Hallo Andreas, Am 2005-03-14 16:08:22, schrieb Andreas V�gele:
> M�chtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder
> m�chtest Du �ber die Router zwei Netze gesichert verbinden? Im
Also standardm��ig zwei Netzwerke (Also "Hauptsitz" mit POP) verbinden,
mit Ausnahme von meinem Laptop, mit dem ich mich von Kunden oder
Internet Cafes oder per Modem direkt verbinden will..
> letzteren Fall w�rde ich unter Linux doch OpenVPN nehmen, da OpenVPN
> IMHO einfacher einzurichten ist als IPsec.
W�rde aber bedeuten, das ich an jedem POP einen LinuxRouter
installieren mu� die wesentlich St�rungsanf�lliger sind als
VPN IPSec Hardware Router. Desweiteren ist nicht sichergestellt,
das vor Ort, im Falle von Problemen, eine kompetente Person da ist.
> Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es
Funktioniert halt nicht mit Hardware Routern was ich bereits
festgestellt habe... SSL != IPSec
> wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner
W�rde aber bedeuten, das meine Programme auf dem Router
reprogrammiert und neu angeschaft werden m�ssen...
> Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie
> IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollst�ndig
> implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten
Also ich bin derzeit am lesen (FreeSWAN), aber die
Manualseiten sind wirklich keien Hilfe...
> die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine
> Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon
> gro�e Probleme mit FreeSWAN zwischen Debian und Suse.
Solange FreeSWAN mit DrayTek funktioniert...
> Hier mal eine Beispielkonfiguration f�r OpenVPN:
>
> 1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse
> 123.4.5.6. Alle Clients verbinden sich mit diesem Server �ber Port
> 1194/UDP:
Sowas habe ich aus der Beispielconfig �bernommen...
> local 123.4.5.6
^^^^^^^^^
Die sollte doch wohl mit dem "ifconfig" Eintrag correspondieren
oder ? Also iregndwas mit 172.16.X.X.
> port 1194
> proto udp
> dev tap0
> ca myca.crt
> cert myserver.crt
> key myserver.key
> dh mydh1024.pem
> mode server
> tls-server
> ifconfig 172.16.0.1 255.255.0.0
> push "route-gateway 172.16.0.1"
Was mu�t Du bei ifconfig angeben ? Welche IP ist das ?
Ich habe z.B.:
__( 'stdin' )_________________________________________________________
/
| publicnet 192.168.1. 0-127/25 router .1
| privatenet 192.168.1.128-191/26 router .129
| securenet 192.168.1.192-199/29 router .193
| cybernet 192.168.1.224-255/27 router .225
|
| internet 192.168.1.200-207 router .201 adsl1 .202
| adsl2 .203
| adsl3 .204
| adsl4 .205
| isdn1 .206
|
| wavenet 192.168.1. 1-255/24 router .1
| dslnet 192.168.2. 1-255/24 router .1
| dialnet 192.168.3. 1-255/24 router .1
\______________________________________________________________________
Wobei OpenVPN auf dem Router sitzt, welcher die IP-Addressen:
192.168.1.1
192.168.1.129
192.168.1.193
192.168.1.113
192.168.1.201
192.168.2.1
192.168.3.1
192.168.4.1
hat. Was mu� ich dann f�r "local" angeben ?
Wenn ich mit der config mein "cybernet" VPNen will, sollten
ifconfig 192.168.1.225 255.255.255.224
push "route-gateway 192.168.1.225"
richtig sein.
> client-config-dir ccd
> keepalive 10 60
> tls-auth myta.key 0
> user nobody
> group nogroup
> persist-key
> persist-tun
> comp-lzo
> verb 4
Was ich daran nicht verstehe, ist der Client der sich
zu DIESEM Server conneted ein $HOST oder $NETWORK ?
> Die Zertifikate und Schl�ssel werden mit openssl angelegt. Sollen sich
> die Clients gegenseitig sehen, muss zus�tzlich die Option
> client-to-client verwendet werden.
Hatte die "Tools" im "/usr/share/doc/openvpn/examples/"
Verzeichnis gefunden...
> Im Unterverzeichnis ccd liegt f�r jeden Client eine Konfigurationsdatei
> mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe
> dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im
Also ist das ganze eine $NETWORK => $HOST configuration, sprich,
jeder Computer der sich connected ben�tigt einen OpenVPN CLient.
Was mu� in der Datei alles drinstehne ?
> Beispiel wird mit Hilfe von push auf dem Client au�erdem eine weitere
> Route angelegt:
>
> ifconfig-push 172.16.0.2 255.255.0.0
> push "route 192.168.1.0 255.255.255.0"
Das verstehe ich nicht...
Wo soll diese Config sein ? Auf dem VPN Server oder Client ?
> 2. Die Konfiguration auf dem Client ist einfacher:
>
> client
> dev tap
> remote server.domain.com 1194
> tls-auth myta.key 1
> ca myca.crt
> cert myclient.crt
> key myclient.key
> comp-lzo
> verb 4
Igendwie eigenartig...
Die Variablen $KEY_DIR und $KEYCONFIG existieren bei mir bereits, aber
beim Generieren der Certifikate, etc., bekomme ich Fehlermeldungen und
wenn ich die Variablen l�schen kriege ich �rger mit zwei Programmen.
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
signature.pgp
Description: Digital signature
