Hi, hat zufällig jemand eine Anleitung zur Verfügung, oder kann mir sagen, wo es eine nutzbare Anleitung gibt? Es sollen VPNs aufgebaut werden zwischen unterschiedlichen SuSE Versionen (8.2, 9.1 und 9.2) via Internet, welche nicht über feste IP-Adressen verfügen, aber entweder per dyn. DNS Dienst ansprechbar sind, oder aber ihre IP-Adresse per Email publizieren. Gruß Torsten
Torsten E. schrieb:
Hi,
hat zufällig jemand eine Anleitung zur Verfügung, oder kann mir sagen, wo es eine nutzbare Anleitung gibt?
Es sollen VPNs aufgebaut werden zwischen unterschiedlichen SuSE Versionen (8.2, 9.1 und 9.2) via Internet, welche nicht über feste IP-Adressen verfügen, aber entweder per dyn. DNS Dienst ansprechbar sind, oder aber ihre IP-Adresse per Email publizieren.
Gruß Torsten
Wir haben hier so etwas ähnliches auf der Basis von openvpn
(http://sourceforge.net/projects/openvpn) am Laufen (die Doku ist gut und der
Client ist übrigens auch für Windoofs verfügbar).
Dynamische Adressen erfordern lediglich den Austausch der IP-Adresse der
Gegenstelle im config-file (a la sed -e 's/IP_ADRESSE/X.Y.Z.Q/'
Hi, Rainer Kaluscha scribbled on 15.02.2005 18:34:
Torsten E. schrieb:
[...]
Wir haben hier so etwas ähnliches auf der Basis von openvpn (http://sourceforge.net/projects/openvpn) am Laufen (die Doku ist gut und der Client ist übrigens auch für Windoofs verfügbar).
Argh ... ich hatte heute nachmittag an einer 8.2 geschaut, und openvpn dort nicht im Lieferumfang entdeckt (und da sie auf 2.4.x, und nicht auf 2.6.x, basiert, wollte ich nicht gerne IPSec nehmen).
Dynamische Adressen erfordern lediglich den Austausch der IP-Adresse der Gegenstelle im config-file (a la sed -e 's/IP_ADRESSE/X.Y.Z.Q/'
openvpn.conf) und den Neuaufbau der Verbindung bei Adressenwechsel - in der Regel erfolgt das nachts nach der DSL-Zwangstrennung.
Ok, habe nun auf zwei 9.2 System openvpn installiert, ein Schlüsselfile erstellt, es auf das zweite System kopiert, und openvpn aufgerufen via: openvpn --remote xxx.dynalias.net --dev tun1 --ifconfig 10.4.0.2 10.4.0.1 --verb 5 --secret /batch/key.kpil bzw. openvpn --remote xxx.dyndns.org --dev tun1 --ifconfig 10.4.0.1 10.4.0.2 --verb 5 --secret /batch/key.kpil Dann wird angezeigt: ... Tue Feb 15 19:46:55 2005 91[0]: packet_id_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 92[0]: use_iv = ENABLED Tue Feb 15 19:46:55 2005 93[0]: test_crypto = DISABLED Tue Feb 15 19:46:55 2005 94[0]: tls_server = DISABLED Tue Feb 15 19:46:55 2005 95[0]: tls_client = DISABLED Tue Feb 15 19:46:55 2005 96[0]: key_method = 1 Tue Feb 15 19:46:55 2005 97[0]: ca_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 98[0]: dh_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 99[0]: cert_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 100[0]: priv_key_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 101[0]: cipher_list = '[UNDEF]' Tue Feb 15 19:46:55 2005 102[0]: tls_verify = '[UNDEF]' Tue Feb 15 19:46:55 2005 103[0]: tls_remote = '[UNDEF]' Tue Feb 15 19:46:55 2005 104[0]: crl_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 105[0]: tls_timeout = 2 Tue Feb 15 19:46:55 2005 106[0]: renegotiate_bytes = 0 Tue Feb 15 19:46:55 2005 107[0]: renegotiate_packets = 0 Tue Feb 15 19:46:55 2005 108[0]: renegotiate_seconds = 3600 Tue Feb 15 19:46:55 2005 109[0]: handshake_window = 60 Tue Feb 15 19:46:55 2005 110[0]: transition_window = 3600 Tue Feb 15 19:46:55 2005 111[0]: single_session = DISABLED Tue Feb 15 19:46:55 2005 112[0]: tls_auth_file = '[UNDEF]' Tue Feb 15 19:46:55 2005 113[0]: OpenVPN 1.6_rc4 i686-pc-linux-gnu [SSL] [LZO] [PTHREAD] built on Dec 3 2004 Tue Feb 15 19:46:55 2005 114[0]: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Feb 15 19:46:55 2005 115[0]: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Feb 15 19:46:55 2005 116[0]: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Tue Feb 15 19:46:55 2005 117[0]: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Tue Feb 15 19:47:03 2005 118[0]: TUN/TAP device tun1 opened Tue Feb 15 19:47:03 2005 119[0]: /sbin/ifconfig tun1 10.4.0.2 pointopoint 10.4.0.1 mtu 1256 Tue Feb 15 19:47:03 2005 120[0]: Data Channel MTU parms [ L:1300 D:1300 EF:44 EB:0 ET:0 EL:0 ] Tue Feb 15 19:47:03 2005 121[0]: Local Options String: 'V3,dev-type tun,link-mtu 1300,tun-mtu 1256,proto UDPv4,ifconfig 10.4.0.1 10.4.0.2,cipher BF-CBC,auth SHA1,keysize 128,secret' Tue Feb 15 19:47:03 2005 122[0]: Expected Remote Options String: 'V3,dev-type tun,link-mtu 1300,tun-mtu 1256,proto UDPv4,ifconfig 10.4.0.2 10.4.0.1,cipher BF-CBC,auth SHA1,keysize 128,secret' Tue Feb 15 19:47:03 2005 123[0]: Local Options hash (VER=V3): 'cd068b57' Tue Feb 15 19:47:03 2005 124[0]: Expected Remote Options hash (VER=V3): '863f2c75' Tue Feb 15 19:47:03 2005 125[0]: PTHREAD support initialized Tue Feb 15 19:47:03 2005 126[0]: UDPv4 link local (bound): [undef]:5000 Tue Feb 15 19:47:03 2005 127[0]: UDPv4 link remote: 217.83.xxx.yyy:5000 RTue Feb 15 19:47:03 2005 128[0]: Peer Connection Initiated with 217.83.xxx.yyy:5000 WWRrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrWrW Das erscheint mir eigentlich ganz ok ... nur kann ich keine Daten austauschen ... Die FW2 habe ich jeweils angepaßt: UDP 1164 extern & intern Und in FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" eingetragen: iptables -A INPUT -i tun+ -j ACCEPT Eigentlich alles so, wie es in der Anleitung steht ... Was ist falsch daran?
Good luck, Rainer
Danke Dir auf jeden Fall schon einmal! Gruß Torsten
Torsten E. scribbled on 15.02.2005 19:58:
Rainer Kaluscha scribbled on 15.02.2005 18:34:
Torsten E. schrieb:
Hallo nochmals, nun habe ich die VPN-Verbindung stehen (man sollte auch die richtige route setzen ... :(). Kann nun mit dem lokalen Interface des entfernten VPN-Partnersystem verbinden, und auch mit den im entfernten LAN stehenden Systemen (PCs, Drucker, etc.). :) Doch eine anschließende Frage: wo setze ich am günstigsten den openvpn Aufruf? In der /etc/ppp/ip-up.local, oder als xinetd Aufruf, oder gänzlich anders? Bei ip-up.local besteht doch allerdings 'die Gefahr', daß VPNs offen bleiben, oder? Gruß Torsten
Torsten E. schrieb:
Doch eine anschließende Frage: wo setze ich am günstigsten den openvpn Aufruf? In der /etc/ppp/ip-up.local, oder als xinetd Aufruf, oder gänzlich anders? Bei ip-up.local besteht doch allerdings 'die Gefahr', daß VPNs offen bleiben, oder? OpenVPN erlaubt im config-file das Setzen eines time-outs - dann geht die Gegenstelle nach x Sekunden ohne traffic automatisch vom Netz ...
Rainer Kaluscha scribbled on 16.02.2005 14:23:
Torsten E. schrieb:
Doch eine anschließende Frage: wo setze ich am günstigsten den openvpn Aufruf? In der /etc/ppp/ip-up.local, oder als xinetd Aufruf, oder gänzlich anders? Bei ip-up.local besteht doch allerdings 'die Gefahr', daß VPNs offen bleiben, oder?
OpenVPN erlaubt im config-file das Setzen eines time-outs - dann geht die Gegenstelle nach x Sekunden ohne traffic automatisch vom Netz ...
Das habe ich gelesen, nur: wie kommt diese dann wieder hoch? Eine Verbindung per SSH aufbauen, und openvpn neu zu starten ist ja nun nicht wirklich hilfreich ...
Torsten E. schrieb:
Das habe ich gelesen, nur: wie kommt diese dann wieder hoch? Eine Verbindung per SSH aufbauen, und openvpn neu zu starten ist ja nun nicht wirklich hilfreich ... Das ginge sogar automatisch - allerdings ist es einfacher, wenn der "Server" openvpn mittels inetd startet. Der Eintrag in /etc/inted.conf sieht etwa so aus: 4711 dgram udp wait root:root /usr/local/sbin/openvpn /usr/local/sbin/openvpn --cd /usr/local/etc/openvpn --inetd openvpn4711 --config static4711.conf
participants (2)
-
Rainer Kaluscha
-
Torsten E.