Am 14.03.2005 um 14:56 schrieb Michelle Konzack:
Hallo Heiko,
Am 2005-03-14 14:16:56, schrieb Heiko Schlittermann:
??? Soll der Vigor OpenVPN k�nnen?
:-/
Also mittlerweile gehe ich auf (Open|Free)SWAN" was wohl um einiges kompatibler sein d�rfte, da ich hardware router einsetzen m�chte.
M�chtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder m�chtest Du �ber die Router zwei Netze gesichert verbinden? Im letzteren Fall w�rde ich unter Linux doch OpenVPN nehmen, da OpenVPN IMHO einfacher einzurichten ist als IPsec.
Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollst�ndig implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon gro�e Probleme mit FreeSWAN zwischen Debian und Suse.
Hier mal eine Beispielkonfiguration f�r OpenVPN:
1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse 123.4.5.6. Alle Clients verbinden sich mit diesem Server �ber Port 1194/UDP:
local 123.4.5.6 port 1194 proto udp dev tap0 ca myca.crt cert myserver.crt key myserver.key dh mydh1024.pem mode server tls-server ifconfig 172.16.0.1 255.255.0.0 push "route-gateway 172.16.0.1" client-config-dir ccd keepalive 10 60 tls-auth myta.key 0 user nobody group nogroup persist-key persist-tun comp-lzo verb 4
Die Zertifikate und Schl�ssel werden mit openssl angelegt. Sollen sich die Clients gegenseitig sehen, muss zus�tzlich die Option client-to-client verwendet werden.
Im Unterverzeichnis ccd liegt f�r jeden Client eine Konfigurationsdatei mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im Beispiel wird mit Hilfe von push auf dem Client au�erdem eine weitere Route angelegt:
ifconfig-push 172.16.0.2 255.255.0.0 push "route 192.168.1.0 255.255.255.0"
2. Die Konfiguration auf dem Client ist einfacher:
client dev tap remote server.domain.com 1194 tls-auth myta.key 1 ca myca.crt cert myclient.crt key myclient.key comp-lzo verb 4
