Hallo Thomas, On 08.07.2018 15:48, Thomas Schäfer wrote:
> Wie gesagt, es ist ein Thema, dass mich interessiert, weil ich auch gern > gewusst hätte, ob es wirklich so schwierig ist oder ob ich nur zu doof bin. [...] Nachvollziehbar. Danke auch für Deine ausführliche Problembeschreibung, dadurch wird erheblich klarer, was Du Dir eigentlich vorstellst. Meine Erfahrung bei IPSec sieht so aus: Das Protokoll (zur vertraulichen und authentischen Übertragung von Inhalten) selbst ist sehr einfach und die wichtigsten Konzepte kann man schnell verstehen. Das ist weitgehend auch unabhängig von IPv4 und der komischen neueren Fassung mit der Sechs. Komplizierter wird's bei der Authentifikation vorher/währenddessen, da das dafür verwendete Protokoll IKE leider sehr viele Freiheiten lässt bzw. die jeweiligen Hersteller von VPN-Produkten sich diese herausnehmen. Aus diesem grund ist das in erster Linie eine Frage von "Wer-mit-wem?" Mir fallen da zwei Leute ein, die sich mit dem Thema befasst haben: Jens Link aus Berlin hat eine klare Meinung zu IPv6 und kann bestimmt auch was zu IPSec sagen, könnte ich mir denken. Matthias Weidner, beruflich meines Wissens gegenwärtig meistens im Frankfurter Raum, befasst sich seit einiger Zeit mit dem Thema Fehlersuche in IPSec. Vielleicht mögt Ihr ja einen der beiden nach München einladen. Ich könnte mir auch vorstellen, dass wir, sofern wir das als Kooperationsveranstaltung mit der German Unix User group (GUUG) labeln, die GUUG dabei einen kleinen Zuschuss gibt, dass das auch möglich wird. Die lokale Organisation müsste jedoch vor Ort vom Opensourcetreffen passieren. Grüße, Nils > Eben kein Angebotsvorschlag sondern ein Nachfragevorschlag. > Wenn andere darin keine Nachfrage sehen, brauchen wir auch keinen Referenten > suchen. > So wie Du es in Deinen letzten fünf Absätzen formuliert hast, so würde ich > das > auch unterschreiben, nur befürchte ich, dass dies dann ein Wochenworkshop und > kein 1-Tag-Workshop ist. (ausgehend von meinen bescheidenen kognitiven > Fähigkeiten) > Vielleicht geht es ja auch über diese Liste(ohne Workshop) - bis der erste > sagt - Stopp VPN-Themen sind mir zu langweilig. > > Zum Hintergrund meines Vorschlags. Achtung jetzt wird es lang. > Also, ich versuche für alle Anwendergewohnheiten, die es mit IPv4 gibt (nur > die guten, NAT sehe ich als keine gute Gewohnheit an) auch mit IPv6 nutzbar > zu machen, aus verschiedenen Gründen. Der erste: IPv6 gibt den Anwendern > Freiheiten zurück, die Anwender vor 20Jahren schon einmal hatten und aufgrund > von Zentralisierung und CGNAT/DS-lite aufgeben mussten. > Der dezentrale Gedanke und der von Opensource sind die, die mich gerade > hierher treiben. > Nach meinen bisherigen Recherchen scheint es ein Treppenwitz der Geschichte > zu > sein, dass ausgerechnet das zurück portierte Protokoll IPsec bei IPv4 > erfolgreicher ist als bei IPv6. > Wie komme ich darauf? > Beispiel AVM: Fritzbox-VPN nutzt IPsec, aber nur via IPv4 > Synololgy NAS: bringt drei VPN mit, nur eines nämlich OpenVPN läuft komplett > mit IPv6 (transport und payload) > Da frage ich mich natürlich, geht das wirklich nicht? Ist es zu komplex oder > ist der oss-"upstream" in dem Bereich kaputt? > Liegen andere Steine im Weg? z.B. bin ich derzeit in einer Diskussion mit dem > Support der Deutschen Telekom ob IPsec via IPv6 im Mobilfunknetz geblockt > wird > oder nicht. Die Telekom sagt nein. Mein Test mit einem (nicht auf meinen Mist > gewachsenen) Skript https://gist.github.com/vi/5628320 sagt das Gegenteil. > Zwischen anderen Netzen funktioniert es. > Ich könnte mich natürlich zurück lehnen und sagen ist mir egal. Schließlich > habe ich für meinen persönlichen Gebrauch zwei funktionierende OpenVPN-Setups > und für den dienstlichen Gebrauch Cisco AnyConnect - beide vollständig IPv6- > fähig, bei Openvpn ist demnächst auch IPv4 endlich abschaltbar. > Es ist mir aber nicht egal. > Wenn dabei noch eine gute (zur Veröffentlichung tauglich ) Anleitung > herausspringt um so besser. > Weitere Motivationsgedanken: Die Foren von Vodafone und Unitymedia (die > Telekom wird irgendwann folgen - auch die haben IPv4 nicht für alle Ewigkeit) > > sind voll von VPN-Problemen in beiden Richtungen (z.B von daheim zu > Arbeitgebern bzw. von unterwegs ins "Heimnetz"). > Ich möchte dort Hilfe anbieten können durch Verweis auf mehr als eine > Alternative. > Openvpn (opensource) ist gut, > cisco (kommerziell) ist gut > Am liebsten sind mir eben Lösungen, von denen ich wirklich weiß, dass sie > funktionieren und nicht nur irgendwo im Datenblatt steht "optional IPv6". > Was ist realistisch mit wenig Aufwand (z.B. Raspberry PI/openwrt ) > aufsetzbar? > Wo sollte man auf VMs mit mit Fertiglösungen *sense setzen? Hat jemand > Empfehlungen für gut integrierte Lösungen in kaufbaren Billigroutern bis hin > zum teureren Segment z.B. LANCOM? > > Danke fürs Lesen. > > Thomas > > > > > -- Abmelden und Archiv: https://lists.opensourcetreffen.de/mailman/listinfo/discuss Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert
