[PUG] VPN mit Linux

[Patrick Breucking]

Hallo zusammen,

ich bastel grade ein VPN-Gateway unter Linux zusammen. Ich habe mich zum 
größten Teil an dem Tutorial von Jacco 
(http://www.jacco2.dds.nl/networking/freeswan-l2tp.html) gehalten und im 
Bezug auf den l2tpns (aus Debian sarge) eure configs benutzt (vielen 
Dank schonmal hierfür). Ich kann nun mit einem WinXP Client eine 
Verbindung aufbauen, jedoch kann ich keinen Server aus dem Netz das 
hinter dem GW liegt pingen, schon gar nicht connecten. Ich denke das es 
ein Routing-Problem ist. Zur Erklärung: Der Gateway sitzt in einem 
Subnetz. Theoretisch haben alle Rechner dort Zugang zum Inet, aber an 
die IPs  150 kommt man von außen nicht dran. Das VPN soll den Zugriff 
ermöglichen = da es von Intern kommt.


Vielen Dank!
Gruß,
Patrick Breucking!

Hier die Configs

ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
   # Debug-logging controls:  none for (almost) none, all for lots.
   # klipsdebug=none
   # plutodebug=control parsing
   interfaces=ipsec0=eth3  -- ist die einzige Netzwerkkarte.
   klipsdebug=none
   plutodebug=none
   nat_traversal=yes

conn %default
   # PSK benutzen
   authby=secret
   # Perfect Forward Secrecy ausschalten
   pfs=no
   # Anzahl der Versuche
   keyingtries=3

conn L2TP-PSK-WINXPSP2-TEST
   # Serverseite konfigurieren
   # IP-Adresse
   left=xxx.xxx.5.70
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   leftprotoport=17/1701
   # Clientseite konfigurieren
   # IP Adresse
   #right=xxx.xxx.23.215
   right=%any
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   rightprotoport=17/1701
   # Automatisches starten und warten auf Verbindungen
   auto=add

conn L2TP-PSK-WINXP-TEST
   # Serverseite konfigurieren
   # IP-Adresse
   left=xxx.xxx.5.70
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   leftprotoport=17/0
   # Clientseite konfigurieren
   # IP Adresse
   #right=xxx.xxx.23.215
   right=%any
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   rightprotoport=17/1701
   # Automatisches starten und warten auf Verbindungen
   auto=add

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
/ende

l2tpns - startup_config

set debug 2
set log_file /var/log/l2tpns
set pid_file /var/run/l2tpns.pid
set l2tp_secret asecretone
set primary_dns xxx.xxx.5.67
set secondary_dns xxx.xxx.5.88
set save_state no
set primary_radius 127.0.0.1
set primary_radius_port 1812
set radius_accounting yes
set radius_secret asafeone
set cluster_interface eth3
set bind_address xxx.xxx.5.70
set peer_address xxx.xxx.5.254
#set cluster_master 0.0.0.0
set throttle_speed 512
set accounting_dir /var/run/l2tpns/acct/
set setuid 0
set dump_speed no

load plugin throttlectl
load plugin autothrottle
/ende

-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org

[PUG] VPN mit Linux

[Patrick Breucking]

Hallo zusammen,

ich bastel grade ein VPN-Gateway unter Linux zusammen. Ich habe mich zum 
größten Teil an dem Tutorial von Jacco 
(http://www.jacco2.dds.nl/networking/freeswan-l2tp.html) gehalten und im 
Bezug auf den l2tpns (aus Debian sarge) eure configs benutzt (vielen 
Dank schonmal hierfür). Ich kann nun mit einem WinXP Client eine 
Verbindung aufbauen, jedoch kann ich keinen Server aus dem Netz das 
hinter dem GW liegt pingen, schon gar nicht connecten. Ich denke das es 
ein Routing-Problem ist. Zur Erklärung: Der Gateway sitzt in einem 
Subnetz. Theoretisch haben alle Rechner dort Zugang zum Inet, aber an 
die IPs  150 kommt man von außen nicht dran. Das VPN soll den Zugriff 
ermöglichen = da es von Intern kommt.


Vielen Dank!
Gruß,
Patrick Breucking!

Hier die Configs

ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
   # Debug-logging controls:  none for (almost) none, all for lots.
   # klipsdebug=none
   # plutodebug=control parsing
   interfaces=ipsec0=eth3  -- ist die einzige Netzwerkkarte.
   klipsdebug=none
   plutodebug=none
   nat_traversal=yes

conn %default
   # PSK benutzen
   authby=secret
   # Perfect Forward Secrecy ausschalten
   pfs=no
   # Anzahl der Versuche
   keyingtries=3

conn L2TP-PSK-WINXPSP2-TEST
   # Serverseite konfigurieren
   # IP-Adresse
   left=xxx.xxx.5.70
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   leftprotoport=17/1701
   # Clientseite konfigurieren
   # IP Adresse
   #right=xxx.xxx.23.215
   right=%any
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   rightprotoport=17/1701
   # Automatisches starten und warten auf Verbindungen
   auto=add

conn L2TP-PSK-WINXP-TEST
   # Serverseite konfigurieren
   # IP-Adresse
   left=xxx.xxx.5.70
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   leftprotoport=17/0
   # Clientseite konfigurieren
   # IP Adresse
   #right=xxx.xxx.23.215
   right=%any
   # Port Einstellung fuer Windows XP (patched inkl. SP2)
   rightprotoport=17/1701
   # Automatisches starten und warten auf Verbindungen
   auto=add

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
/ende

l2tpns - startup_config

set debug 2
set log_file /var/log/l2tpns
set pid_file /var/run/l2tpns.pid
set l2tp_secret asecretone
set primary_dns xxx.xxx.5.67
set secondary_dns xxx.xxx.5.88
set save_state no
set primary_radius 127.0.0.1
set primary_radius_port 1812
set radius_accounting yes
set radius_secret asafeone
set cluster_interface eth3
set bind_address xxx.xxx.5.70
set peer_address xxx.xxx.5.254
#set cluster_master 0.0.0.0
set throttle_speed 512
set accounting_dir /var/run/l2tpns/acct/
set setuid 0
set dump_speed no

load plugin throttlectl
load plugin autothrottle
/ende

-- 

PUG - Penguin User Group Wiesbaden - http://www.pug.org

[PUG] VPN

[Frank Schnitzler]

Hallo zusammen!
Was brauche ich alles, um ein VPN auf die Beine zu stellen?
Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben?
Danke!
Frank

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN

[Robert Weißgraeber]

Hallo!

* Frank Schnitzler wrote/schrieb:
 Was brauche ich alles, um ein VPN auf die Beine zu stellen?
 Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben?

Schau dir mal FreeS/WAN an.

Gruß

//Robert

-- 
Robert Weißgraeber-o)
[EMAIL PROTECTED]  /\\
 _\_V
Message void if penguin violated ...  Don't mess with the penguin

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN

[Markus Hahn]

Am Donnerstag, 23. Oktober 2003 12:18 schrieb Robert Weißgraeber:
 Hallo!

 * Frank Schnitzler wrote/schrieb:
  Was brauche ich alles, um ein VPN auf die Beine zu stellen?
  Geht das auch mit Linux, oder muss ich da so ein Cisco Ding haben?

 Schau dir mal FreeS/WAN an.

 Gruß

 //Robert

Es gab dieses Jahr eine Linux-Magazin Ausgabe über VPN.
Dort findest Du sicherlich einigermasen gute Artikel darüber. 
Wäre sicherlich auch nicht falsch unter Berlios oder heise/IX  zu
suchen 

http://www.linux-magazin.de/Artikel/ausgabe/2003/10/tinc/tinc.html

Grüße Markus 


PUG - Penguin User Group Wiesbaden - http://www.pug.org

AW: [PUG] VPN

[Henrik Schneider]

so wies ausschaut, hat wol keiner von euch ein VPN am laufen.
ist es zu schwer? oder habt ihr keine ahnung? oder kein interesse?
naja, danke jedenfalls. für nichts.


PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN

[Hans Freitag]

Hi,

On Fri, Sep 13, 2002 at 10:04:52AM +0200, Henrik Schneider wrote:
 so wies ausschaut, hat wol keiner von euch ein VPN am laufen.
 ist es zu schwer? oder habt ihr keine ahnung? oder kein interesse?
 naja, danke jedenfalls. für nichts.

Jain, eher keine Zeit/Lust. Deine Mail ist eben nicht unter einer Minute
beantwortet! ;-)

Global ja, aber überlege dir die Sinnvollste lösung, das ist die die
später den geringsten Administrationsaufwand und damit die geringste
fehlerquelle bietet!

Überlege dir auch welches vpn du nehmen willst, FreeS/Wan ist zwar
standard, aber auch schwer aufzusetzen. OpenVPN oder Cipe sind da 
einfacher.
Ich fahre im Moment noch (Jehova) ppp over ssh.

bis denn
-- 
May the source be with you!


PUG - Penguin User Group Wiesbaden - http://www.pug.org

[PUG] VPN - Völlige Papp Nase

[Henrik Schneider]

mh ich probiere mich gerade mit VPN, und habe ein paar verständniss
probleme. als erstes werde ich mal meine Netz Infrastruktur zum besseren
verständniss, beschreiben.

mein netz (192.168.0.0/255.255.255.0) wird über ein NAS/pppoe router
(hardware) mit meinem ISP verbunden. dabei bekommt mein router eine
dynamische IP.
ist es möglich ein VPN aufzubauen, auch wenn man eine dynamische IP
zugewiesen bekommt. und wie sieht das netzwerk-setup physikalisch am besten
aus? muss ich den NAS router durch den VPN router ersetzen, oder kann ich
ihn auch hinter den schon vorhandenen router stellen (komplett in das netz
der rechner, die ich eigentlich erreichen will). eigentlich bekommt doch
eine Netzwerkkarte eine öffentlich IP adresse und die andere eine Interne IP
adresse).


wäre dies möglich:



ISProuter-s w i t c h---mehr rechner
  |   |
  K1-VPN-K2

K1 = netzwerkkarte mit 192.168.0.254 (jeweiligen ports am router auf diese
karte geleitet)
K2 = netzwerkkarte mit 192.168.0.253

die IP packs sollten doch eigentlich in folgender reihenfolge geroutet
werden, oder?

vpn-client---ISP-//-ISP--router---k1(192.168.0.254)---K2(192.168.0.253)-
--192.168.0.0


oder besser so:

ISP---k1(dynIP)-VPN-k2(192.168.0.253)---192.168.0.0

ich würde ungern auf den router verzichten, weil nicht umbedingt der VPN
router auch noch den normalen internet trafic routen muss.
kann mich jemand nachvollziehen? wahrscheinlich eher weniger. lol


henrik


PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Sebastian Gündisch]

On Mon, Aug 19, 2002 at 06:23:20 +0200, Christian Felsing wrote:
 Hallo Sebastian,
 
 für den ersten Termin wäre Dein Angebot sicherlich geeignet. Lässt sich das 
 für den 31.8. festmachen ?

Der Termin ist in ordnung. 

Irgendwie habe ich das Gefühl, daß nicht alle Mails von mir bei dir
ankommen. Ich habe dir nämlich auf diese Frage schon geantwortet.

Wäre es für dich möglich noch vor dem Workshop eine Installation zu
testen, damit wir am 31.8. nicht auf dem Trockenen sitzen?

Sebastian

-- 
Murphy's best friend was a computer.

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Christian Felsing]

Hallo Sebastian,

für den ersten Termin wäre Dein Angebot sicherlich geeignet. Lässt sich das 
für den 31.8. festmachen ?

Grüße
Christian

On Friday 16 August 2002 18:23, Sebastian Gündisch wrote:
 On Fri, Aug 16, 2002 at 01:01:45 +0200, Cöpcü Cöp wrote:
  Das angebot für den EDV-Raum ist eingetroffen!
 
  Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür
  begleichen.
 
  Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und
  3.Woche in Okt.
 
  Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken.
 
  Also, wann?

 Äm, wie es scheint gibt es für den VPN Workshop schon zwei laufende
 Angebote für einen Raum. Ich habe jetzt auch schon was dafür organisiert.
 Als Termin wurde der 31.8 mal in den Raum geworfen.

 Dann würde ich sagen daß der Christian Felsing das nach seinen Wünschen
 gestallten soll. Mein Angebot steht nach wie vor.

 Falls der mein Raum nicht für den VPN Workshop genommen wird, steht er
 selbstverständlich auch einem anderen Workshop zur Verfügung.

 Gruß

 Sebastian

-- 
GPG Public Key:
http://mail.taunusstein.net:11371/pks/lookup?op=getsearch=0xDE8C2A1B

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Sebastian Gündisch]

On Fri, Aug 16, 2002 at 01:01:45 +0200, Cöpcü Cöp wrote:
 Das angebot für den EDV-Raum ist eingetroffen!
 
 Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür begleichen.
 
 Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und 3.Woche in Okt.
 
 Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken.
 
 Also, wann?

Äm, wie es scheint gibt es für den VPN Workshop schon zwei laufende
Angebote für einen Raum. Ich habe jetzt auch schon was dafür organisiert.
Als Termin wurde der 31.8 mal in den Raum geworfen. 

Dann würde ich sagen daß der Christian Felsing das nach seinen Wünschen
gestallten soll. Mein Angebot steht nach wie vor. 

Falls der mein Raum nicht für den VPN Workshop genommen wird, steht er
selbstverständlich auch einem anderen Workshop zur Verfügung.

Gruß

Sebastian

-- 
To know recursion, you must first know recursion.

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Cöpcü Cöp]

Das angebot für den EDV-Raum ist eingetroffen!

Meine Fa. (nicht meine, wo ich schaffe) wird die Rechnung dafür begleichen.

Jetzt können wir den Termin festlegen.Mir passt alles bis auf 2. und 3.Woche in Okt.

Wenn der Termin festgelegt ist werde ich den Auftrag an FH schicken.

Also, wann?

Gruß

Ridvan 

__

Gesendet von Yahoo! Mail - http://mail.yahoo.de
Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Cöpcü Cöp]

 --- Ralf Nickel [EMAIL PROTECTED] schrieb:  
 EDV-Raum in der FH-Fresenius in Idstein, 200 Euro/Tag, 75 Euro/Abend. Unter 
 der Woche geht's nur in den Semesterferien und abends, am Wochenende ist's 
 egal.

Also der Betrag geht in Ordnung, meine Firma übernimmt ihn. Christian kann
entscheiden ob wir den Raum nur Tag oder Tag (an einem Wochenende) und Abend brauchen. 
 

Ich bräuchte allerdings eine Rechnung, gestellt an 

CommerceBay GmbH
Hamburger Allee 2-10
60486 Frankfurt am Main

und zwar sind ,bei der Erstellung der Rechnung , bitte, folgendes zu achten:

zitat von=Buchhaltung
für Rechnungstellungen ab 1. Juli 2002 sind vom Gesetzgeber neue
Anforderungen erhoben worden:

1. Der inländische Unternehmer hat die ihm vom Finanzamt erteilte
Steuernummer in der Rechnung anzugeben. Diese ist nicht identisch mit der
USt-ID-Nr.!

2. Es müssen Nettobetrag, Steuerbetrag, Steuersatz und Bruttobetrag (!!)
ausgewiesen sein. Ansonsten ist kein Vorsteuerabzug möglich.
/zitat

Sonst kriegen wir die Rechnung nicht bezahlt ;-}

 Ergo ist der Raum wahrscheinlich frei. Ich muss nur bescheid sagen, wann ich 
 ihn brauche.
 2MBit  Beamer sind vorhanden.

Was ist mit Hardware? Gibt's angeschlossesne PCs oder müssen wir selbst drum kümmern?

Gruß

Ridvan

__

Gesendet von Yahoo! Mail - http://mail.yahoo.de
Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Cöpcü Cöp]

 --- Ralf Nickel [EMAIL PROTECTED] schrieb:   Was ist mit Hardware? Gibt's 
angeschlossesne
PCs oder müssen wir selbst
  drum kümmern?
 Wir haben die Auswahl von 15 bis 30 PCs. Meines Wissens ist W2K  SuSE 8.0 
 drauf installiert, aber die Dinger haben Wechselplatten. Vieleicht ist es 
 sinnvoll wenn jeder (s)ein vorinstalliertes System mitbringt?

Wer das möchte kann ja machen. Mir würde es reichen was drauf ist.

Wir werden 3-4 leute sein. Hiermit melde ich mich offiziel :-) für den Arbeitsladen 
für 3
Plätze.

Gruß

Ridvan 

__

Gesendet von Yahoo! Mail - http://mail.yahoo.de
Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de

PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop

[Christian Felsing]

Ich möchte das gerne als Workshop veranstalten, da haben sicherlich alle mehr 
davon. Ganz ohne Theorie geht es halt nicht, es geht hier nämlich um 
sicherheitsrelevante Dinge.

ich habe allerdings keine Räumlichkeiten zur Verfügung, wer kann an einen Raum 
mit Beamer und Internetanschluss (=T-DSL) kommen ?

Die Agenda stelle ich mir ungefähr so vor:

Grundsätzliches
---

- Über vertrauenswürdige und nicht-vertrauenswürdige Netze
- Was sind Tunnel ?
- Notwendige Werkzeuge für ein IPsec Tunnel
- IP Subnetworks (von Adressen, Netzmasken und Routern)
- Wir planen gemeinsam ein VPN

Es existiert bereits ein VPN im Internet, an dem wir uns auf dem Workshop 
anschließen werden. IP Netz ist 192.168.0.0/16...

Probleme, die bei der Planung auftreten werden
--

- Routingfragen, die sich aus Tunneling ergeben
- iptables Pits  Traps mit Tunneln
- Statisches Routing, auf dyn. Routing verzichte ich hier mal
- Warum einen zentralen Router ?

Hands-On Teil 1
---
- Erforderliches Werkzeug
- Anpassung des Kernels
- Aufbau es VPN Gateways
- Erzeugen der Keys
- Erstellen der Config-Files für FreeSwan
- Wenn ich noch einen Cisco mit einem 3DES IOS auftreiben kann, dann zeige ich 
das auch noch mit Cisco
- Der erste Ping in das VPN...

Hands-On Teil 2
---
- Konfiguration des Gateways als Router mit ip (iproute2). ifconfig/route 
verwenden wir nicht mehr
- iptables Konfig., damit das Gateway das LAN in den IPsec Tunnel routet
- Konfiguration eines zentralen Routers

Grüße
Christian


PUG - Penguin User Group Wiesbaden - http://www.pug.org

Re: [PUG] VPN/IPsec Workshop ja ich will

[Cöpcü Cöp]

 --- Ralf Nickel [EMAIL PROTECTED] schrieb:  
  Kann ich mich noch zum Workshop anmelden?
  Wenn das geht freue ich mich riesig!
 
 Oh, ich sollte das ja auch noch in die Liste posten:
 
 Ich melde mich auch an.
 
 Gruß

Ridvan

__

Gesendet von Yahoo! Mail - http://mail.yahoo.de
Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de

PUG - Penguin User Group Wiesbaden - http://www.pug.org

RE: [PUG] VPN/IPsec Workshop

[Cöpcü Cöp]

 --- Rossel, Dirk [AM] [EMAIL PROTECTED] schrieb:  Hallo,
 
 da würde ich auch gerne teilnehmen. und wenn man die kosten auf 10 leute
 verteilt ist das auch okay denke ich, wäre es zumindest für mich. 
 
 
 gruss
 dirk
Erst Mal warten was mein Chef sagt. 200€ kriege schon raus ;-)

__

Gesendet von Yahoo! Mail - http://mail.yahoo.de
Möchten Sie mit einem Gruß antworten? http://grusskarten.yahoo.de

PUG - Penguin User Group Wiesbaden - http://www.pug.org