Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias: Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich einfach auf ipcop gegriffen vgl. www.ipcop.org
dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder presharedkey. gruß matze. > Joerg Zimmermann schrieb: > > Hi, > > > > Harald Tobias wrote: > >>Moin liebe Debianer, > >> > >>ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: > >> > >>In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht > >>ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst > >>werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte > >>hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein > >>Subnetz. An jedem Subnetz hängt eine andere Firma. > >> > >>Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter > >>via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. > >>und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil > >> > >>a) der Kunde will das so, weil > > > > würde ich als Kunde auch wollen. > > > >>b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso > >>vorhanden ist. > >> > >>OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. > >> > >>Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal > >>gemacht? Über jeden Tipp würde ich mich freuen. > > > > IPSec ist der Standard für sowas und in komplexeren Umgebungen > > allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und > > eignet sich gut für kleinere Umgebungen. Allerdings skaliert es > > nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. > > Aber das ist ja auch nicht gewünscht. > > Da der Router ja schon ein BSD ist, wäre interessant welches. > > Ich bin mir fast sicher, daß es OpenBSD ist. > > > Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es > > gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es > > aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war > > allerdings ein 2.6.(8?)'ter Kernel. > > > > Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. > > OpenBSD kann alles out of the Box was Du benötigst. > > Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die > > alten ini-Dateien von Windows. > > Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. > > Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, > > FWBuilder. > > Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann > > NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu > > konfigurieren. > > Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. > > Für genauere Infos melde Dich einfach nochmal. > > Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und > das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ > > Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD > beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann > *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch..... > > Was tut man nicht alles für Geld. > > Gruß - Harald -- Wie fängt man ein Kaninchen? Man setzt sich ins Gebüsch und macht das Geräusch einer wachsenden Möhre nach!
