs mit der beiligenden doku geschafft :-) gruesse marius
Hallo Maruis, erstmal vielen dank, probiere das gleich mal aus. Aber sag mal, kan ich über diese Verbinung denn auch Routen??? Stefan
Von: Stefan Eggert [mailto:stefan.linux.privat@gmx.de] Gesendet: Freitag, 6. September 2002 22:10
erstmal vielen dank, probiere das gleich mal aus. Aber sag mal, kan ich über diese Verbinung denn auch Routen???
hmmm was meinst du denn jetzt genau? der vpn server sollte das machen, ja. du solltest via den vpn server die shares in dienem lan connecten koennen als waerst du mit deinem lan physisch verbunden. so gesehen hat er eine routing funktion. ich bin mir jetzt eifnach nicht sicher, ob du dazu das l2tp oder pptp brauchst..., ich hab eben erst die varianten kennengelernt, die ich bei kunden schon einsetze und das ist vor allem die variante client(windows)<->host(hardware firewall auf linux basierend oder w2k server) und weniger lan<->lan. gruss marius
Marius Appenzeller wrote:
Von: Stefan Eggert [mailto:stefan.linux.privat@gmx.de] Gesendet: Freitag, 6. September 2002 22:10
erstmal vielen dank, probiere das gleich mal aus. Aber sag mal, kan ich über diese Verbinung denn auch Routen???
hmmm was meinst du denn jetzt genau? der vpn server sollte das machen, ja. du solltest via den vpn server die shares in dienem lan connecten koennen als waerst du mit deinem lan physisch verbunden. so gesehen hat er eine routing funktion. ich bin mir jetzt eifnach nicht sicher, ob du dazu das l2tp oder pptp brauchst..., ich hab eben erst die varianten kennengelernt, die ich bei kunden schon einsetze und das ist vor allem die variante client(windows)<->host(hardware firewall auf linux basierend oder w2k server) und weniger lan<->lan.
gruss marius
Routing würde unterstützt sagen die LogFiles. Problem ist das der Client nicht reinkommt (error 733) Die Messages sagt, sie würde die Protokolle (IPX) nicht kennen. Mit welchem Protokoll machst Du das ganze? TCPIP oder IPX? Was hast Du an den PPP options geändert??? Gruß Stefan
Von: Stefan Eggert [mailto:stefan.linux.privat@gmx.de] Gesendet: Freitag, 6. September 2002 23:44
Routing würde unterstützt sagen die LogFiles. Problem ist das der Client nicht reinkommt (error 733) Die Messages sagt, sie würde die Protokolle (IPX) nicht kennen. Mit welchem Protokoll machst Du das ganze? TCPIP oder IPX? Was hast Du an den PPP options geändert???
hallo stefan ipx brauchst du normalerweise nicht, ausser in aelteren novell umgebungen. tcp/ip ist dein freund. ich schicke dir per pm mein /etc/pptp.conf. ich geh jetzt in die heia - feierabend fuer heute :-) ich schau morgen wieder rein, viel glueck, marius
On Fri, 6 Sep 2002, Stefan Eggert wrote: !!Hallo zusammen, !! !!ich habe mir gerade einen VPN Server versucht einzurichten. !!Brauche aber leider jemanden der mir etwas unter die Arme greift :-( !! !!IPSec und FreeSwan sind installiert. !!Nun meine Frage: Kann mir jemand ein Beispiel für IPSec Mailen wie ich !!die Conf Datei anlegen muß für die User? Es gibt nur /etc/ipsec.conf Je nachdem wie FreeS/WAN installiert ist, hast du noch /etc/ppp/ip-up, dort kannst du die Firewall (ipchains, iptables) dynamisch modifizieren. !! !!Wie kann ich IPsec starten? /sbin/init.d/ipsec start # je nach Installation ... Zum debuggen stellst du am Besten in /etc/ipsec.conf klipsdebug=all plutodebug= dann kriegst du alles nach /var/log/messages. !!Auf meinem WindowsClient habe ich den ssh Sentinel installiert. !!Wenn ich eine Testverb. im LAN aufbauen will, sagt er, das der Server IPSec !!nicht eingeschalltet hätte. !! !!Wie kann ich Schlüssel erzeugen? !!Kann ich auch ohne Keys Arbeiten, nur mit Kennwörtern? !!Wenn ja, wo stelle iich das ein? !! ssh Sentinel kenn ich noch nicht, aber schau mal bei folgenden Links (insbesondere ebootis): http://www.freeswan.org/ http://www.twi.ch/~sna/strongsec/freeswan/install.htm http://www.strongsec.com/freeswan/ X.509 patch http://vpn.ebootis.de/ W2k + FreeS/WAN Die beste Doku bzgl FreeS/WAN und Windoze habe ich bei ebootis gesehen, das funktioniert auch (PGP-client auf Windoze NT oder 2k). Es muss aber genau der PGP seion der dort erwaehnt ist, **kein anderer**. Bzgl. tunnel vs. transport Mode: nur der tunnel Mode ist wirklich sicher, da nur dort das komplette Packet verschluesselt wird. transport Mode macht (heute) kaum noch Sinn, die Hardware ist schnell genug :). Viel Glueck.
participants (3)
-
Achim Hoffmann -
Marius Appenzeller -
Stefan Eggert