Re: VPN ipsec Verbindungsproblem

[Rene Zingel]

Hallo Joerg,

danke für den Tipp, habe mit das ganze mal angeschaut, scheint eine 
einfache und sichere Möglichkeit zu sein, die jeder Windows User
bedienen kann ;-)


Gruss 
Rene
Am Sonntag, den 17.04.2005, 13:28 +0200 schrieb Joerg Zimmermann:
> -BEGIN PGP SIGNED MESSAGE-
> Hash: SHA1
> 
> Hi,
> 
> Rene Zingel wrote:
> [..].
> 
> |>Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an
> |>ipsec drangehst? Welchen Client verwendest Du da?
> |
> |
> | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der
> Roadoarrior
> | ab W2000 Sp2  mit der MMC und dem IP Security Wizard möglich. Dazu mus
> | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen
> werden.
> |
> | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann
> | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe
> | benutzen.
> 
> Lösung eins ist extrem unkomfortabel. Einem 'normalem' User
> nicht zuzumuten.
> 
> Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier
> die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was
> man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate
> verwendet. Diese sollten natürlich vor dem Zugriff durch andere
> geschützt sein.
> 
> Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut
> bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber.
> Jedenfalls ist das der beste Client den ich finden konnte im
> Hinblick auf Kosten/Leistung.
> 
> - -Joerg
> -BEGIN PGP SIGNATURE-
> Version: GnuPG v1.2.4 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
> 
> iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu
> eEvnDYpYWBonHDi2e/yFdvQ=
> =c0WZ
> -END PGP SIGNATURE-
> 
> 

Re: VPN ipsec Verbindungsproblem

[Joerg Zimmermann]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Hi,
Rene Zingel wrote:
[..].
|>Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an
|>ipsec drangehst? Welchen Client verwendest Du da?
|
|
| 1. Soweit ich das Buch eben nochmal überflogen habe, ist der
Roadoarrior
| ab W2000 Sp2  mit der MMC und dem IP Security Wizard möglich. Dazu mus
| noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen
werden.
|
| 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann
| ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe
| benutzen.
Lösung eins ist extrem unkomfortabel. Einem 'normalem' User
nicht zuzumuten.
Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier
die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was
man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate
verwendet. Diese sollten natürlich vor dem Zugriff durch andere
geschützt sein.
Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut
bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber.
Jedenfalls ist das der beste Client den ich finden konnte im
Hinblick auf Kosten/Leistung.
- -Joerg
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu
eEvnDYpYWBonHDi2e/yFdvQ=
=c0WZ
-END PGP SIGNATURE-
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: VPN ipsec Verbindungsproblem

[Rene Zingel]

Guten Morgen ;-)

Die config schau ich mir später an, danke erstmal für die Unterstützung,
ich kann kaffe nicht mehr sehen und gehe erstmal schlafen. 
 
> 
> sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven
> - Du müsstest da vielleicht dyndns nehmen oder so.
> 
hab ich schon, danke ;-)

> Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an 
> ipsec drangehst? Welchen Client verwendest Du da?

1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior
ab W2000 Sp2  mit der MMC und dem IP Security Wizard möglich. Dazu mus
noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden.

2. Und wer es mit einem anderen freien Produckt probieren möchte, kann
ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe
benutzen.

Re: VPN ipsec Verbindungsproblem

[Thomas Antepoth]

On Thu, 14 Apr 2005, Rene Zingel wrote:

> Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am
> Rumbocken oder Verzweifeln. :-(

Hallo :-) 


Willkommen im Club - aber wenn's denn mal läuft, dann ist man nach so 
einer Frustphase sowas von ... wie soll ich sagen... :-)


> Beim neu erstellen erhalte ich die Klasse Meldung:
>   (ipsec auto --add base1_to_backup)
>   027 bad --keyid "base1-backup": does not look numeric and name/ 
> lookup failed

In der Konfig fehlt neben "right" noch "rightid" für den Roadwarrior, 
würde ich als erste Vermutung abgeben wollen.

So sieht eine funktionierende Konfig auf dem Server aus ( schau' mal in 
die Received-Zeilen dieser Mail und vergleiche die Subnets ):

conn extta
# Left security gateway, subnet behind it, next hop toward right.
left=www.antepoth.de
[EMAIL PROTECTED]
leftsubnet=192.168.101.254/24
leftnexthop=%defaultroute
# RSA 4096 bits   p10068250   Wed Feb 27 15:50:52 2002
leftrsasigkey=0sAQODr37..
# Right security gateway, subnet behind it, next hop toward left.
right=%any 
[EMAIL PROTECTED]
rightsubnet=192.168.186.0/24
rightnexthop=
# RSA 4096 bits   sofa   Sun Jan  6 10:57:13 2002
rightrsasigkey=0sAQNrgB..
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
authby=rsasig
auto=add
# rekeymargin=1m
# rekeyfuzz=0%
keyingtries=1


Und das ist die korrespondierende Konfig auf dem Client:

conn extta
# Left security gateway, subnet behind it, next hop toward right.
left=www.antepoth.de
[EMAIL PROTECTED]
leftsubnet=192.168.101.254/24
leftnexthop=
# RSA 4096 bits   p10068250   Wed Feb 27 15:50:52 2002
leftrsasigkey=0sAQODr37i6Z
# Right security gateway, subnet behind it, next hop toward left.
right=sg-ta.local
[EMAIL PROTECTED]
rightsubnet=192.168.186.0/24
rightnexthop=%defaultroute
# RSA 4096 bits   sofa   Sun Jan  6 10:57:13 2002
rightrsasigkey=0sAQNrgBt/
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
authby=rsasig
auto=start
# rekeymargin=1m
# rekeyfuzz=0%
keyingtries=0
# keylife=2m


Beide Parts sind Linux:

Client:
fw1:/etc # rpm -q freeswan
freeswan-1.99_0.9.34-93

Server:
a15166696:~# apt-cache show freeswan
Package: freeswan
Priority: optional
Section: net
Installed-Size: 5345
Maintainer: Rene Mayrhofer <[EMAIL PROTECTED]>
Architecture: i386
Version: 2.04-11.3


sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven
- Du müsstest da vielleicht dyndns nehmen oder so.

Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an 
ipsec drangehst? Welchen Client verwendest Du da?


t++

Re: VPN ipsec Verbindungsproblem

[Rene Zingel]

Hallo,

>>Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am
>>Rumbocken oder Verzweifeln. :-(

>Darf ich zwischenfragen, ob es unbedingt IPsec sein muss? - Andernfalls
>könntest Du die benannte Config (TLS-Server mit encrypted-inital-package)
>wohl in wenigen Minuten aufsetzen... Openssl noch dazu.
>Eine sehr gute (und aktuelle) Anleitung findest Du da:
>http://openvpn.net/howto.html

Klar ist doch ein Forum, he he ...
Da freeS/WAN mit so ziemlich alles eine VPN Verbindung aufbauen kann,
(Checkpoint, cisco usw.) wollte ich diese Kombination benutzen. 

Mit Openvpn weiss ich eben nicht, ob sich andere Firewalls und Rechner 
zur Zusammenarbeit überreden lassen (Checkpoint, Cisco, Windows Server
usw.) Soweit ich mich erinnere kann man hier nur Shared Secret und
Zertifikatbasierte Authentifizierung. Macht also durchaus Sinn, sich 
mit freeS/WAN auseinander zusetzen, wenn man Multi kulturell arbeiten 
muss oder möchte.

Ansonsten probiere ich  Openvpn gerne mal aus. Dazu gleich mal ein Paar
Fragen: Melden sich hier auch alle Clients am einem Port (glaube 5000
oder so) an oder bekommt jeder Client einen eigenen Server-Port? Irgend
eine Verbindung baut doch so nen mist zusammen (glaube l2tp oder so).

Ist damit eigentlich ein weiterleitenens Nat möglich? 
Vielleicht etwas dreist ;-) Hat jemand mal eine "fixe" Anleitung zum
antasten? So eine Client Server Konfiguration ohne Zertifikate ? und
besonderheiten bei der Config ? ich habe nach 14 Tagen mal einen
schnellen Erfolg nötig :-(

Entweder bin ich schon zu müde, fast 4 Uhr morgens oder ich mache gerade
schlapp, was für eine Paket ? (TLS-Server mit encrypted-inital-package)

>>   ipsec auto --delete base1-backup
>>   021 no connection named "base1-backup" 
>>(ist ja auch logo ist ja nicht mehr in der config)

>Jo.

>>Beim neu erstellen erhalte ich die Klasse Meldung:
>>   (ipsec auto --add base1_to_backup)
>>   027 bad --keyid "base1-backup": does not look numeric and name/ 
>>lookup failed

>Hier scheint doch was mit der ID nicht korrekt zu sein? - Aus welcher Quelle
>vergleicht er dann die Keys?


Gute Frage, habe ich leider noch nicht in der Doku gefunden vermutlich
hat das mir "unbekannte File" noch die alte config drin und kommt nun
mit der neuen nicht klar, da ich das alte ja nicht mehr löschen kann.

cu 
Rene 

VPN ipsec Verbindungsproblem

[Rene Zingel]

Hallo Debianers, 

Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am
Rumbocken oder Verzweifeln. :-(
 
ich haben auf zwei Rechnern unter Woody (2.4.9+patch, Interface ipsec0
ist ok) ipsec am laufen, einer der beiden soll das VPN GW (backup) sein,
der andere ein Roadwarrior (base1). Leider wollen beide nichtmal
ansatzweise miteinander reden. Beide horchen auf dem Port 500 udp. 

Soweit ich mich durch das Buch "VPN mit Linux" erlesen habe, sollte eine
Verbindung des Linux Gatewayx mit RSA  unter Windows und Linux
Clients möglich sein. nur finde ich nicht mal den Fehler der beiden
Linux Rechner, wenn jemand mal ein Auge raufwerfen könnte? 

ich hatte aus Frust mal die /etc/ipsec.conf gelöscht und neu
geschrieben, nun kann ich die alte Config weder löschen 

ipsec auto --delete base1-backup
021 no connection named "base1-backup" 
(ist ja auch logo ist ja nicht mehr in der config)

noch die neue einlesen. 

Beim neu erstellen erhalte ich die Klasse Meldung:

(ipsec auto --add base1_to_backup)
027 bad --keyid "base1-backup": does not look numeric and name/ 
lookup failed



Hier mal die neue Config der beiden Systeme:

Gateway Backup
--
#version 2.0 # conforms to second version of ipsec.conf
specification

# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=verbose
plutodebug=control

conn %default
authby=rsasig
keyingtries=1
left=192.168.1.110
# RSA 2192 bits
leftrsasigkey=0sAQOmHrhjMn 
right=%any

conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn packetdefault
auto=ignore

conn base1_to_backup
rightid=base1-backup
# RSA 2192 bits
rightrsasigkey=0sAQN3B1 ...
auto=add


Roadwariorr 
---
# version 2.0 # conforms to second version of ipsec.conf
specification

# basic configuration
config setup
interfaces=%defaultroute
klipsdebug=verbose
plutodebug=control

conn %default
authby=rsasig
keyingtries=0
left=192.168.1.110
# RSA 2192 bits   backup
leftrsasigkey=0sAQOmHrhjMn .
right=%defaultroute

conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn packetdefault
auto=ignore

conn base1_to_backup
rightid=base1-backup
# RSA 2192 bits  
rightrsasigkey=0sAQN3B1Lql..
auto=start

Gruss
Rene