Re: VPN ipsec Verbindungsproblem
Hallo Joerg, danke für den Tipp, habe mit das ganze mal angeschaut, scheint eine einfache und sichere Möglichkeit zu sein, die jeder Windows User bedienen kann ;-) Gruss Rene Am Sonntag, den 17.04.2005, 13:28 +0200 schrieb Joerg Zimmermann: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Hi, > > Rene Zingel wrote: > [..]. > > |>Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an > |>ipsec drangehst? Welchen Client verwendest Du da? > | > | > | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der > Roadoarrior > | ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus > | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen > werden. > | > | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann > | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe > | benutzen. > > Lösung eins ist extrem unkomfortabel. Einem 'normalem' User > nicht zuzumuten. > > Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier > die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was > man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate > verwendet. Diese sollten natürlich vor dem Zugriff durch andere > geschützt sein. > > Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut > bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber. > Jedenfalls ist das der beste Client den ich finden konnte im > Hinblick auf Kosten/Leistung. > > - -Joerg > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.2.4 (GNU/Linux) > Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org > > iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu > eEvnDYpYWBonHDi2e/yFdvQ= > =c0WZ > -END PGP SIGNATURE- > >
Re: VPN ipsec Verbindungsproblem
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi, Rene Zingel wrote: [..]. |>Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an |>ipsec drangehst? Welchen Client verwendest Du da? | | | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior | ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. | | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe | benutzen. Lösung eins ist extrem unkomfortabel. Einem 'normalem' User nicht zuzumuten. Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate verwendet. Diese sollten natürlich vor dem Zugriff durch andere geschützt sein. Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber. Jedenfalls ist das der beste Client den ich finden konnte im Hinblick auf Kosten/Leistung. - -Joerg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu eEvnDYpYWBonHDi2e/yFdvQ= =c0WZ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN ipsec Verbindungsproblem
Guten Morgen ;-) Die config schau ich mir später an, danke erstmal für die Unterstützung, ich kann kaffe nicht mehr sehen und gehe erstmal schlafen. > > sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven > - Du müsstest da vielleicht dyndns nehmen oder so. > hab ich schon, danke ;-) > Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an > ipsec drangehst? Welchen Client verwendest Du da? 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe benutzen.
Re: VPN ipsec Verbindungsproblem
On Thu, 14 Apr 2005, Rene Zingel wrote: > Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am > Rumbocken oder Verzweifeln. :-( Hallo :-) Willkommen im Club - aber wenn's denn mal läuft, dann ist man nach so einer Frustphase sowas von ... wie soll ich sagen... :-) > Beim neu erstellen erhalte ich die Klasse Meldung: > (ipsec auto --add base1_to_backup) > 027 bad --keyid "base1-backup": does not look numeric and name/ > lookup failed In der Konfig fehlt neben "right" noch "rightid" für den Roadwarrior, würde ich als erste Vermutung abgeben wollen. So sieht eine funktionierende Konfig auf dem Server aus ( schau' mal in die Received-Zeilen dieser Mail und vergleiche die Subnets ): conn extta # Left security gateway, subnet behind it, next hop toward right. left=www.antepoth.de [EMAIL PROTECTED] leftsubnet=192.168.101.254/24 leftnexthop=%defaultroute # RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002 leftrsasigkey=0sAQODr37.. # Right security gateway, subnet behind it, next hop toward left. right=%any [EMAIL PROTECTED] rightsubnet=192.168.186.0/24 rightnexthop= # RSA 4096 bits sofa Sun Jan 6 10:57:13 2002 rightrsasigkey=0sAQNrgB.. # To authorize this connection, but not actually start it, at startup, # uncomment this. authby=rsasig auto=add # rekeymargin=1m # rekeyfuzz=0% keyingtries=1 Und das ist die korrespondierende Konfig auf dem Client: conn extta # Left security gateway, subnet behind it, next hop toward right. left=www.antepoth.de [EMAIL PROTECTED] leftsubnet=192.168.101.254/24 leftnexthop= # RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002 leftrsasigkey=0sAQODr37i6Z # Right security gateway, subnet behind it, next hop toward left. right=sg-ta.local [EMAIL PROTECTED] rightsubnet=192.168.186.0/24 rightnexthop=%defaultroute # RSA 4096 bits sofa Sun Jan 6 10:57:13 2002 rightrsasigkey=0sAQNrgBt/ # To authorize this connection, but not actually start it, at startup, # uncomment this. authby=rsasig auto=start # rekeymargin=1m # rekeyfuzz=0% keyingtries=0 # keylife=2m Beide Parts sind Linux: Client: fw1:/etc # rpm -q freeswan freeswan-1.99_0.9.34-93 Server: a15166696:~# apt-cache show freeswan Package: freeswan Priority: optional Section: net Installed-Size: 5345 Maintainer: Rene Mayrhofer <[EMAIL PROTECTED]> Architecture: i386 Version: 2.04-11.3 sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven - Du müsstest da vielleicht dyndns nehmen oder so. Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an ipsec drangehst? Welchen Client verwendest Du da? t++
Re: VPN ipsec Verbindungsproblem
Hallo, >>Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am >>Rumbocken oder Verzweifeln. :-( >Darf ich zwischenfragen, ob es unbedingt IPsec sein muss? - Andernfalls >könntest Du die benannte Config (TLS-Server mit encrypted-inital-package) >wohl in wenigen Minuten aufsetzen... Openssl noch dazu. >Eine sehr gute (und aktuelle) Anleitung findest Du da: >http://openvpn.net/howto.html Klar ist doch ein Forum, he he ... Da freeS/WAN mit so ziemlich alles eine VPN Verbindung aufbauen kann, (Checkpoint, cisco usw.) wollte ich diese Kombination benutzen. Mit Openvpn weiss ich eben nicht, ob sich andere Firewalls und Rechner zur Zusammenarbeit überreden lassen (Checkpoint, Cisco, Windows Server usw.) Soweit ich mich erinnere kann man hier nur Shared Secret und Zertifikatbasierte Authentifizierung. Macht also durchaus Sinn, sich mit freeS/WAN auseinander zusetzen, wenn man Multi kulturell arbeiten muss oder möchte. Ansonsten probiere ich Openvpn gerne mal aus. Dazu gleich mal ein Paar Fragen: Melden sich hier auch alle Clients am einem Port (glaube 5000 oder so) an oder bekommt jeder Client einen eigenen Server-Port? Irgend eine Verbindung baut doch so nen mist zusammen (glaube l2tp oder so). Ist damit eigentlich ein weiterleitenens Nat möglich? Vielleicht etwas dreist ;-) Hat jemand mal eine "fixe" Anleitung zum antasten? So eine Client Server Konfiguration ohne Zertifikate ? und besonderheiten bei der Config ? ich habe nach 14 Tagen mal einen schnellen Erfolg nötig :-( Entweder bin ich schon zu müde, fast 4 Uhr morgens oder ich mache gerade schlapp, was für eine Paket ? (TLS-Server mit encrypted-inital-package) >> ipsec auto --delete base1-backup >> 021 no connection named "base1-backup" >>(ist ja auch logo ist ja nicht mehr in der config) >Jo. >>Beim neu erstellen erhalte ich die Klasse Meldung: >> (ipsec auto --add base1_to_backup) >> 027 bad --keyid "base1-backup": does not look numeric and name/ >>lookup failed >Hier scheint doch was mit der ID nicht korrekt zu sein? - Aus welcher Quelle >vergleicht er dann die Keys? Gute Frage, habe ich leider noch nicht in der Doku gefunden vermutlich hat das mir "unbekannte File" noch die alte config drin und kommt nun mit der neuen nicht klar, da ich das alte ja nicht mehr löschen kann. cu Rene
VPN ipsec Verbindungsproblem
Hallo Debianers, Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am Rumbocken oder Verzweifeln. :-( ich haben auf zwei Rechnern unter Woody (2.4.9+patch, Interface ipsec0 ist ok) ipsec am laufen, einer der beiden soll das VPN GW (backup) sein, der andere ein Roadwarrior (base1). Leider wollen beide nichtmal ansatzweise miteinander reden. Beide horchen auf dem Port 500 udp. Soweit ich mich durch das Buch "VPN mit Linux" erlesen habe, sollte eine Verbindung des Linux Gatewayx mit RSA unter Windows und Linux Clients möglich sein. nur finde ich nicht mal den Fehler der beiden Linux Rechner, wenn jemand mal ein Auge raufwerfen könnte? ich hatte aus Frust mal die /etc/ipsec.conf gelöscht und neu geschrieben, nun kann ich die alte Config weder löschen ipsec auto --delete base1-backup 021 no connection named "base1-backup" (ist ja auch logo ist ja nicht mehr in der config) noch die neue einlesen. Beim neu erstellen erhalte ich die Klasse Meldung: (ipsec auto --add base1_to_backup) 027 bad --keyid "base1-backup": does not look numeric and name/ lookup failed Hier mal die neue Config der beiden Systeme: Gateway Backup -- #version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup interfaces="ipsec0=eth0" klipsdebug=verbose plutodebug=control conn %default authby=rsasig keyingtries=1 left=192.168.1.110 # RSA 2192 bits leftrsasigkey=0sAQOmHrhjMn right=%any conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn packetdefault auto=ignore conn base1_to_backup rightid=base1-backup # RSA 2192 bits rightrsasigkey=0sAQN3B1 ... auto=add Roadwariorr --- # version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup interfaces=%defaultroute klipsdebug=verbose plutodebug=control conn %default authby=rsasig keyingtries=0 left=192.168.1.110 # RSA 2192 bits backup leftrsasigkey=0sAQOmHrhjMn . right=%defaultroute conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn packetdefault auto=ignore conn base1_to_backup rightid=base1-backup # RSA 2192 bits rightrsasigkey=0sAQN3B1Lql.. auto=start Gruss Rene