Re: [OpenVPN] Pro Client eine Session ?
Am 14.03.2005 um 18:13 schrieb Michelle Konzack: local 123.4.5.6 ^ Die sollte doch wohl mit dem ifconfig Eintrag correspondieren oder ? Also iregndwas mit 172.16.X.X. Das ist die Adresse der lokalen Schnittstelle, also zum Beispiel die Adresse von eth0. local kann man auch weglassen, dann lauscht OpenVPN auf allen Schnittstellen. Hm, es wäre eindeutiger, wenn das Schlüsselwort listen anstatt local heißen würde. ifconfig 172.16.0.1 255.255.0.0 push route-gateway 172.16.0.1 Was mußt Du bei ifconfig angeben ? Welche IP ist das ? Das ist die IP-Adresse, die das tap-Device bekommt. Mit den tap-Devices bildest Du ein virtuelles Transportnetz, mit denen Du die physikalischen Netze verbindest. Im folgenden Beispiel ist der VPN-Server in der Mitte. Links und rechts sind die Netze, die miteinander verbunden werden sollen. Netz 1tap0Internettap0Internettap0 Netz 2 192.168.1.0/24 --- 172.16.0.2 172.16.0.1 172.16.0.3 --- 10.0.0.0/8 eth0:56.7.8.9 eth0:123.4.5.6 eth0:76.5.4.3 eth1:192.168.1.1 eth1:10.0.0.1 Links gibt es ein Netz, in dem die IP-Adressen aller Rechner aus dem Bereich 192.168.1.0/24 kommen. Der dortige Router ist via eth1 in diesem Netz. Über eth0 ist er im Internet. Der VPN-Server ist im Internet unter der Adresse 123.4.5.6 erreichbar. Rechts sieht es ähnlich aus, nur dass das dortige Netz die Adresse 10.0.0.0/8 hat. Mit OpenVPN bildest Du ein Transportnetz. Der VPN-Server hat die virtuelle Adresse 172.16.0.1, die beiden Router (Clients) in den zu verbindenden Netzen bekommen von OpenVPN die Adressen 172.16.0.2 und 172.16.0.3. Wenn Du vom linken auf das rechte Netz zugreifen möchtest, stellst Du auf allen Rechnern im linken Netz den Router mit der Adresse 192.168.1.1 als Standardgateway ein. Auf dem Router selbst richtest Du mit Hilfe von OpenVPN eine statische Route ein, die alles, was ins Netz 10.0.0.0/8 soll zum Server, d.h. nach 172.16.0.1 schickt. Der VPN-Server wiederum muss so konfiguriert sein, dass er diese Pakete weiter zu 172.16.0.3 leitet. Auf der rechten Seite gibt es eine Route, die alles für 192.168.0/24 über 172.16.0.1 schickt. Was ich daran nicht verstehe, ist der Client der sich zu DIESEM Server conneted ein $HOST oder $NETWORK ? Ein Host. Du baust eine Punkt-zu-Punkt-Verbindung auf. Die Netze werden mit entsprechenden Routen verbunden. Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdatei mit dem sog. Common Name aus dem Zertifikat als Dateiname. [..] Was muß in der Datei alles drinstehne ? Eigentlich nur ifconfig-push, um dem Client eine IP-Adresse zuzuweisen. Allerdings kannst Du Adressen mit OpenVPN auch dynamisch vergeben, so dass Du auf client-config-dir ganz verzichten kannst. Ich habe es aber gerne, wenn Clients immer dieselbe IP-Adresse verwenden, da ich dann in den Logdateien keine wechselnden Adressen habe. Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere Route angelegt: ifconfig-push 172.16.0.2 255.255.0.0 push route 192.168.1.0 255.255.255.0 Das verstehe ich nicht... Wo soll diese Config sein ? Auf dem VPN Server oder Client ? Auf dem Server. Mit client-config-dir gibst Du ein Verzeichnis an, in dem für jeden Client eine eigene Konfigurationsdatei liegt. Im Prinzip nichts weiter als ein include.
Re: [OpenVPN] Pro Client eine Session ?
Michelle Konzack wrote: Wo ist der Unterschied zwischen beiden ? Der Maintainer ist der gleiche... Der Unterschied ist, dass beide aus der gleichen Basis stammen, das war FreeSWAN. Dann gab es etwas Gerangel um einige Auffassungen der Entwickler und ein paar haben FreeSWAN genommen und dann als OpenSWAN weiterentwickelt. Genaueres solltest Du auf der Webseite von OpenSWAN (www.openswan.org) finden oder google befragen.. Ich wollte immer schonmal OpenSWAN austesten, bin dann aber bei OpenVPN haengen geblieben, weil das ja nur einen Port braucht, einfach einzurichten geht und auch durch eine NAT Firewall funktioniert. Bin voll zufrieden damit ;-) Cheers, Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
[OpenVPN] Pro Client eine Session ?
Malzeit Leute, bin gerade dabei, mich nochmal in OpenVPN reinzuarbeiten und ich habe festgestellt das ich mich mit einem DrayTek Vigor 2500 nicht connecten kann. Jetzt habe ich folgende Fragen. Ich habe ja ein locales Netzwerk mit 5 Subnets wobei auf drei per VPN zugegriffen werden muß. Jetzt habe ich mehrere Arbeitsgruppen auf der Welt die aus 2 bis 8 Rechnern bestehen. Soweit ich das jetzt aus den Beispiel configs herausgelesen habe, muß ich PRO Client eine openvpn Sitzung auf dem Server starten... Das ist aber nicht das, was ich will. Sprich, ich will, z.B. mit einen DrayTek Vigor 2500 oder 2600V, in Marokko ans Internet gehen, aber die verwendeten internen IPs sollen aus meinem VPN aus Strasbourg kommen. Also die DrayTek Router können direkte Server-Server VPN's machen genauso wie Server-Client. Geht das auch mit OpenVPN ? Muß ich dann meinen OpenVPN Server auf dem Router installieren ? (Gehe mal davon aus, sonst könnte ich keine drei unterschiedlichen Subnets ansprechen) Und wie muß ich OpenVPN konfigurieren das ich mit den DrayTek Vigor zugreifen kann ? Grüße Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
On Monday 14 March 2005 11:23, Michelle Konzack wrote: Malzeit Leute, [...] Muß ich dann meinen OpenVPN Server auf dem Router installieren ? (Gehe mal davon aus, sonst könnte ich keine drei unterschiedlichen Subnets ansprechen) Und wie muß ich OpenVPN konfigurieren das ich mit den DrayTek Vigor zugreifen kann ? Du hast die Doku gelesen? Bei meinem Vigor ist die Rede von IPSec bzw. PPTP und bei OpenVPN ist die Rede von SSL. Das passt IMHO nicht ganz. Der Vigor und OpenSWAN vertragen sich bei mir dagegen sehr gut. Und darüber bekomme ich auch LAN-LAN hin. Wenn auch für jede Kombination einen Tunnel kriegt ;-). Thomas -- IRC: TomseDive Jabber: [EMAIL PROTECTED] ICQ: 4843585 pgpCIyZPLZL6H.pgp Description: PGP signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 11:37:44, schrieb Thomas Vollmer: Du hast die Doku gelesen? Bei meinem Vigor ist die Rede von IPSec bzw. PPTP und bei OpenVPN ist die Rede von SSL. Das passt IMHO nicht ganz. Ah so... Der Vigor und OpenSWAN vertragen sich bei mir dagegen sehr gut. Und darüber bekomme ich auch LAN-LAN hin. Wenn auch für jede Kombination einen Tunnel kriegt ;-). Nur OpenSWAN bekomme ich auf dem Router (WOODY + Linux 2.4.27) nicht zum laufen. Haste eine Quelle for WOODY Pakete ? CristallGOOGLE liefert mir nur Sachen für 2.6er Kernel zurück, den ich nicht (wegen ein paar programmen) verwenden kann. Thomas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Michelle Konzack schrieb: [...] Soweit ich das jetzt aus den Beispiel configs herausgelesen habe, muß ich PRO Client eine openvpn Sitzung auf dem Server starten... Das neue OpenVPN 2.0_rc16 hat diese Einschränkung nicht mehr. Da braucht man nur eine Session. [...] Grüße Michelle Greets Tom -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OpenVPN] Pro Client eine Session ?
On Monday 14 March 2005 11:59, Michelle Konzack wrote: Am 2005-03-14 11:37:44, schrieb Thomas Vollmer: Du hast die Doku gelesen? Bei meinem Vigor ist die Rede von IPSec bzw. PPTP und bei OpenVPN ist die Rede von SSL. Das passt IMHO nicht ganz. Ah so... Der Vigor und OpenSWAN vertragen sich bei mir dagegen sehr gut. Und darüber bekomme ich auch LAN-LAN hin. Wenn auch für jede Kombination einen Tunnel kriegt ;-). Nur OpenSWAN bekomme ich auf dem Router (WOODY + Linux 2.4.27) nicht zum laufen. Haste eine Quelle for WOODY Pakete ? CristallGOOGLE liefert mir nur Sachen für 2.6er Kernel zurück, den ich nicht (wegen ein paar programmen) verwenden kann. Was ist dann mit FreeS/WAN? Das sollte doch bei Woody dabei sein und genauso wie OPenSWAN mit 2.4 und 2.6 laufen. Thomas -- IRC: TomseDive Jabber: [EMAIL PROTECTED] ICQ: 4843585 pgpD0vHy5S7vv.pgp Description: PGP signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 11:58:45, schrieb Thomas Boeck: Das neue OpenVPN 2.0_rc16 hat diese Einschränkung nicht mehr. Da braucht Hmmm, ist noch nicht in SID. man nur eine Session. Eine Session komplett oder eine Session Router-Router ? Von den Router-Router verbindungen hätte ich derzeit 3, aber es werden wohl an die 20 werden Macht es dann auch IPsec ? (Das wars, warum ich keine Verbindung bekommen habe :-/ ) Greets Tom Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 11:37:44, schrieb Thomas Vollmer: Der Vigor und OpenSWAN vertragen sich bei mir dagegen sehr gut. Und darüber bekomme ich auch LAN-LAN hin. Wenn auch für jede Kombination einen Tunnel kriegt ;-). Was ist eigentlich der unterschied zwischen OpenSWANund FreeSWAN Hatte gesehen das es auf einigen NEWS-Groups und Mailingliste sowas wie FlameWars gibt... Beide Pakete sind in SID und beidesmal ist Rene Mayrhofer der Maintainer... Jetzt raff ich garnichts mehr. Thomas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 12:06:46, schrieb Thomas Vollmer: Was ist dann mit FreeS/WAN? Das sollte doch bei Woody dabei sein und genauso wie OPenSWAN mit 2.4 und 2.6 laufen. Habe vor ein paar minuten gesehen, das FreeSWAN als Backport existiert. Aber nicht OpenSWAN. Wo ist der Unterschied zwischen beiden ? Der Maintainer ist der gleiche... Thomas Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
On Monday 14 March 2005 12:18, Michelle Konzack wrote: Am 2005-03-14 11:37:44, schrieb Thomas Vollmer: Der Vigor und OpenSWAN vertragen sich bei mir dagegen sehr gut. Und darüber bekomme ich auch LAN-LAN hin. Wenn auch für jede Kombination einen Tunnel kriegt ;-). Was ist eigentlich der unterschied zwischen OpenSWANund FreeSWAN Hatte gesehen das es auf einigen NEWS-Groups und Mailingliste sowas wie FlameWars gibt... Beide Pakete sind in SID und beidesmal ist Rene Mayrhofer der Maintainer... Jetzt raff ich garnichts mehr. Das ursprüngliche Projekt hieß FreeS/WAN. Nachdem dann die Entwicklung offiziell engestellt wurde, entstanden daraus mehrere Nachfolgeprojekte (OpenSWAN ung ich glaube SuperSWAN). Diese benutzen die letzte stabile Version von FreeSWAN als Basis. Daher unterscheidet sich die Nutzung und Konfiguration auch nur marginal. Allerdings sind teileweise Patches für X.509 oder NAT Traversel eingeflossen etc. Gruß Thomas -- IRC: TomseDive Jabber: [EMAIL PROTECTED] ICQ: 4843585 pgpmgsO5nUe53.pgp Description: PGP signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 12:32:06, schrieb Thomas Vollmer: Das ursprüngliche Projekt hieß FreeS/WAN. Nachdem dann die Entwicklung offiziell engestellt wurde, entstanden daraus mehrere Nachfolgeprojekte Wenn Du sagst eingestellt dann sollte man nur noch OpenSWAN verwenden oder ? (OpenSWAN ung ich glaube SuperSWAN). Diese benutzen die letzte stabile Version von FreeSWAN als Basis. Daher unterscheidet sich die Nutzung und Konfiguration auch nur marginal. Allerdings sind teileweise Patches für X.509 oder NAT Traversel eingeflossen etc. OK Gruß Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Michelle Konzack schrieb: Am 2005-03-14 11:58:45, schrieb Thomas Boeck: Das neue OpenVPN 2.0_rc16 hat diese Einschränkung nicht mehr. Da braucht Hmmm, ist noch nicht in SID. man nur eine Session. Eine Session komplett oder eine Session Router-Router ? Von den Router-Router verbindungen hätte ich derzeit 3, aber es werden wohl an die 20 werden Eine Session komplett. Weitere Infos gibts unter http://openvpn.net/ . Macht es dann auch IPsec ? (Das wars, warum ich keine Verbindung bekommen habe :-/ ) Nein, macht es nicht. Nur SSL. cu Tom -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OpenVPN] Pro Client eine Session ?
On Monday 14 March 2005 12:48, Michelle Konzack wrote: Am 2005-03-14 12:32:06, schrieb Thomas Vollmer: Das ursprüngliche Projekt hieß FreeS/WAN. Nachdem dann die Entwicklung offiziell engestellt wurde, entstanden daraus mehrere Nachfolgeprojekte Wenn Du sagst eingestellt dann sollte man nur noch OpenSWAN verwenden oder ? Ich glaube nicht das man das so pauschal sehen kann. Klar, auf einem Sarge System würde ich dann auch sofort OpenSWAN einsetzen. Aber bei Woody gibt es halt zwei große Kriterien. Zum einen ob ich eine Funktion brauche und ob ich security fixes kriege. Zumindest für letzteres wird das Debian Team wohl noch sorgen, da aufgrund der gemeinsamen Codebasis die Patches noch nutzbar sind und der Mantainer ist ja Deiner Aussage nach auch die selbe Person. Daher stellt sich die Frage ob Du so Dinge wie X.509, NAT Trav. u.a. benötigst. Zumindest für Deine Vigor Anbindung reicht auch FreeSWAN. Und die Konfiguration lässt sich in Zukunft auch relativ schnell für OpenSWAN ummodeln. Gruß Thomas -- IRC: TomseDive Jabber: [EMAIL PROTECTED] ICQ: 4843585 pgpIpNeKUgmgh.pgp Description: PGP signature
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 13:25:16, schrieb Thomas Vollmer: Aber bei Woody gibt es halt zwei große Kriterien. Zum einen ob ich eine Funktion brauche und ob ich security fixes kriege. Naja, ich würde aus SARGE backporten... Sprich wenn SARGE stable ist, bekomme ich sowieso Security-Fixes und mein AutoBuilder bastelt sowieso immer die neuesten Pakete (die ich haben will) und legt sie in mein privates Repository. Zumindest für letzteres wird das Debian Team wohl noch sorgen, da aufgrund der gemeinsamen Codebasis die Patches noch nutzbar sind und der Mantainer ist ja Deiner Aussage nach auch die selbe Person. Eben... Daher stellt sich die Frage ob Du so Dinge wie X.509, NAT Trav. u.a. benötigst. Zumindest für Deine Vigor Anbindung reicht auch FreeSWAN. Und die Konfiguration lässt sich in Zukunft auch relativ schnell für OpenSWAN ummodeln. Sag mal, da ich neben dem VPN auch noch VoIP intern verwenden möchte hatte ich die Vigor 2600V entdeckt nur die kosten 272 n¤nen für die Annex B Version... Ist aber praktisch, wenn man zwei normale analoge Telefone anschließen will... Kennst Du ADSL Modem-Router die neben IPSec auch VoIP machen kann, allerdings kostengünstiger als die DrayTek sind ? Gruß Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Michelle Konzack [EMAIL PROTECTED] (Mo 14 Mär 2005 11:23:53 GMT): Malzeit Leute, bin gerade dabei, mich nochmal in OpenVPN reinzuarbeiten und ich habe festgestellt das ich mich mit einem DrayTek Vigor 2500 nicht connecten kann. ??? Soll der Vigor OpenVPN können? Also die DrayTek Router können direkte Server-Server VPN's machen genauso wie Server-Client. Geht das auch mit OpenVPN ? OpenVPN ist in proprietär -- also m.W. nur mit sich selbst kompatibel. Muß ich dann meinen OpenVPN Server auf dem Router installieren ? Ich würde sagen: Ja. (Wie auch immer das geht...) Und wie muß ich OpenVPN konfigurieren das ich mit den DrayTek Vigor zugreifen kann ? Da mir irgendwie der Bezug vom Subject fehlt: Was heißt Pro Client eine Session??? Wenn Du meinst, einen Daemon pro Client, dann ist das falsch. Es kann als Server laufen und mit einem Daemon viele gleichzeitige Sessions bedienen. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de internet unix support - Heiko Schlittermann HS12-RIPE - gnupg encrypted messages are welcome - key ID: 48D0359B --- gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - signature.asc Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Hallo Heiko, Am 2005-03-14 14:16:56, schrieb Heiko Schlittermann: ??? Soll der Vigor OpenVPN können? :-/ Also mittlerweile gehe ich auf (Open|Free)SWAN was wohl um einiges kompatibler sein dürfte, da ich hardware router einsetzen möchte. Geht das auch mit OpenVPN ? OpenVPN ist in proprietär -- also m.W. nur mit sich selbst kompatibel. Gestrichen. = (Open|Free)SWAN Muß ich dann meinen OpenVPN Server auf dem Router installieren ? Ich würde sagen: Ja. (Wie auch immer das geht...) Ich weis garnicht wie ich das alles einrichten muß... Habe mir gerade mal die man/doc aus dem freeswan Paket geholt... Und wie muß ich OpenVPN konfigurieren das ich mit den DrayTek Vigor zugreifen kann ? Da mir irgendwie der Bezug vom Subject fehlt: Was heißt Pro Client eine Session??? Wenn Du meinst, einen Daemon pro Client, dann ist das falsch. Es kann als Server laufen und mit einem Daemon viele gleichzeitige Sessions bedienen. Also wenn ich einen Hauptsitz habe, wo der Server sitzt, muß ich aber doch für jeden POP den ich irgendwo in der Welt oder auch in Dresden installiere einen Daemon laufen lassen oder ? So hatte ich das jedenfals verstanden... Eins was mir nicht klar ist, ist wie die IPs dann verwaltet werden... Sprich, in Strasbourg habe ich mein Subnet mit 192.168.1.64/27 (32IPs) und die Computer 192.168.1.66sql 192.168.1.69samba3 192.168.1.71michelle1 192.168.1.72R40 und in Dresden habe ich einen Mitarbeiter Heiko :-) 192.168.1.89heiko Vor allem wie ich das auf meinem Router in Strasbourg configurieren muß. Und das oben gennante Subnet ist ja nur mein privates... ich habe aber noch zwei weitere. Desweiteren weis ich noch nicht, wie das läuft, wenn die privaten IP's gegen public IP's ausgetauscht werden... (habe einen 256 IP-Block) Sobald ich aber in Marokko bin, kommen drei weitere IP-Blöcke dazu. Denke, das ich mein Netzwerk und meine Subnets als erstes mal neu configurieren sollte sprich, mit vier privaten IP-Blöcken wobei sich ja die IP's On-The-Fly per Script in Sekunden austauschen lassen. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: [OpenVPN] Pro Client eine Session ?
Am 14.03.2005 um 14:56 schrieb Michelle Konzack: Hallo Heiko, Am 2005-03-14 14:16:56, schrieb Heiko Schlittermann: ??? Soll der Vigor OpenVPN können? :-/ Also mittlerweile gehe ich auf (Open|Free)SWAN was wohl um einiges kompatibler sein dürfte, da ich hardware router einsetzen möchte. Möchtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder möchtest Du über die Router zwei Netze gesichert verbinden? Im letzteren Fall würde ich unter Linux doch OpenVPN nehmen, da OpenVPN IMHO einfacher einzurichten ist als IPsec. Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollständig implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon große Probleme mit FreeSWAN zwischen Debian und Suse. Hier mal eine Beispielkonfiguration für OpenVPN: 1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse 123.4.5.6. Alle Clients verbinden sich mit diesem Server über Port 1194/UDP: local 123.4.5.6 port 1194 proto udp dev tap0 ca myca.crt cert myserver.crt key myserver.key dh mydh1024.pem mode server tls-server ifconfig 172.16.0.1 255.255.0.0 push route-gateway 172.16.0.1 client-config-dir ccd keepalive 10 60 tls-auth myta.key 0 user nobody group nogroup persist-key persist-tun comp-lzo verb 4 Die Zertifikate und Schlüssel werden mit openssl angelegt. Sollen sich die Clients gegenseitig sehen, muss zusätzlich die Option client-to-client verwendet werden. Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdatei mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere Route angelegt: ifconfig-push 172.16.0.2 255.255.0.0 push route 192.168.1.0 255.255.255.0 2. Die Konfiguration auf dem Client ist einfacher: client dev tap remote server.domain.com 1194 tls-auth myta.key 1 ca myca.crt cert myclient.crt key myclient.key comp-lzo verb 4
Re: [OpenVPN] Pro Client eine Session ?
Hallo Andreas, Am 2005-03-14 16:08:22, schrieb Andreas Vögele: Möchtest Du direkt zu den Routern IPsec-Verbindungen aufbauen oder möchtest Du über die Router zwei Netze gesichert verbinden? Im Also standardmäßig zwei Netzwerke (Also Hauptsitz mit POP) verbinden, mit Ausnahme von meinem Laptop, mit dem ich mich von Kunden oder Internet Cafes oder per Modem direkt verbinden will.. letzteren Fall würde ich unter Linux doch OpenVPN nehmen, da OpenVPN IMHO einfacher einzurichten ist als IPsec. Würde aber bedeuten, das ich an jedem POP einen LinuxRouter installieren muß die wesentlich Störungsanfälliger sind als VPN IPSec Hardware Router. Desweiteren ist nicht sichergestellt, das vor Ort, im Falle von Problemen, eine kompetente Person da ist. Ich setze unter GNU/Linux praktisch nur noch OpenVPN sein. Wenn es Funktioniert halt nicht mit Hardware Routern was ich bereits festgestellt habe... SSL != IPSec wirklich IPsec sein muss, nehme ich OpenBSD mit isakmpd. Meiner Würde aber bedeuten, das meine Programme auf dem Router reprogrammiert und neu angeschaft werden müssen... Erfahrung nach ist das derzeit die einzige wirklich brauchbare freie IPsec-Implementierung. (Open|Free)SWAN und Racoon sind unvollständig implementiert und schlecht dokumentiert. Solange Du auf beiden Seiten Also ich bin derzeit am lesen (FreeSWAN), aber die Manualseiten sind wirklich keien Hilfe... die gleiche OpenSWAN-Version einsetzt, wirst Du wahrscheinlich keine Probleme haben. In der Vergangenheit hatte ich aber zum Beispiel schon große Probleme mit FreeSWAN zwischen Debian und Suse. Solange FreeSWAN mit DrayTek funktioniert... Hier mal eine Beispielkonfiguration für OpenVPN: 1. Zentraler Server mit dem Namen server.domain.com und der IP-Adresse 123.4.5.6. Alle Clients verbinden sich mit diesem Server über Port 1194/UDP: Sowas habe ich aus der Beispielconfig übernommen... local 123.4.5.6 ^ Die sollte doch wohl mit dem ifconfig Eintrag correspondieren oder ? Also iregndwas mit 172.16.X.X. port 1194 proto udp dev tap0 ca myca.crt cert myserver.crt key myserver.key dh mydh1024.pem mode server tls-server ifconfig 172.16.0.1 255.255.0.0 push route-gateway 172.16.0.1 Was mußt Du bei ifconfig angeben ? Welche IP ist das ? Ich habe z.B.: __( 'stdin' )_ / | publicnet 192.168.1. 0-127/25router .1 | privatenet 192.168.1.128-191/26router .129 | securenet 192.168.1.192-199/29router .193 | cybernet192.168.1.224-255/27router .225 | | internet192.168.1.200-207 router .201 adsl1 .202 | adsl2 .203 | adsl3 .204 | adsl4 .205 | isdn1 .206 | | wavenet 192.168.1. 1-255/24router .1 | dslnet 192.168.2. 1-255/24router .1 | dialnet 192.168.3. 1-255/24router .1 \__ Wobei OpenVPN auf dem Router sitzt, welcher die IP-Addressen: 192.168.1.1 192.168.1.129 192.168.1.193 192.168.1.113 192.168.1.201 192.168.2.1 192.168.3.1 192.168.4.1 hat. Was muß ich dann für local angeben ? Wenn ich mit der config mein cybernet VPNen will, sollten ifconfig 192.168.1.225 255.255.255.224 push route-gateway 192.168.1.225 richtig sein. client-config-dir ccd keepalive 10 60 tls-auth myta.key 0 user nobody group nogroup persist-key persist-tun comp-lzo verb 4 Was ich daran nicht verstehe, ist der Client der sich zu DIESEM Server conneted ein $HOST oder $NETWORK ? Die Zertifikate und Schlüssel werden mit openssl angelegt. Sollen sich die Clients gegenseitig sehen, muss zusätzlich die Option client-to-client verwendet werden. Hatte die Tools im /usr/share/doc/openvpn/examples/ Verzeichnis gefunden... Im Unterverzeichnis ccd liegt für jeden Client eine Konfigurationsdatei mit dem sog. Common Name aus dem Zertifikat als Dateiname. Mit Hilfe dieser Datei wird jedem Client eine feste IP-Adresse zugewiesen. Im Also ist das ganze eine $NETWORK = $HOST configuration, sprich, jeder Computer der sich connected benötigt einen OpenVPN CLient. Was muß in der Datei alles drinstehne ? Beispiel wird mit Hilfe von push auf dem Client außerdem eine weitere Route angelegt: ifconfig-push 172.16.0.2 255.255.0.0 push route 192.168.1.0 255.255.255.0 Das verstehe ich nicht... Wo soll diese Config sein ? Auf dem VPN Server oder Client ? 2. Die Konfiguration auf dem Client ist einfacher: client dev tap remote server.domain.com 1194 tls-auth myta.key 1 ca myca.crt cert myclient.crt key myclient.key comp-lzo verb 4 Igendwie eigenartig... Die Variablen $KEY_DIR
Re: [OpenVPN] Pro Client eine Session ?
On Mon, Mar 14, 2005 at 11:23:53AM +0100, Michelle Konzack wrote: Malzeit Leute, ^ Falls Du den Gruss meinst, der heisst Mahlzeit. Falls obiges aber Dein Ernst ist: reich Buntstifte rüber. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OpenVPN] Pro Client eine Session ?
Am 2005-03-14 20:30:12, schrieb Dirk Salva: On Mon, Mar 14, 2005 at 11:23:53AM +0100, Michelle Konzack wrote: Malzeit Leute, ^ Falls Du den Gruss meinst, der heisst Mahlzeit. Falls obiges aber :-) Dein Ernst ist: reich Buntstifte rüber. Buntstifte oder Editor ? Mein 'mutt' ist jedenfals Bunt :-) http://michelle.konzack.home.tamay-dogan.homelinux.net/linux/mutt/ ciao, Dirk Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
