Johannes Kapune schrieb:

Hallo,

...

...

Bevor ich jetzt anfange rumzukonfigurieren hätte ich gern ein paar Lesetipps im Voraus.

http://openvpn.net/ [...]

naja damit ist der Feiertag gerettet und mir klar geworden, dass das nicht in einer halben Stunde aufgesetzt ist.

doch ! dauert eigentlich nicht wirklich lange... statt Fritz einfach z.B. IPCop nehmen ( Alix-Board 2c xx kaufen) aufsetzen, anklemmen ..geht .. die längste Zeit dauert der Zertifikatskram :) Na ja.. und vielleicht vorher das "Machen dees Planes" wer, von wo, wie, welche Routen müssen gesetzt werden...

Danke

...

-Dieter

Johannes

beim ersten Mal 2 Tage :) [davon sicher 1,99 Tage Handbücher usw. Lesen...] beim letzten Mal 10 Minuten... Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo Fred, Am Donnerstag, den 20.05.2010, 11:01 +0200 schrieb Fred Ockert:

Johannes Kapune schrieb:

...

Hallo zusammen, ich plane sowohl für meinen Laptop auf Reisen als auch für ein iPhone eine vpn-Verbindung "nach Hause" einzurichten. Server soll sein entweder 11.2 oder vielleicht auch erst die 11.3 Wenn die studierende Tochter auch noch Zugriff auf den Mailserver bekäme wäre das sehr hilfreich.

Mail geht auch ohne VPN ja, aber im Moment ist plain password eingestellt, da muß ich auch noch ran aber doch nicht alles gleichzeitig :-(

...

Bevor ich jetzt anfange rumzukonfigurieren hätte ich gern ein paar Lesetipps im Voraus.

a) Einrichtung der vpn sowohl für opensuse als auch für win (XP und Vista)

dumme Frage ... was für VPN ? (reden wir von openVPN oder IPSec?)

ich denke es wird openVPN

...

b) Einrichtung (-serfahrungen) für so'n iPhone

keine Anhnung...wofür gibts Pulg-Ins ? (wieder bei Frage a )

...

c) besser die vpn-Möglichkeit der Fritzbox nutzen oder (wie?) auf den Heimserver verlagern

siehe Anwort auf a) ..und : kann die Kiste das dann auch ? bzw. was kann sie von Hause aus

also als mögliche Konfigurationsmenues sind aufgeführt: L2TP PPTP IPSec

...

d) gibt es im Vorfeld wichtige Dinge zu beachten

jein... alle Beteiligten sollten es können, klug wäre (aus meiner Sicht) die Arbeit mit Zertifikaten ( statt PSK -> pre shared keys auf Passwortbasis...einzelen Zertifikate kann man sperren.. einen PSK nicht -> da heisst es: alles neu aufsetzen...

ich hatte schon mit Zertifikaten geplant, bisher aber immer davor zurückgeschreckt weil die Anleitungen für mich nicht immer ganz schlüssig waren - da scheint es aber mittlerweile besser geworden zu sein

...

Am liebsten wäre mir so eine Schritt für Schritt Anleitung, es reicht aber sicher auch wenn ich aktuelle Quellen / Anleitungen nachlesen kann.

Anleitung unterscheidet sich nach Lösung...

das kommt nicht besonders überraschend :-) http://openvpn.net/ ist schon recht ausführlich. Mal sehen was beim Konfigurieren so an Stolpersteinen für diese Liste übrigbleibt

...

Ziel soll sein, dass ich auf einige Inhalte des Servers (Samba) und auf den eigenen cyrus-imap-mailserver zugreifen kann. Ich denke eine root-konsole fällt dabei auch ab, damit man aus der Ferne den einen oder anderen Eingriff tätigen könnte.

Renn ich gerade in die richtige Richtung?

ungefähr ja stell dir den VPN-Tunnel einfach wie ein langes Kabel vor :)

jaja, grundsätzlich weiß ich schon wie das ganze grob zusammenhängt, die Probleme tauchen immer erst bei den Details auf Wenn ich die Seite von / über openvpn richtig überflogen habe funktioniert es mit einem opensuse-server im Hintergrund schon mal mit den windosen und auch mit opensuse als Client. Wenn es dann auch noch mit dem Spielzeug geht nehm ich's als nettes Gimmick, besonders weil es dann sozusagen immer dabei ist und ich dann nur ein WLAN finden muß. (nein, für sowas gebe ich kein Telefongeld aus!) Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Daniel Spannbauer writes:

...

ich denke es wird openVPN

[...]

Das OpenVPN Aufsetzen dürfte weniger das Prob sein. Die Wahl des Tunnel ist von dem abhängig, was dein Iphone kann. Und da wirds mit OpenVPN schon sehr schwarz. (wenn jemand ein OpenVPN fürs Iphone kennt....immer her damit, ich spendier nen Kasten Bier.)

Zu dieser Frage habe ich mich umgehört, ich kenne jemanden der jemanden kennt der ein iPhone benutzt. Angeblich soll es einen openVPN Client für iPhone geben. -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Johannes Kapune schrieb:

Hallo Daniel, Am Donnerstag, den 20.05.2010, 12:23 +0200 schrieb Daniel Spannbauer:

...

...

Das OpenVPN Aufsetzen dürfte weniger das Prob sein. Die Wahl des Tunnel ist von dem abhängig, was dein Iphone kann. Und da wirds mit OpenVPN schon sehr schwarz. (wenn jemand ein OpenVPN fürs Iphone kennt....immer her damit, ich spendier nen Kasten Bier.)

http://chandraonline.net/blog/?p=22 allerdings mit jailbreak, was aber nicht verboten ist

hm... easy use: IPCop nehmen, IPCsec (via Webinterface machen) sollte gehen...Erfolgsberichte waren im Forum. openVPN (ZERINA)Plug-in installieren, openVPN via Webinterface aufsetzen, HOW-To im Forum Linux: openSwan oder FreeSwan bzw. kvpnc und zur Not muss der IPCop erst mal auf einem PC rödeln...p2/300 Mhz mit 256 MBRAm tut... zum Preis der Fritzbox gibts auch eine fertige Alix-Board Kiste.. ( frisst 5..7 Watt) Option: du kannst beides openVPN und IPSec auf dem COP (gleichzeitig) rödeln lassen. Der Rest ist Routing ... IPCop (nach Handbuch) aufsetzen dauert ne Stunde , VPN noch ne Stunde ..HOW-TOs im ipcop-forum.de

...

Gruß

Erfahrungen sammeln ..du darfst später gern nochmal alles besser, schöner, einfacher aufsetzen :)

Johannes

Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo zusammen, Am Donnerstag, den 20.05.2010, 12:05 +0200 schrieb Johannes Kapune:

Hallo Fred, Am Donnerstag, den 20.05.2010, 11:01 +0200 schrieb Fred Ockert:

...

Johannes Kapune schrieb:

...

Hallo zusammen, ich plane sowohl für meinen Laptop auf Reisen als auch für ein iPhone eine vpn-Verbindung "nach Hause" einzurichten. Server soll sein entweder 11.2 oder vielleicht auch erst die 11.3 Wenn die studierende Tochter auch noch Zugriff auf den Mailserver bekäme wäre das sehr hilfreich.

Mail geht auch ohne VPN ja, aber im Moment ist plain password eingestellt, da muß ich auch noch ran aber doch nicht alles gleichzeitig :-(

Ok, mail geht ohne VPN. Mein mailserver liegt hinter einer Fritzbox. Wie erreiche ich den am besten (sichersten) von gaanz weit weg, also von außen? Meine Überlegung ist zuerst mal nur den Port zum Mailserver in der Fritzbox öffnen und über z. B. dyndns darauf zugreifen. Welche Sicherungsmaßnahmen muß ich dann bei meinem cyrus-imap vorsehen damit ich nicht zur Spamschleuder mutiere? Sicheres Passwort reicht (besser TLS oder SSL? Vor- Nachteile?) Auch beim smtp?

Johannes

-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo Dieter, bevor ich ins Verwantenbesuchswochenende starte noch ein paar kleine Fragen Am Freitag, den 21.05.2010, 15:56 +0200 schrieb Dieter Kluenter:

Johannes Kapune writes: [...]

...

...

...

...

Wenn die studierende Tochter auch noch Zugriff auf den Mailserver bekäme wäre das sehr hilfreich.

Mail geht auch ohne VPN ja, aber im Moment ist plain password eingestellt, da muß ich auch noch ran aber doch nicht alles gleichzeitig :-(

Ok, mail geht ohne VPN. Mein mailserver liegt hinter einer Fritzbox. Wie erreiche ich den am besten (sichersten) von gaanz weit weg, also von außen?

Meine Überlegung ist zuerst mal nur den Port zum Mailserver in der Fritzbox öffnen und über z. B. dyndns darauf zugreifen.

Welche Sicherungsmaßnahmen muß ich dann bei meinem cyrus-imap vorsehen damit ich nicht zur Spamschleuder mutiere? Sicheres Passwort reicht (besser TLS oder SSL? Vor- Nachteile?) Auch beim smtp?

SASL Authentifizierung und startTLS Achte aber darauf, dass bei der X.509 Zertifikaterstellung der Hostname mit der dyndns Domain erstellt wird. ist so ein X.609 Zertifikat wirklich notwendig?

Mein Problem ist, das innerhalb des Heimnetzwerks noch mit plain password gearbeitet wird. Wenn ich umstelle mache ich ein paar Baustellen gleichzeitig auf, welche ich aber möglichst seriell abarbeiten und Schritt für Schritt testen möchte. Erster Schritt (für mich) wäre den cyrus-imap aus dem Internet zur Ansicht von Mails zu erreichen. Dabei darf dann auch ruhig innerhalb des Heimnetzes mit Verschlüsselung gefahren werden. Die Sammlung der Clients ist fast so vielfältig wie die Anzahl der Benutzer: Thunderbird win, Evolution linux, Nokia-Mobilfon, iPhone, Kmail linux ... Auch die brauchen dann alle eine schnelle Lösung. Wenn einer meine Mails einsehen könnte ist das erst einmal nur unschön aber nicht kritisch. Schritt Zwei wäre dann das Ausliefern von Mails über smtp (postfix), was ich für kritischer halte (Spam vermeiden). nach dem letzten Link zu openVPN hoffe ich es gibt auch hier eine gute aktuelle Schritt für Schritt Anleitung als Link

-Dieter

Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Hallo Sandy, Am Freitag, den 21.05.2010, 17:49 +0200 schrieb Sandy Drobic:

Am 21.05.2010 17:38, schrieb Johannes Kapune:

Interessant ist dabei, wie du authentifizierst: über saslauthd oder über sasldb?

saslauthd im Moment, aber das darf sich auch beim Sereverumzug ändern

Bei saslauthd musst du TLS einsetzen, da nur PLAIN und LOGIN als Mechanismen unterstützt werden.

...

Erster Schritt (für mich) wäre den cyrus-imap aus dem Internet zur Ansicht von Mails zu erreichen. Dabei darf dann auch ruhig innerhalb des Heimnetzes mit Verschlüsselung gefahren werden. Die Sammlung der Clients ist fast so vielfältig wie die Anzahl der Benutzer: Thunderbird win, Evolution linux, Nokia-Mobilfon, iPhone, Kmail linux ... Auch die brauchen dann alle eine schnelle Lösung.

Imap ist Imap, solange die mit mit TLS arbeiten können, sollte das kein Problem sein.

OK

...

Wenn einer meine Mails einsehen könnte ist das erst einmal nur unschön aber nicht kritisch.

Schritt Zwei wäre dann das Ausliefern von Mails über smtp (postfix), was ich für kritischer halte (Spam vermeiden).

Wenn die Mails direkt über deinen Server verschickt werden sollten, dann vergiss es lieber sofort. Inzwischen lehnen fast alle Mailserver einen Client mit dynamischer IP ab. Die Mails von Postfix an einen Relayhost zu schicken ist schnell konfiguriert, auch mit Benutzername und Passwort.

der Mailserver funktioniert ja schon als Relayhost, ich muß sozusagen nur "sicher" von außen meine Mails wie im Heimnetzt dort abliefern, alles weitere funktioniert funktioniert - d. h. ich muß einen sicheren Zugang zu meinem Server einrichten

-- Sandy

Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org

Am Fri, 21 May 2010 17:38:49 +0200 schrieb Johannes Kapune :

Hallo Dieter, bevor ich ins Verwantenbesuchswochenende starte noch ein paar kleine Fragen Am Freitag, den 21.05.2010, 15:56 +0200 schrieb Dieter Kluenter:

...

Johannes Kapune writes: [...]

...

...

...

...

Wenn die studierende Tochter auch noch Zugriff auf den Mailserver bekäme wäre das sehr hilfreich.

Mail geht auch ohne VPN ja, aber im Moment ist plain password eingestellt, da muß ich auch noch ran aber doch nicht alles gleichzeitig :-(

Ok, mail geht ohne VPN. Mein mailserver liegt hinter einer Fritzbox. Wie erreiche ich den am besten (sichersten) von gaanz weit weg, also von außen?

Meine Überlegung ist zuerst mal nur den Port zum Mailserver in der Fritzbox öffnen und über z. B. dyndns darauf zugreifen.

Welche Sicherungsmaßnahmen muß ich dann bei meinem cyrus-imap vorsehen damit ich nicht zur Spamschleuder mutiere? Sicheres Passwort reicht (besser TLS oder SSL? Vor- Nachteile?) Auch beim smtp?

SASL Authentifizierung und startTLS Achte aber darauf, dass bei der X.509 Zertifikaterstellung der Hostname mit der dyndns Domain erstellt wird. ist so ein X.609 Zertifikat wirklich notwendig?

Für TLS musst du ein X.509 mit openssl erstellen, das ist aber nicht weiter tragisch oder kompliziert.

Mein Problem ist, das innerhalb des Heimnetzwerks noch mit plain password gearbeitet wird. Wenn ich umstelle mache ich ein paar Baustellen gleichzeitig auf, welche ich aber möglichst seriell abarbeiten und Schritt für Schritt testen möchte.

Wenn du bei PLAIN oder LOGIN vorerst bleiben möchtest, solltest du smtpd TLS aktivieren.

Erster Schritt (für mich) wäre den cyrus-imap aus dem Internet zur Ansicht von Mails zu erreichen. Dabei darf dann auch ruhig innerhalb des Heimnetzes mit Verschlüsselung gefahren werden. Die Sammlung der Clients ist fast so vielfältig wie die Anzahl der Benutzer: Thunderbird win, Evolution linux, Nokia-Mobilfon, iPhone, Kmail linux ... Auch die brauchen dann alle eine schnelle Lösung.

cyrus-imapd clients sind nicht problematisch, die können alle SASL und TLS.

Wenn einer meine Mails einsehen könnte ist das erst einmal nur unschön aber nicht kritisch.

Wenigstens der lokale Transport an Postfix smtpd sollte TLS-geschützt sein.

Schritt Zwei wäre dann das Ausliefern von Mails über smtp (postfix), was ich für kritischer halte (Spam vermeiden).

Das ist doch abhängig von deinem Provider, der den Relayhost stellt. Auch hier bieten die meisten Mailprovider heute SASL und TLS an.

nach dem letzten Link zu openVPN hoffe ich es gibt auch hier eine gute aktuelle Schritt für Schritt Anleitung als Link

Diese Umgebung, openVPN, Postfix, cyrus-imapd, habe ich schon mehrfach realisiert, das ist keine große Kunst und sollte innerhalb weniger Stunden realisiert worden sein. Ich verwende statt saslauthd gerne ldapdb, auch für wenige User. Voraussetzung ist dann natürlich, dass für wenige User OpenLDAP eingerichtet wird. Aber auch dies ist keine große Kunst. Gegenüber saslauthd besteht der Vorteil darin, dass ldapdb alle SASL Mechanism verwenden kann, saslauthd nur Plain. Auf meiner Homepage findest du, eine zwar veraltete, aber noch teilweise gültige Beschreibung wie so etwas realisiert werden kann. http://dkluenter.de/proxyauth.html -Dieter -- Dieter Klünter | Systemberatung sip: +49.40.20932173 http://www.dpunkt.de/buecher/2104.html GPG Key ID:8EF7B6C6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org