[PUG] VPN mit Linux
Hallo zusammen, ich bastel grade ein VPN-Gateway unter Linux zusammen. Ich habe mich zum größten Teil an dem Tutorial von Jacco (http://www.jacco2.dds.nl/networking/freeswan-l2tp.html) gehalten und im Bezug auf den l2tpns (aus Debian sarge) eure configs benutzt (vielen Dank schonmal hierfür). Ich kann nun mit einem WinXP Client eine Verbindung aufbauen, jedoch kann ich keinen Server aus dem Netz das hinter dem GW liegt pingen, schon gar nicht connecten. Ich denke das es ein Routing-Problem ist. Zur Erklärung: Der Gateway sitzt in einem Subnetz. Theoretisch haben alle Rechner dort Zugang zum Inet, aber an die IPs 150 kommt man von außen nicht dran. Das VPN soll den Zugriff ermöglichen = da es von Intern kommt. Vielen Dank! Gruß, Patrick Breucking! Hier die Configs ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup # Debug-logging controls: none for (almost) none, all for lots. # klipsdebug=none # plutodebug=control parsing interfaces=ipsec0=eth3 -- ist die einzige Netzwerkkarte. klipsdebug=none plutodebug=none nat_traversal=yes conn %default # PSK benutzen authby=secret # Perfect Forward Secrecy ausschalten pfs=no # Anzahl der Versuche keyingtries=3 conn L2TP-PSK-WINXPSP2-TEST # Serverseite konfigurieren # IP-Adresse left=xxx.xxx.5.70 # Port Einstellung fuer Windows XP (patched inkl. SP2) leftprotoport=17/1701 # Clientseite konfigurieren # IP Adresse #right=xxx.xxx.23.215 right=%any # Port Einstellung fuer Windows XP (patched inkl. SP2) rightprotoport=17/1701 # Automatisches starten und warten auf Verbindungen auto=add conn L2TP-PSK-WINXP-TEST # Serverseite konfigurieren # IP-Adresse left=xxx.xxx.5.70 # Port Einstellung fuer Windows XP (patched inkl. SP2) leftprotoport=17/0 # Clientseite konfigurieren # IP Adresse #right=xxx.xxx.23.215 right=%any # Port Einstellung fuer Windows XP (patched inkl. SP2) rightprotoport=17/1701 # Automatisches starten und warten auf Verbindungen auto=add #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf /ende l2tpns - startup_config set debug 2 set log_file /var/log/l2tpns set pid_file /var/run/l2tpns.pid set l2tp_secret asecretone set primary_dns xxx.xxx.5.67 set secondary_dns xxx.xxx.5.88 set save_state no set primary_radius 127.0.0.1 set primary_radius_port 1812 set radius_accounting yes set radius_secret asafeone set cluster_interface eth3 set bind_address xxx.xxx.5.70 set peer_address xxx.xxx.5.254 #set cluster_master 0.0.0.0 set throttle_speed 512 set accounting_dir /var/run/l2tpns/acct/ set setuid 0 set dump_speed no load plugin throttlectl load plugin autothrottle /ende -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] VPN mit Linux
Hallo zusammen, ich bastel grade ein VPN-Gateway unter Linux zusammen. Ich habe mich zum größten Teil an dem Tutorial von Jacco (http://www.jacco2.dds.nl/networking/freeswan-l2tp.html) gehalten und im Bezug auf den l2tpns (aus Debian sarge) eure configs benutzt (vielen Dank schonmal hierfür). Ich kann nun mit einem WinXP Client eine Verbindung aufbauen, jedoch kann ich keinen Server aus dem Netz das hinter dem GW liegt pingen, schon gar nicht connecten. Ich denke das es ein Routing-Problem ist. Zur Erklärung: Der Gateway sitzt in einem Subnetz. Theoretisch haben alle Rechner dort Zugang zum Inet, aber an die IPs 150 kommt man von außen nicht dran. Das VPN soll den Zugriff ermöglichen = da es von Intern kommt. Vielen Dank! Gruß, Patrick Breucking! Hier die Configs ipsec.conf version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup # Debug-logging controls: none for (almost) none, all for lots. # klipsdebug=none # plutodebug=control parsing interfaces=ipsec0=eth3 -- ist die einzige Netzwerkkarte. klipsdebug=none plutodebug=none nat_traversal=yes conn %default # PSK benutzen authby=secret # Perfect Forward Secrecy ausschalten pfs=no # Anzahl der Versuche keyingtries=3 conn L2TP-PSK-WINXPSP2-TEST # Serverseite konfigurieren # IP-Adresse left=xxx.xxx.5.70 # Port Einstellung fuer Windows XP (patched inkl. SP2) leftprotoport=17/1701 # Clientseite konfigurieren # IP Adresse #right=xxx.xxx.23.215 right=%any # Port Einstellung fuer Windows XP (patched inkl. SP2) rightprotoport=17/1701 # Automatisches starten und warten auf Verbindungen auto=add conn L2TP-PSK-WINXP-TEST # Serverseite konfigurieren # IP-Adresse left=xxx.xxx.5.70 # Port Einstellung fuer Windows XP (patched inkl. SP2) leftprotoport=17/0 # Clientseite konfigurieren # IP Adresse #right=xxx.xxx.23.215 right=%any # Port Einstellung fuer Windows XP (patched inkl. SP2) rightprotoport=17/1701 # Automatisches starten und warten auf Verbindungen auto=add #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf /ende l2tpns - startup_config set debug 2 set log_file /var/log/l2tpns set pid_file /var/run/l2tpns.pid set l2tp_secret asecretone set primary_dns xxx.xxx.5.67 set secondary_dns xxx.xxx.5.88 set save_state no set primary_radius 127.0.0.1 set primary_radius_port 1812 set radius_accounting yes set radius_secret asafeone set cluster_interface eth3 set bind_address xxx.xxx.5.70 set peer_address xxx.xxx.5.254 #set cluster_master 0.0.0.0 set throttle_speed 512 set accounting_dir /var/run/l2tpns/acct/ set setuid 0 set dump_speed no load plugin throttlectl load plugin autothrottle /ende -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] VPN
Hallo zusammen! Was brauche ich alles, um ein VPN auf die Beine zu stellen? Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben? Danke! Frank PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN
Hallo! * Frank Schnitzler wrote/schrieb: Was brauche ich alles, um ein VPN auf die Beine zu stellen? Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben? Schau dir mal FreeS/WAN an. Gruß //Robert -- Robert Weißgraeber-o) [EMAIL PROTECTED] /\\ _\_V Message void if penguin violated ... Don't mess with the penguin PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN
Am Donnerstag, 23. Oktober 2003 12:18 schrieb Robert Weißgraeber: Hallo! * Frank Schnitzler wrote/schrieb: Was brauche ich alles, um ein VPN auf die Beine zu stellen? Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben? Schau dir mal FreeS/WAN an. Gruß //Robert Es gab dieses Jahr eine Linux-Magazin Ausgabe über VPN. Dort findest Du sicherlich einigermasen gute Artikel darüber. Wäre sicherlich auch nicht falsch unter Berlios oder heise/IX zu suchen http://www.linux-magazin.de/Artikel/ausgabe/2003/10/tinc/tinc.html Grüße Markus PUG - Penguin User Group Wiesbaden - http://www.pug.org
AW: [PUG] VPN
so wies ausschaut, hat wol keiner von euch ein VPN am laufen. ist es zu schwer? oder habt ihr keine ahnung? oder kein interesse? naja, danke jedenfalls. für nichts. PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN
Hi, On Fri, Sep 13, 2002 at 10:04:52AM +0200, Henrik Schneider wrote: so wies ausschaut, hat wol keiner von euch ein VPN am laufen. ist es zu schwer? oder habt ihr keine ahnung? oder kein interesse? naja, danke jedenfalls. für nichts. Jain, eher keine Zeit/Lust. Deine Mail ist eben nicht unter einer Minute beantwortet! ;-) Global ja, aber überlege dir die Sinnvollste lösung, das ist die die später den geringsten Administrationsaufwand und damit die geringste fehlerquelle bietet! Überlege dir auch welches vpn du nehmen willst, FreeS/Wan ist zwar standard, aber auch schwer aufzusetzen. OpenVPN oder Cipe sind da einfacher. Ich fahre im Moment noch (Jehova) ppp over ssh. bis denn -- May the source be with you! PUG - Penguin User Group Wiesbaden - http://www.pug.org
[PUG] VPN - Völlige Papp Nase
mh ich probiere mich gerade mit VPN, und habe ein paar verständniss probleme. als erstes werde ich mal meine Netz Infrastruktur zum besseren verständniss, beschreiben. mein netz (192.168.0.0/255.255.255.0) wird über ein NAS/pppoe router (hardware) mit meinem ISP verbunden. dabei bekommt mein router eine dynamische IP. ist es möglich ein VPN aufzubauen, auch wenn man eine dynamische IP zugewiesen bekommt. und wie sieht das netzwerk-setup physikalisch am besten aus? muss ich den NAS router durch den VPN router ersetzen, oder kann ich ihn auch hinter den schon vorhandenen router stellen (komplett in das netz der rechner, die ich eigentlich erreichen will). eigentlich bekommt doch eine Netzwerkkarte eine öffentlich IP adresse und die andere eine Interne IP adresse). wäre dies möglich: ISProuter-s w i t c h---mehr rechner | | K1-VPN-K2 K1 = netzwerkkarte mit 192.168.0.254 (jeweiligen ports am router auf diese karte geleitet) K2 = netzwerkkarte mit 192.168.0.253 die IP packs sollten doch eigentlich in folgender reihenfolge geroutet werden, oder? vpn-client---ISP-//-ISP--router---k1(192.168.0.254)---K2(192.168.0.253)- --192.168.0.0 oder besser so: ISP---k1(dynIP)-VPN-k2(192.168.0.253)---192.168.0.0 ich würde ungern auf den router verzichten, weil nicht umbedingt der VPN router auch noch den normalen internet trafic routen muss. kann mich jemand nachvollziehen? wahrscheinlich eher weniger. lol henrik PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
On Mon, Aug 19, 2002 at 06:23:20 +0200, Christian Felsing wrote: Hallo Sebastian, für den ersten Termin wäre Dein Angebot sicherlich geeignet. Lässt sich das für den 31.8. festmachen ? Der Termin ist in ordnung. Irgendwie habe ich das Gefühl, daß nicht alle Mails von mir bei dir ankommen. Ich habe dir nämlich auf diese Frage schon geantwortet. Wäre es für dich möglich noch vor dem Workshop eine Installation zu testen, damit wir am 31.8. nicht auf dem Trockenen sitzen? Sebastian -- Murphy's best friend was a computer. PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
Hallo Sebastian, für den ersten Termin wäre Dein Angebot sicherlich geeignet. Lässt sich das für den 31.8. festmachen ? Grüße Christian On Friday 16 August 2002 18:23, Sebastian Gündisch wrote: On Fri, Aug 16, 2002 at 01:01:45 +0200, Cöpcü Cöp wrote: Das angebot für den EDV-Raum ist eingetroffen! Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür begleichen. Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und 3.Woche in Okt. Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken. Also, wann? Äm, wie es scheint gibt es für den VPN Workshop schon zwei laufende Angebote für einen Raum. Ich habe jetzt auch schon was dafür organisiert. Als Termin wurde der 31.8 mal in den Raum geworfen. Dann würde ich sagen daß der Christian Felsing das nach seinen Wünschen gestallten soll. Mein Angebot steht nach wie vor. Falls der mein Raum nicht für den VPN Workshop genommen wird, steht er selbstverständlich auch einem anderen Workshop zur Verfügung. Gruß Sebastian -- GPG Public Key: http://mail.taunusstein.net:11371/pks/lookup?op=getsearch=0xDE8C2A1B PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
On Fri, Aug 16, 2002 at 01:01:45 +0200, Cöpcü Cöp wrote: Das angebot für den EDV-Raum ist eingetroffen! Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür begleichen. Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und 3.Woche in Okt. Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken. Also, wann? Äm, wie es scheint gibt es für den VPN Workshop schon zwei laufende Angebote für einen Raum. Ich habe jetzt auch schon was dafür organisiert. Als Termin wurde der 31.8 mal in den Raum geworfen. Dann würde ich sagen daß der Christian Felsing das nach seinen Wünschen gestallten soll. Mein Angebot steht nach wie vor. Falls der mein Raum nicht für den VPN Workshop genommen wird, steht er selbstverständlich auch einem anderen Workshop zur Verfügung. Gruß Sebastian -- To know recursion, you must first know recursion. PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
Das angebot für den EDV-Raum ist eingetroffen! Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür begleichen. Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und 3.Woche in Okt. Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken. Also, wann? Gruß Ridvan __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
--- Ralf Nickel [EMAIL PROTECTED] schrieb: EDV-Raum in der FH-Fresenius in Idstein, 200 Euro/Tag, 75 Euro/Abend. Unter der Woche geht's nur in den Semesterferien und abends, am Wochenende ist's egal. Also der Betrag geht in Ordnung, meine Firma übernimmt ihn. Christian kann entscheiden ob wir den Raum nur Tag oder Tag (an einem Wochenende) und Abend brauchen. Ich bräuchte allerdings eine Rechnung, gestellt an CommerceBay GmbH Hamburger Allee 2-10 60486 Frankfurt am Main und zwar sind ,bei der Erstellung der Rechnung , bitte, folgendes zu achten: zitat von=Buchhaltung für Rechnungstellungen ab 1. Juli 2002 sind vom Gesetzgeber neue Anforderungen erhoben worden: 1. Der inländische Unternehmer hat die ihm vom Finanzamt erteilte Steuernummer in der Rechnung anzugeben. Diese ist nicht identisch mit der USt-ID-Nr.! 2. Es müssen Nettobetrag, Steuerbetrag, Steuersatz und Bruttobetrag (!!) ausgewiesen sein. Ansonsten ist kein Vorsteuerabzug möglich. /zitat Sonst kriegen wir die Rechnung nicht bezahlt ;-} Ergo ist der Raum wahrscheinlich frei. Ich muss nur bescheid sagen, wann ich ihn brauche. 2MBit Beamer sind vorhanden. Was ist mit Hardware? Gibt's angeschlossesne PCs oder müssen wir selbst drum kümmern? Gruß Ridvan __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
--- Ralf Nickel [EMAIL PROTECTED] schrieb: Was ist mit Hardware? Gibt's angeschlossesne PCs oder müssen wir selbst drum kümmern? Wir haben die Auswahl von 15 bis 30 PCs. Meines Wissens ist W2K SuSE 8.0 drauf installiert, aber die Dinger haben Wechselplatten. Vieleicht ist es sinnvoll wenn jeder (s)ein vorinstalliertes System mitbringt? Wer das möchte kann ja machen. Mir würde es reichen was drauf ist. Wir werden 3-4 leute sein. Hiermit melde ich mich offiziel :-) für den Arbeitsladen für 3 Plätze. Gruß Ridvan __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop
Ich möchte das gerne als Workshop veranstalten, da haben sicherlich alle mehr davon. Ganz ohne Theorie geht es halt nicht, es geht hier nämlich um sicherheitsrelevante Dinge. ich habe allerdings keine Räumlichkeiten zur Verfügung, wer kann an einen Raum mit Beamer und Internetanschluss (=T-DSL) kommen ? Die Agenda stelle ich mir ungefähr so vor: Grundsätzliches --- - Über vertrauenswürdige und nicht-vertrauenswürdige Netze - Was sind Tunnel ? - Notwendige Werkzeuge für ein IPsec Tunnel - IP Subnetworks (von Adressen, Netzmasken und Routern) - Wir planen gemeinsam ein VPN Es existiert bereits ein VPN im Internet, an dem wir uns auf dem Workshop anschließen werden. IP Netz ist 192.168.0.0/16... Probleme, die bei der Planung auftreten werden -- - Routingfragen, die sich aus Tunneling ergeben - iptables Pits Traps mit Tunneln - Statisches Routing, auf dyn. Routing verzichte ich hier mal - Warum einen zentralen Router ? Hands-On Teil 1 --- - Erforderliches Werkzeug - Anpassung des Kernels - Aufbau es VPN Gateways - Erzeugen der Keys - Erstellen der Config-Files für FreeSwan - Wenn ich noch einen Cisco mit einem 3DES IOS auftreiben kann, dann zeige ich das auch noch mit Cisco - Der erste Ping in das VPN... Hands-On Teil 2 --- - Konfiguration des Gateways als Router mit ip (iproute2). ifconfig/route verwenden wir nicht mehr - iptables Konfig., damit das Gateway das LAN in den IPsec Tunnel routet - Konfiguration eines zentralen Routers Grüße Christian PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] VPN/IPsec Workshop ja ich will
--- Ralf Nickel [EMAIL PROTECTED] schrieb: Kann ich mich noch zum Workshop anmelden? Wenn das geht freue ich mich riesig! Oh, ich sollte das ja auch noch in die Liste posten: Ich melde mich auch an. Gruß Ridvan __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
RE: [PUG] VPN/IPsec Workshop
--- Rossel, Dirk [AM] [EMAIL PROTECTED] schrieb: Hallo, da würde ich auch gerne teilnehmen. und wenn man die kosten auf 10 leute verteilt ist das auch okay denke ich, wäre es zumindest für mich. gruss dirk Erst Mal warten was mein Chef sagt. 200 kriege schon raus ;-) __ Gesendet von Yahoo! Mail - http://mail.yahoo.de Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de PUG - Penguin User Group Wiesbaden - http://www.pug.org