Re: VPN
Hi Harals, Harald Tobias wrote: Joerg Zimmermann schrieb: [..]. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Zunächst einmal, OpenBSD ist auch nur ein Unix. Also mit Linuxkenntnissen kommt man hier schon weiter. Das System ist klein (bei mir 80MB), verfügt über eine hervorragende und umfassende zusammenhängende Dokumentation und ist sehr gut durchdacht. Da es wohl für diese Liste OT ist, schlage ich vor, das wir das per PM weiterbehandeln. Viel aber nicht alles. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hallo, Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... es gibt einen Patch (von zwei Komilitonen von mir als Master bzw. Diplom-Arbeit entwickelt), der die (virtuellen-) Devices in 2.6 wieder einbaut wie aktiv das Projekt allerdings ist weiss ich nicht http://ipsec.hsnr.de mfG Peter Bartosch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Gut, das kann ich argumentieren: Entweder IPSec für vieeele Stunden oder OpenVPN für weniger Stunden. Dem Kunden wurde schon eine Lösung eines Mitbewerbers angeboten, aber die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Kennt jemand von euch was passendes? Gruß - Harald Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Joerg Zimmermann schrieb: Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Ich bin mir fast sicher, daß es OpenBSD ist. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch. Was tut man nicht alles für Geld. Gruß - Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Harald Tobias wrote: Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Gut, das kann ich argumentieren: Entweder IPSec für vieeele Stunden oder OpenVPN für weniger Stunden. Dem Kunden wurde schon eine Lösung eines Mitbewerbers angeboten, aber die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Hi, wir haben bei uns eine Appliance von Astaro (mit 8 phys. Ports). Die IPSev-Einrichtung ist recht einfach und auch mit den Zertifikaten klappt soweit alles ganz gut. Die Software dazu (Astaro Security Gateway (vorher Astaro Security Linux) kannst du auch auf einem normalen PC/Server installieren. Du brauchst also keine spezielle Hardware. Es gibt auch eine x-Tage Testversion. Suchtest du so etwas? Gruß, Paul -- Linux-User #271918 with the Linux Counter, http://counter.li.org/ signature.asc Description: OpenPGP digital signature
Re: VPN
Hallo Harald, Harald Tobias, 13.04.2006 (d.m.y): Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo Das nennt man Mac. ;-) Gruss, Christian Schmidt -- Wer gut wirtschaften will, sollte nur die Hälfte seiner Einnahmen ausgeben, wenn er reich werden will, sogar nur ein Drittel. -- Francis Bacon signature.asc Description: Digital signature
Re: VPN
Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias: Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich einfach auf ipcop gegriffen vgl. www.ipcop.org dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder presharedkey. gruß matze. Joerg Zimmermann schrieb: Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Ich bin mir fast sicher, daß es OpenBSD ist. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch. Was tut man nicht alles für Geld. Gruß - Harald -- Wie fängt man ein Kaninchen? Man setzt sich ins Gebüsch und macht das Geräusch einer wachsenden Möhre nach!
Re: VPN
Matthias Reinhardt wrote: Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias: Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich einfach auf ipcop gegriffen vgl. www.ipcop.org dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder presharedkey. gruß matze. für roadwarrior mit dynamischen IPs gibts das OpenVPN plugin :-) -- Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
On Thu, Apr 13, 2006 at 09:14:25AM +, Harald Tobias wrote: die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Kennt jemand von euch was passendes? Router von LANCom!? ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Also, ich habe hier eine freeBSD Geschichte auf einem alten Pentium2 laufen und bin sehr zufrieden damit und läuft stabil! Schaumal hier: http://m0n0.ch/wall/ Im Gegensatz zu IPcop und konsorten ist dies Firewall von Anfang restriktiv und lässt erstmal nicht raus. Ausserdem läuft sie in einem image an Systemseinstellungen kommt so nicht heran! KAnn ipsec und pptp , client Epfehlungen bei Radwarrior setups sind auch da. Ist zwar ein bisschen fruckelig die monowall auf die Platte zu bringen, geht aber. Monowall ist ein sehr professioneller Ansatz, wie ich finde. Aber schaut selbst! Billiger und professioneller gehts kaum, ausser pfsense noch, die man sogar clustern kann. Wär nett, wenn ihr mal was dazu sagt :) bis dann und internettem Gruß Stefan pgpHdwMjOB2st.pgp Description: PGP signature
Re: VPN
am 12.04.2006, um 17:06:53 + mailte Harald Tobias folgendes: Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. Was ist 'MAC-Maschine'? OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
* Andreas Kretschmer [EMAIL PROTECTED] schrieb: snip Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. ich spiele mit dem Gedanken, ipsec_tunnel auf 2.6 zu portieren. Hat da vielleicht noch jemand hier Interesse ? cu -- - Enrico Weigelt== metux IT service - http://www.metux.de/ - Please visit the OpenSource QM Taskforce: http://wiki.metux.de/public/OpenSource_QM_Taskforce Patches / Fixes for a lot dozens of packages in dozens of versions: rsync://sources.metux.de/metux-patches -
Re: VPN
Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack schrieb: Moin Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Von was für einem VPN Programm redest du denn, wenn du sagst, dass du die Zugangsdaten und Anleitung für Windows hast? Oder von welcher Anleitung redest du da? Wäre für Tipps und zu Hinweisen zu einem passenden Howto dankbar. Es gibt verschiedene VPN-Programme, die sich durchaus unterscheiden und nicht miteinander reden können. Um Tipps zu geben, braucht man mehr Infos darüber, was bereits vorhanden ist. Oder hab ich dich falsch verstanden und es ist noch kein VPN bei der Firma vorhanden? Also wenn keins da ist und du sollst das aufbauen, dann kann ich OpenVPN empfehlen. Hab ich gute Erfahrungen mit gemacht. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Sven Hartge wrote: Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Ich hatte gehofft, dass mir jemand einen Tipp für einen bevorzugten Client geben könnte, der unter sarge out of the box funktioniert - mit dem Standardkernel und ohne Patcherei. Ich hatte hoffentlich die Gegebenheiten deutlich genug beschrieben. Meine bisherigen Versuche waren (secvpn, ...) waren vergebens, deswegen hoffte ich auf einen erfolgversprechenden Hinweis. Muss ich eben eine blöde Win-putty-Lösung benutzen, schon aus Zeitnot. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Sven Hartge wrote: Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Ich hatte gehofft, dass mir jemand einen Tipp für einen bevorzugten Client geben könnte, der unter sarge out of the box funktioniert - mit dem Standardkernel und ohne Patcherei. Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Je nachdem, was die andere Seite spricht, musst du etwas passendes einsetzen. Oder kannst du beide Seiten kontrollieren? Wenn ja, dann würde ich OpenVPN benutzen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Hallo Rüdiger, Von: Rüdiger Noack [EMAIL PROTECTED] Ich hatte hoffentlich die Gegebenheiten deutlich genug beschrieben. Meine bisherigen Versuche waren (secvpn, ...) waren vergebens, deswegen hoffte ich auf einen erfolgversprechenden Hinweis. was wird denn für ein VPN-Gateway auf der Gegenseite benutzt? Wenn wir das wissen, kann Dir vielleicht ein Vorschlag für einen Client gemacht werden. Gruss Reinhold
Re: VPN zu Hansenet unter sarge - was brauche ich?
Micha Beyer [EMAIL PROTECTED] wrote: Am Dienstag 28 Februar 2006 01:28 schrieb Sven Hartge: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. Nicht so sarkastisch, vielleicht wäre der Hinweis das einige Provider sich VPN-Zugänge teuer bezahlen lassen besser angebracht. ;-) Er hat ja bereites die Zugangsdaten. Also wird er wohl legitimiert sein, den VPN-Zugang auch zu nutzen. Nur leider hilft es nicht, das zu wissen, wenn nirgends steht, welche technischen Voraussetzungen die benutzte Lösung hat und auf welchen Standards es basiert. Will sagen: In Rüdigers Mail ist exakt Null Informationen enthalten, die hilfreich sind. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Sven Hartge wrote: Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Ich hatte bisher keine Ahnung, dass sich so viele verschiedene Methoden unter dem Begriff VPN tummeln können. Immerhin weiß ich jetzt, welche Fragen ich stellen muss. Ist die Methode denn nicht vom Provider vorgegeben, sondern bestimmt der Kunde (im Rahmen der Provider-Möglichkeiten natürlich)? Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? Oder kannst du beide Seiten kontrollieren? Nein. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack wrote: Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? Wenn ich apt-cache richtig interpretiere, muss ich doch den Kernel patchen und brauche die Pakete pptp und kernel-patch-mppe. Na dann will ich mal... Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Hallo, Rüdiger Muss ich eben eine blöde Win-putty-Lösung benutzen, schon aus Zeitnot. Leichte Verwirrung :-) Ich vermute mal Hansenet ist nur ein einfacher Provider und hat (ausser dass er Carrier ist) erstmal nichts mit dem VPN zu tun. Das Firmennetz wird einen VPN-Zugangspunkt besitzen, für den Du die Zugangsdaten hast? Wenn ja, was wird dort eingesetzt und danach richtet sich in erster Linie Deine Paketwahl. Bei VPN gibt es immer soo viele Lösungen, viele davon auf offenen Standards, manche kochen sich ein eigenen Süppchen. Was mir selbst nie richtig gelungen ist zum Laufen zu bekommen ist IPSec mit Windows und Linux im Verbund. Wenn Du genügend Kontrolle hast beide Seiten zu beeinflussen: OpenVPN. Setzt zwar nicht auf IPSec auf und ist damit nicht kompatibel, aber: es ist einfach zu installieren, funktioniert mit NAT, kann so gut wie alle Konstellationen abbilden, Routing funktioniert, unterstützt pre-shared Keys oder Zertifikate. Und(!) es gibt Windows-Clients die einfach so funktionieren (ala Cisco VPN). Ansonsten fällt mir nur das 'neue' OpenSSH ein, welches ja seit kurzem ebenfalls VPN Funktionalität mitbringt. Cheers, Jan signature.asc Description: OpenPGP digital signature
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Sven Hartge wrote: Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Ich hatte bisher keine Ahnung, dass sich so viele verschiedene Methoden unter dem Begriff VPN tummeln können. Immerhin weiß ich jetzt, welche Fragen ich stellen muss. Ist die Methode denn nicht vom Provider vorgegeben, sondern bestimmt der Kunde (im Rahmen der Provider-Möglichkeiten natürlich)? Das hängt davon ab. Wenn der Provider einfach nur die Leitung und IP bereitstellt, dann bestimmt der Kunde natürlich selbst, was er anbietet und wie er das realisiert: Via Software auf einem PC, via Software im Grenz-Router, via eigener Appliance, ... Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? PPTP ist eine Methode, wenn auch nicht die Beste. (Eigentlich eine eher schlechte Variante, denn PPTP ist nie für sichere VPNs gedacht gewesen, aber Microsoft hat mal wieder gespielt und etwas selbst erweitert.) PPTP geht auch mit Linux. Für die Microsoft-Version wirst du IIRC nicht im eine Änderung im Kernel umhinkommen, bei reichlich neuen Kernel müßte die allerdings schon eingebaut sein und es muss nur das korrekte Modul geladen werden. Allerdings verläßt mich mein Wissen hier, ich bin bisher lediglich mit IPsec und OpenVPN in den näheren Kontakt gekommen, wobei ich OpenVPN bevorzuge. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
On 28.02.2006, 14:18 Uhr, Sven Hartge wrote: Rüdiger Noack [EMAIL PROTECTED] wrote: Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? PPTP geht auch mit Linux. Für die Microsoft-Version wirst du IIRC nicht im eine Änderung im Kernel umhinkommen, bei reichlich neuen Kernel müßte die allerdings schon eingebaut sein und es muss nur das korrekte Modul geladen werden. Die Unterstützung für MPPE (Microsoft Point-to-Point Encryption) ist seit Version 2.6.15 im Kernel enthalten. PPTP (Point-to-Point Tunneling Protocol) baut darauf auf. Für ältere Kernel gibt es Patches, z.B. auf http://pptpclient.sourceforge.net/howto-debian.phtml#mppe MfG Thomas Stein -- Meine Kompetenz bez. historischer Kräder beschränkt sich darauf, dass bei mir ein neues Krad nach spätestens zwei Jahren aussieht, als hätte es schon im 2. Weltkrieg den Russlandfeldzug mitgemacht (Achim Lerch in de.rec.motorrad) signature.asc Description: Digital signature
Re: VPN mit sarge Citrix
Hi Stoebi, das sieht für mich nach einem NAT-Traversal Problem aus. Diese Problematik hatte ich beim connecten eines Cisco VPN-Servers. Als Client benutzte ich den vpnc. Dem musste ich beibringen das ich hinter einer Nat-FW hänge. Das würde Deine dmesg Fehlermeldung erklären. Was macht man in so 'nem Fall? Aus welchem Paket ist net6vpn??? Ist ein proprietäres Teil (anscheinend von Citrix, das Produkt ist Watchguard Firebox SSL, with Citrix Secure Access). Soweit ich begriffen habe, ist vpnc das Standard-Opensource-Produkt für IPSec. Bei uns läuft die Verbindung dagegen über https; Frage ist, ob es hierfür einen OS Client gibt. Viele Grüße Klaus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Am Dienstag 28 Februar 2006 01:28 schrieb Sven Hartge: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. Nicht so sarkastisch, vielleicht wäre der Hinweis das einige Provider sich VPN-Zugänge teuer bezahlen lassen besser angebracht. ;-) -- Mfg, Michael
Re: VPN mit sarge Citrix
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi Klaus, das sieht für mich nach einem NAT-Traversal Problem aus. Diese Problematik hatte ich beim connecten eines Cisco VPN-Servers. Als Client benutzte ich den vpnc. Dem musste ich beibringen das ich hinter einer Nat-FW hänge. Das würde Deine dmesg Fehlermeldung erklären. Aus welchem Paket ist net6vpn??? mfg Stoebi Klaus Pieper schrieb: wie sieht dein Routingtable aus? Hallo Stoebi, schlecht anscheinend. [EMAIL PROTECTED]:~$ /sbin/route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 * 255.255.255.0 U 0 00 eth0 default 192.168.1.1 0.0.0.0 UG0 00 eth0 Das Netz besteht aus der Vmware VM mit 2.4 (192.168.1.11), dem Host, auf dem Vmware läuft (192.168.1.2) und einem Router (m0n0wall mit 192.168.1.1), der hier als Default GW erscheint. Mit einer virtuellen (nicht leicht zu tippen nach einem kleinen Lauf mit anschließendem Starkbier) Maschine mit Virus 2000, DHCP, funktioniert das ganze wunderbar (Frage ist, wozu ich dann überhaupt Linux brauche, aber die stellen wir hier natürlich nicht). Was sagt ip addr ??? Welche meinst Du? net6vpn --status sagt Connected to ip-adresse as mein user .. wobei ip-adresse die Internet-Adresse unseres VPN-Servers ist, die ich hier nicht unbedingt veröffentlichen möchte. Unter virus2k kann ich nach Aufbau der Verbindung ein privates Subnetz 10.18.0.0 ansprechen, wobei auch Hostnamen aufgelöst werden. Dort kann man dann sich dann per Remote Desktop mit dem Terminal Server verbinden (als Name angegeben). Das versuche ich analog unter Linux mit tsclient bzw. rdesktop, d.h. ich gebe unter tsclient 10.18.0.10 und Protokoll RDPv5 an, aber das Netz ist erstmal gar nicht da, geschweige denn ein DNS-Server. (Das DNS ist wohl kein Problem, weil ich nur den Terminal Server brauche, den ich notfalls bei mir eintragen kann.) Merci, K. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFEAgMEoiAPYpqNkYURAq8qAKC5dMB2k6QKapCbGFVZMvbMhfGptQCfX7FX YRugo3chz+7QctuYzo1rvms= =PLMF -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit sarge Citrix
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi Klaus, wie sieht dein Routingtable aus? Was sagt ip addr ??? mfg Stoebi Klaus Pieper schrieb: Hi gurus, wir haben in der Firma als neue Errungenschaft eine VPN-Verbindung mit Citrix, wofür auch ein Client für linux 2.4. angeboten wird. Ich habe mir dafür eine Vmware vm mit sarge kernel 2.4 eingerichtet und den Client (etwas holperig) installiert, der aus einem Däemon (net6vpnd) und einer Useranwendung (net6vpn) besteht. Man kann sich zwar mit net6vpn einloggen, aber das Lan ist nicht ansprechbar. [EMAIL PROTECTED]:~$ net6vpn --status Connected to ip:443 as me for the last 00:10:15. Beim Connect von der Vm (static ip 192.168.1.11) auf 10.18.1.10 (mit der IP-Adresse) bekommt man einen Timeout. [EMAIL PROTECTED]:~$ dmesg .. ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? Das Init-Script für den Dämon setzt Firewall-Regeln wie folgt debian32:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Was läuft schief? TIA, Klaus -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFEADHdoiAPYpqNkYURAq04AKCQbEZWUfCXq0w+d0gzCdoLcuDg+QCeLjpL /RoZawWbNn3+I16PSwQlQuE= =hDyQ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit sarge Citrix
wie sieht dein Routingtable aus? Hallo Stoebi, schlecht anscheinend. [EMAIL PROTECTED]:~$ /sbin/route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 * 255.255.255.0 U 0 00 eth0 default 192.168.1.1 0.0.0.0 UG0 00 eth0 Das Netz besteht aus der Vmware VM mit 2.4 (192.168.1.11), dem Host, auf dem Vmware läuft (192.168.1.2) und einem Router (m0n0wall mit 192.168.1.1), der hier als Default GW erscheint. Mit einer virtuellen (nicht leicht zu tippen nach einem kleinen Lauf mit anschließendem Starkbier) Maschine mit Virus 2000, DHCP, funktioniert das ganze wunderbar (Frage ist, wozu ich dann überhaupt Linux brauche, aber die stellen wir hier natürlich nicht). Was sagt ip addr ??? Welche meinst Du? net6vpn --status sagt Connected to ip-adresse as mein user .. wobei ip-adresse die Internet-Adresse unseres VPN-Servers ist, die ich hier nicht unbedingt veröffentlichen möchte. Unter virus2k kann ich nach Aufbau der Verbindung ein privates Subnetz 10.18.0.0 ansprechen, wobei auch Hostnamen aufgelöst werden. Dort kann man dann sich dann per Remote Desktop mit dem Terminal Server verbinden (als Name angegeben). Das versuche ich analog unter Linux mit tsclient bzw. rdesktop, d.h. ich gebe unter tsclient 10.18.0.10 und Protokoll RDPv5 an, aber das Netz ist erstmal gar nicht da, geschweige denn ein DNS-Server. (Das DNS ist wohl kein Problem, weil ich nur den Terminal Server brauche, den ich notfalls bei mir eintragen kann.) Merci, K. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Debian Sarge - W2K3
Moin moin, Hans-Georg Bork schrieb: Moin, hat zwar nur wenig mit debian zu tun, aber nun ... On Thu, Feb 23, 2006 at 11:58:52PM +0100, Andreas Krummrich wrote: Moin moin, ich habe ein Problem beim Aufbau einer pptp Verbindung zum VPN Server (W2K3) in meiner Firma. Mit der Fehlermeldung kann ich leider gar nix anfangen: Feb 23 23:53:47 scratchy pptp[17470]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated ^^^ [...] Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! [...] Vielleicht ließt hier ja jemand was raus. Ach ja. Auf dem System läuft 2.6.15-4 und MPPE ist eingebaut ;-) Kann/will das windoof vielleicht nur Synchronus Mode? Nein, das habe ich eben versucht. Bringt den gleichen Erfolg und die gleichen Fehlermeldungen. Gruß, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Debian Sarge - W2K3
Moin, hat zwar nur wenig mit debian zu tun, aber nun ... On Thu, Feb 23, 2006 at 11:58:52PM +0100, Andreas Krummrich wrote: Moin moin, ich habe ein Problem beim Aufbau einer pptp Verbindung zum VPN Server (W2K3) in meiner Firma. Mit der Fehlermeldung kann ich leider gar nix anfangen: Feb 23 23:53:47 scratchy pptp[17470]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated ^^^ [...] Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! [...] Vielleicht ließt hier ja jemand was raus. Ach ja. Auf dem System läuft 2.6.15-4 und MPPE ist eingebaut ;-) Kann/will das windoof vielleicht nur Synchronus Mode? Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Joerg Zimmermann schreibt: Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. Gibt es irgendwo eine aktuelle Dokumentation, in der erklärt wird, wie man einen Firewall unter Linux 2.6.8, d.h. dem Standardkernel von Sarge, konfiguriert, wenn man die Pakete ipsec-tools und racoon verwendet? Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Andreas Vögele [EMAIL PROTECTED] wrote: Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Das funktioniert schon, wegen der hirnkranken Implementation von IPsec in 2.6.x ist das aber nicht so einfach wie unter 2.4.x, da man eine gehörige Portion Hirnakrobatik betreiben muss, bis man a) die Regeln zusammen hat und b) sich auch davon überzeugt hat, das es keine Lücke gibt. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Ingo Juergensmann wrote: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) *zustimm* OpenVPN ist leicht einzurichten und sicher genug. Grüsse, Christian -- Christian Fromme Mail: kaner at strace.org GPG: 9DE5E8B9 If you seek the kernel, then you must break the shell. (Meister Eckhart) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Sven Hartge [EMAIL PROTECTED] writes: Andreas Vögele [EMAIL PROTECTED] wrote: Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Das funktioniert schon, wegen der hirnkranken Implementation von IPsec in 2.6.x ist das aber nicht so einfach wie unter 2.4.x, da man eine gehörige Portion Hirnakrobatik betreiben muss, bis man a) die Regeln zusammen hat und b) sich auch davon überzeugt hat, das es keine Lücke gibt. Ich wollte mir neulich diese Hirnakrobatik sparen und dachte, dass dies der geeignete Moment ist, um von eigenen Skripten auf Shorewall umzusteigen. In der Shorewall-Dokumentation wird als Voraussetzung allerdings die Kernelversion 2.6.11 plus Patches genannt. Den Debiankernel moechte ich aber behalten. Wenn ich mal viel Zeit uebrig habe, werde ich mir noch einmal anschauen, wie man IPsec mit fwmark filtert. Ich frage mich allerdings, warum das Filtern unter Linux so viel aufwendiger als unter BSD mit PF sein muss. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
am 24.10.2005, um 12:12:40 +0200 mailte Andreas Vögele folgendes: anschauen, wie man IPsec mit fwmark filtert. Ich frage mich allerdings, warum das Filtern unter Linux so viel aufwendiger als unter BSD mit PF sein muss. Muß es nicht. Mit 2.4 und FreeSwan hat man ipsecX - Devices zum filtern. Nur waren die Macher des IPSec-Teils von 2.6 anscheinend bekifft und haben das 'wegoptimiert'. Mit freundlichen Grüßen, A. Kretschmer -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
#include hallo.h * Ingo Juergensmann [Mon, Oct 24 2005, 07:50:38AM]: - manchmal seltsame Seiteneffekte (so konnte exim4 bei mir ueber den IPsec Tunnel keine Mails mehr zuverlaessig zustellen) Genau dieses Problem hatte ich mit Cisco-VPN auch und es wurde erfolgreich durch herabsetzen der MTU gelöst. Scheinbar geht etwas bei TCP daneben. OpenVPN hingegen ist bedeutend einfacher und schneller aufzusetzen und tut Yep. Eduard. -- Immerhin meint die Filmförderungsanstalt, im Jahr 2002 seien 59 Millionen CD-Rohlinge von 5,9 Millionen Nutzern mit Filmen bespielt worden, im Durchschnitt also zwölf Rohlinge pro Anwender. -- http://www.heise.de/newsticker/data/see-08.04.03-000/
Re: VPN
* Andreas Vögele: Gibt es irgendwo eine aktuelle Dokumentation, in der erklärt wird, wie man einen Firewall unter Linux 2.6.8, d.h. dem Standardkernel von Sarge, konfiguriert, wenn man die Pakete ipsec-tools und racoon verwendet? Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Was du machen kannst ist mit iptables -t mangle -A PREROUTING -p esp -j MARK --set-mark 1 die ESP-Pakete (oder AH) markieren und dann auf diese ganz normal deine Filterregeln anwenden. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Friedemann Schorer wrote: Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. Nein, reicht leider nicht. Das Setup ist so: Der Server läuft ganz normal als Kernel, die IPCop-Firewall hingegen als UML-Kernel. Ich kann mich zwar auf dem IPCop einloogen via ssh, komme von dort aber nicht weiter - die UML-Umgebung hat keinen SSH-Client an Bord oder so - ist auf das nötigste abgespeckt halt. Doch, das geht dennoch. Man kann kann über SSH auch Verbindungen weiterleiten. siehe manpage ssh, Optionen -L und ggf. -R. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Ingo Juergensmann schrieb: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Joerg Zimmermann wrote: Hi, Ingo Juergensmann schrieb: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. Das würde ich auch gerne wissen. Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
On Mon, Oct 24, 2005 at 01:41:12AM +0200, Joerg Zimmermann wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. - keine Verbindungen zwischen zwei Roadwarriors moeglich - Probleme mit IPSec und NAT bzw. Firewalls - keine automatische Erkennung des Wechsels einer dynamischen IP - manchmal seltsame Seiteneffekte (so konnte exim4 bei mir ueber den IPsec Tunnel keine Mails mehr zuverlaessig zustellen) OpenVPN hingegen ist bedeutend einfacher und schneller aufzusetzen und tut hervorragend gut. IPsec ist wie mit ner Dicken Berta auf Kolibris zu schiessen -- Ciao...//Fon: 0381-2744150 Ingo \X/ SIP: [EMAIL PROTECTED] gpg pubkey: http://www.juergensmann.de/ij/public_key.asc signature.asc Description: Digital signature
Re: VPN
On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) -- Ciao...//Fon: 0381-2744150 Ingo \X/ SIP: [EMAIL PROTECTED] gpg pubkey: http://www.juergensmann.de/ij/public_key.asc signature.asc Description: Digital signature
Re: VPN
On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: sag mal, ich habe meiner Mutter einen c't-Server in den Keller gestellt, als DSL-Router und Firewall. Nun würde ich diesen Rechner gerne via VPN administrieren können und das ganze natürlich am besten ohne Mithörer. Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Dirk Salva schrieb: Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. Nein, reicht leider nicht. Das Setup ist so: Der Server läuft ganz normal als Kernel, die IPCop-Firewall hingegen als UML-Kernel. Ich kann mich zwar auf dem IPCop einloogen via ssh, komme von dort aber nicht weiter - die UML-Umgebung hat keinen SSH-Client an Bord oder so - ist auf das nötigste abgespeckt halt. Friedemann
Re: VPN
am 22.10.2005, um 18:31:24 +0200 mailte Ingo Juergensmann folgendes: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und Mach es Dir noch einfacher und nimm einfach SSH. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Verbindung zu einem Lancom Router
On Tue, Jul 05, 2005 at 11:17:51PM +0200, Frank Dietrich wrote: hat hier jemand einen VPN Router von Lancom im Einsatz und schon einmal einen VPN Zugang von einem sarge PC aus eingerichtet? Ich habe auch einen LANCOM-Router im Einsatz, der mehrere VPN-Verbindungen aufrechterhält. Allerdings zu anderen LANCOMs, und diese Verbindungen hat der Freund eingerichtet, der auf die Idee der Vernetzung kam. Ich würde auch gerne eine ebensolche Verbindung zu einer nicht-LANCOM-Gegenstelle aufbauen (Debian Sarge) und mich freuen, wenn Du mir Deine Erkenntnisse mitteilen würdest (hier oder gerne per Mail). Eine VPN Verbindung zwischen zwei Lancom-Routern einzurichten geht mittels Lancom Software sehr simple. Für Leute die mit Windows Na ja, soo simpel ist das IMHO auch wieder nicht. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
Hallo Am Donnerstag, den 12.05.2005, 09:33 +0200 schrieb Goran Ristic: Hallo, Joel! ... (*) Ich halte es allerdings nicht für optimal. Jeder Client bekommt sein eigenes Cert, mit den entsprechenden Infos darin. Hat den Vorteil, dass einmal angemeldete Clients immer wieder die gleiche IP bekommen können. Erspart dynamic DNS. Denn wenn client-to-client aktiviert ist, will man ja nicht anhand der IP auf andere Clients zugreifen... Wie werde die Clients in der Config eingetregen? Bei ipsec kann ich dazu Files auslesen lassen. In der Doku zu Openvpn finde ich dazu kaum Hinweise wie mehrere Clients entsprechend eingebungen werden können. cu rene
Re: VPN Config für mehrere Rechner
Hallo Mailinglist, hat keiner mehr als einen Rechner als Roadwarrior am laufen und mag seine Erfahrungen preisgeben? Hallo Ulf Sorry laut der Docu und co z.B. wikipedia ist deine Aussage nicht richtig. -schnitt - Für den IT-Sicherheitsverantwortlichen ist der Dienst relativ einfach und sicher einzurichten, da lediglich ein TCP- oder UDP-Port pro Verbindung in der Firewall geöffnet werden muss. Die Verbindung kommt dann nur nach erfolgreichem Handshake zustande. In der aktuellen Version 2.0 (erschienen am 17. April 2005) ist es nun auch möglich über einen einzigen Port theoretisch unbegrenzt viele Clientverbindungen zuzulassen. -schnitt ende - Gruss Rene Am Dienstag, den 10.05.2005, 23:28 +0200 schrieb Ulf Volmer: On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de
Re: VPN Config für mehrere Rechner
On Wed, May 11, 2005 at 05:12:27PM +0200, [EMAIL PROTECTED] wrote: hat keiner mehr als einen Rechner als Roadwarrior am laufen und mag seine Erfahrungen preisgeben? Welche Erfahrungen? OpenVPN funktioniert und ist schnell und einfach konfiguriert. Aber das ist ja bereits erzählt worden. Wenn konkrete Fragen anstehen, wird dir sicher geholfen. In der aktuellen Version 2.0 (erschienen am 17. April 2005) ist es nun auch möglich über einen einzigen Port theoretisch unbegrenzt viele Clientverbindungen zuzulassen. Ich muß gestehen, daß ich den Schenk auf v2.0 gemacht habe, ohne mich hinreichend ins Changelog vertieft zu haben. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
On Wed, 11 May 2005 00:42:02 +0200 Ulf Volmer [EMAIL PROTECTED] wrote: On Tue, May 10, 2005 at 11:33:25PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: [OpenVPN] 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. ich dachte, es läuft alles über den selben Port, da openvpn 2.0 multi- Verbindungen-fähig ist. und man kann sich mit dem selben ssl-Key mehrmals anmelden. Joel
Re: VPN Config für mehrere Rechner
On Wed, May 11, 2005 at 09:03:10PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. ich dachte, es läuft alles über den selben Port, da openvpn 2.0 multi- Verbindungen-fähig ist. und man kann sich mit dem selben ssl-Key mehrmals anmelden. Ich bin da wohl nicht auf dem neusten Stand. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
On Tue, 10 May 2005 23:28:26 +0200 Ulf Volmer [EMAIL PROTECTED] wrote: On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Joel
Re: VPN Config für mehrere Rechner
On Tue, May 10, 2005 at 11:33:25PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: [OpenVPN] 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Vpn PPtp
On Mon, 25 Apr 2005 08:51:08 +0200 Alex [EMAIL PROTECTED] wrote: Hi zusammen, Moin, ich habe einen PPTP Server auf meinem Woody laufen. Wenn ich jetzt von zuhause auf den Linux server zugreife (VPN ), kann ich nicht mehr Surfen, MSN oder ICQ benutzen. Wer kann mir da helfen? oder gibt es überhaupt eine Möglichkeit das zu ändern Ja, je nachdem welches OS du Zuhause benutzt (ich nehme an Win) musst du bei der VPN Einstellung folgendes ändern: [ ] Standard Gateway setzen Sprich dein altes Std-Gateway bleibt erhalten und nur die anfragen die genau ins VPN sollen, gehen da auch hin. Weiß nur grad nicht ganz genau wie der Eintrag da heißt - bin zu faul mein Laptop zu holen ;-) Vielen Dank im Voraus HTH Alex Frei Evgeni -- ^^^| Evgeni -SargentD- Golov ([EMAIL PROTECTED]) d(O_o)b | PGP-Key-ID: 0xAC15B50C -|- | WWW: www.die-welt.net ICQ: 54116744 / \| IRC: #sod @ irc.german-freakz.net pgpzLrKb0YHwi.pgp Description: PGP signature
Re: VPN ipsec Verbindungsproblem
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi, Rene Zingel wrote: [..]. |Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an |ipsec drangehst? Welchen Client verwendest Du da? | | | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior | ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. | | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe | benutzen. Lösung eins ist extrem unkomfortabel. Einem 'normalem' User nicht zuzumuten. Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate verwendet. Diese sollten natürlich vor dem Zugriff durch andere geschützt sein. Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber. Jedenfalls ist das der beste Client den ich finden konnte im Hinblick auf Kosten/Leistung. - -Joerg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu eEvnDYpYWBonHDi2e/yFdvQ= =c0WZ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN ipsec Verbindungsproblem
Hallo Joerg, danke für den Tipp, habe mit das ganze mal angeschaut, scheint eine einfache und sichere Möglichkeit zu sein, die jeder Windows User bedienen kann ;-) Gruss Rene Am Sonntag, den 17.04.2005, 13:28 +0200 schrieb Joerg Zimmermann: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi, Rene Zingel wrote: [..]. |Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an |ipsec drangehst? Welchen Client verwendest Du da? | | | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior | ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. | | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe | benutzen. Lösung eins ist extrem unkomfortabel. Einem 'normalem' User nicht zuzumuten. Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate verwendet. Diese sollten natürlich vor dem Zugriff durch andere geschützt sein. Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber. Jedenfalls ist das der beste Client den ich finden konnte im Hinblick auf Kosten/Leistung. - -Joerg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu eEvnDYpYWBonHDi2e/yFdvQ= =c0WZ -END PGP SIGNATURE-
Re: VPN ipsec Verbindungsproblem
Hallo, Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am Rumbocken oder Verzweifeln. :-( Darf ich zwischenfragen, ob es unbedingt IPsec sein muss? - Andernfalls könntest Du die benannte Config (TLS-Server mit encrypted-inital-package) wohl in wenigen Minuten aufsetzen... Openssl noch dazu. Eine sehr gute (und aktuelle) Anleitung findest Du da: http://openvpn.net/howto.html Klar ist doch ein Forum, he he ... Da freeS/WAN mit so ziemlich alles eine VPN Verbindung aufbauen kann, (Checkpoint, cisco usw.) wollte ich diese Kombination benutzen. Mit Openvpn weiss ich eben nicht, ob sich andere Firewalls und Rechner zur Zusammenarbeit überreden lassen (Checkpoint, Cisco, Windows Server usw.) Soweit ich mich erinnere kann man hier nur Shared Secret und Zertifikatbasierte Authentifizierung. Macht also durchaus Sinn, sich mit freeS/WAN auseinander zusetzen, wenn man Multi kulturell arbeiten muss oder möchte. Ansonsten probiere ich Openvpn gerne mal aus. Dazu gleich mal ein Paar Fragen: Melden sich hier auch alle Clients am einem Port (glaube 5000 oder so) an oder bekommt jeder Client einen eigenen Server-Port? Irgend eine Verbindung baut doch so nen mist zusammen (glaube l2tp oder so). Ist damit eigentlich ein weiterleitenens Nat möglich? Vielleicht etwas dreist ;-) Hat jemand mal eine fixe Anleitung zum antasten? So eine Client Server Konfiguration ohne Zertifikate ? und besonderheiten bei der Config ? ich habe nach 14 Tagen mal einen schnellen Erfolg nötig :-( Entweder bin ich schon zu müde, fast 4 Uhr morgens oder ich mache gerade schlapp, was für eine Paket ? (TLS-Server mit encrypted-inital-package) ipsec auto --delete base1-backup 021 no connection named base1-backup (ist ja auch logo ist ja nicht mehr in der config) Jo. Beim neu erstellen erhalte ich die Klasse Meldung: (ipsec auto --add base1_to_backup) 027 bad --keyid base1-backup: does not look numeric and name/ lookup failed Hier scheint doch was mit der ID nicht korrekt zu sein? - Aus welcher Quelle vergleicht er dann die Keys? Gute Frage, habe ich leider noch nicht in der Doku gefunden vermutlich hat das mir unbekannte File noch die alte config drin und kommt nun mit der neuen nicht klar, da ich das alte ja nicht mehr löschen kann. cu Rene
Re: VPN ipsec Verbindungsproblem
On Thu, 14 Apr 2005, Rene Zingel wrote: Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am Rumbocken oder Verzweifeln. :-( Hallo :-) Willkommen im Club - aber wenn's denn mal läuft, dann ist man nach so einer Frustphase sowas von ... wie soll ich sagen... :-) Beim neu erstellen erhalte ich die Klasse Meldung: (ipsec auto --add base1_to_backup) 027 bad --keyid base1-backup: does not look numeric and name/ lookup failed In der Konfig fehlt neben right noch rightid für den Roadwarrior, würde ich als erste Vermutung abgeben wollen. So sieht eine funktionierende Konfig auf dem Server aus ( schau' mal in die Received-Zeilen dieser Mail und vergleiche die Subnets ): conn extta # Left security gateway, subnet behind it, next hop toward right. left=www.antepoth.de [EMAIL PROTECTED] leftsubnet=192.168.101.254/24 leftnexthop=%defaultroute # RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002 leftrsasigkey=0sAQODr37.. # Right security gateway, subnet behind it, next hop toward left. right=%any [EMAIL PROTECTED] rightsubnet=192.168.186.0/24 rightnexthop= # RSA 4096 bits sofa Sun Jan 6 10:57:13 2002 rightrsasigkey=0sAQNrgB.. # To authorize this connection, but not actually start it, at startup, # uncomment this. authby=rsasig auto=add # rekeymargin=1m # rekeyfuzz=0% keyingtries=1 Und das ist die korrespondierende Konfig auf dem Client: conn extta # Left security gateway, subnet behind it, next hop toward right. left=www.antepoth.de [EMAIL PROTECTED] leftsubnet=192.168.101.254/24 leftnexthop= # RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002 leftrsasigkey=0sAQODr37i6Z # Right security gateway, subnet behind it, next hop toward left. right=sg-ta.local [EMAIL PROTECTED] rightsubnet=192.168.186.0/24 rightnexthop=%defaultroute # RSA 4096 bits sofa Sun Jan 6 10:57:13 2002 rightrsasigkey=0sAQNrgBt/ # To authorize this connection, but not actually start it, at startup, # uncomment this. authby=rsasig auto=start # rekeymargin=1m # rekeyfuzz=0% keyingtries=0 # keylife=2m Beide Parts sind Linux: Client: fw1:/etc # rpm -q freeswan freeswan-1.99_0.9.34-93 Server: a15166696:~# apt-cache show freeswan Package: freeswan Priority: optional Section: net Installed-Size: 5345 Maintainer: Rene Mayrhofer [EMAIL PROTECTED] Architecture: i386 Version: 2.04-11.3 sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven - Du müsstest da vielleicht dyndns nehmen oder so. Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an ipsec drangehst? Welchen Client verwendest Du da? t++
Re: VPN ipsec Verbindungsproblem
Guten Morgen ;-) Die config schau ich mir später an, danke erstmal für die Unterstützung, ich kann kaffe nicht mehr sehen und gehe erstmal schlafen. sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven - Du müsstest da vielleicht dyndns nehmen oder so. hab ich schon, danke ;-) Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an ipsec drangehst? Welchen Client verwendest Du da? 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe benutzen.
Re: VPN verschluckt Rendezvous (was: host.conf manpage...)
Hallo Ratti, Joerg Rossdeutscher, 08.04.2005 (d.m.y): Am Mittwoch, den 06.04.2005, 20:04 +0200 schrieb Christian Schmidt: Vermutlich - wenn sehen bei Dir via Rendezvous praesentiert bekommen heisst. Ja - genau das. Der jeweilige Netzwerkbrowser diverser Programme (incl. Apple FInder) präsentiert sich immer leer. Soweit ich weiss, kann der seine Informationen auf verschiedenen Wegen aka ueber verschiedene Publizierungs-Meschanismen erhalten: - AppleTalk - Rendezvous aka MulticastDNS - SLP [..] Ne, wir verwenden zwar auch netatalk, aber die interessante Maschine ist original Mac OS X Server (10.2, bei Erscheinen dann 10.4) Ich wuerde mal im Usenet in de.comp.sys.mac.lokale-netze anfragen. Da bekommst Du bestimmt ein paar Tips... Zumindest die URLs zu den AFP- u.a. Mounts kannst Du aber auch abspeichern lassen, und fuer die Verbindung zum FileMaker-Server wuerde ich mir entsprechende AppleScripts basteln: tell application FileMaker Pro openURL fmp://host.name/datenbank end tell Hm, ja, ähnliches benutzen wir auch zum mounten der Server - für die Filemakerdateien ziehe ich eine lokale Datenbank vor, welche keine Einträge enthält und ein open rausschickt, aber das Resultat ist eh das gleiche. Mein Favorit ist ein AppleScript nach o.a. Muster, das ich mit einem FileMaker-Dateisymbol versehen habe. ;-) Hm. Blöde Frage - der Tunnel läuft auf einem Sarge/PPC auf, auf dem sich auch eine Shorewall Firewall befindet. Gäbe es theoretisch eine Möglichkeit, mit einer Custom-Regal die TTL um eins zu inkrementieren, wenn Quelle oder Ziel ppp0 ist? Dann würden die Broadcasts doch durchkommen Da muessen jetzt die iptables-Spezalisten ran. Wenn sich das machen laesst, sollte das IMO aber ein moeglicher Ansatz sein. Auf jeden Fall schonmal vielen Dank für den Tip. Keine Ursache. Das ist schon mal ein Riesenfortschritt, den Grund zu kennen und zumindest keine Zeit mehr zu verschwenden. Yep. :-) Gruss, Christian Schmidt -- Sprachlexikon-Namen: MARCO - italien. Zahlungsmittel signature.asc Description: Digital signature
Re: VPN + Openswan - no suitable connection for peer
Hallo,
Am Mittwoch, 30. März 2005 19:43 schrieb Enrico Gusek:
Hallo,
ich bin grad (d.h. seit einer Woche) am verzweifeln mit einem Versuch
eine VPN Verbindung zu erstellen. Habe schon vieles probiert und bin
echt am verzweifeln. Die angefügte Konfiguration schien mir noch die
besten Ergebnisse zu liefern, bei alle anderen Konstellationen brach
der Vorgang immer etwas früher ab.
[...]
Auszug aus der c:\Programme\IPsec\ipsec.conf (vom Client)
=
=== conn Roadwarrior
left=%any
right=10.254.254.200
rightsubnet=10.254.0.0/24
rightca=C=DE, S=Saxony, L=Dresden, O=Enrico Gusek bIT, OU=WAN,
CN=CA Enrico Gusek bIT
network=lan
auto=start
pfs=yes
sieht aus meiner Erinnerung ganz gut aus. Ich habe aber keine Windows
Clients mehr im Einsatz.
Hier kommt alles vom Server
Auszug aus der /etc/ipsec.conf
=
=== ==
[...]
# basic configuration
config setup
interfaces=%defaultroute
#interfaces=ipsec0=eth0
plutodebug=none
klipsdebug=none
uniqueids=no
#plutodebug=control
#klipsdebug=none
#plutodebug=all
#klipsdebug=all
conn %default
keyingtries=0
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
left=%defaultroute
#left=10.254.254.200
leftsubnet=10.254.0.0/24
leftid=C=DE, ST=Saxony, O=Enrico Gusek bIT, OU=WAN,
CN=SVRVPN
Hier liegt glaube ich das Problem.
Versuch mal anstatt mit
leftid=CN
besser
leftcert=dein_gate_cert.pem
zu benutzen.
Du hast dir ja von deiner (selbsterstellten) root-ca (mindestens) zwei
Zertifikate für Server und einen Roadwarrior (win-Client) erstellt und
kannst (oder mußt sogar?) anstatt der ID auch direkt den Namen der
Zertifikat-Datei vom Gateway angeben.
Deinen Logauszügen zufolge findet er nämlich keine Connection für die ID
deines Win-Clients.
conn Roadwarrior
right=%any
#right=10.254.254.155
type=tunnel
keyexchange=ike
pfs=yes
auto=add
#auto=start
sieht auch ganz gut aus.
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
kenn ich nicht.
Auszug aus ipsec whack --status
=
=== ==
svrvpn:/home/enrico# ipsec whack --status
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 10.254.254.200
000 interface eth1/eth1 10.254.0.200
000 %myid = (none)
000 debug none
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8,
keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8,
keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8,
keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0,
keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8,
keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8,
keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8,
keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5,
keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1,
keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256,
keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0,
keysizemax=0 000
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16,
keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8,
keydeflen=192
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024,
bits=1024 000 algorithm IKE dh group: id=5,
name=OAKLEY_GROUP_MODP1536, bits=1536 000 algorithm IKE dh group:
id=14, name=OAKLEY_GROUP_MODP2048, bits=2048 000 algorithm IKE dh
group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072 000 algorithm IKE
dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096 000 algorithm
IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144 000
algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0}
trans={0,0,0} attrs={0,0,0}
000
000 Roadwarrior: 10.254.0.0/24===10.254.254.200[C=DE, ST=Saxony,
O=Enrico Gusek bIT, OU=WAN, CN=SVRVPN]---10.254.254.254...%any;
unrouted; eroute owner: #0
hier scheint aufgrund des fehlenden leftcert etwas zu fehlen oder ist
bei OpenSwan unterschiedlich.
Dort sollte die CA erwähnt werden deren Zertifikate (deine Roadwarrior)
aktzeptiert
Re: VPN unter Linux, Clienten = alles mögliche
Stefan Schilling [EMAIL PROTECTED] schrieb: Was mir allerdings noch nicht klar ist: Kommt man da auch mit nem Win98SE drauf? Meine Eltern haben sowas und da habe ich bereits einen Was steht in der Doku? OpenVPN ist IMHO relativ simpel auch für kaputte Fenster einrichtbar. Ich bin durchaus zu allen Schandtaten (openVPN, FreeSwan, IPsec) bereit. Wichtig ist halt nur, dass es am Clienten einfach einzurichten + nutzen ist (ich muss das meinen Eltern übers Tel. verklickern). Dann scheiden IPSec und FreeSwan aus. Aber was soll einklich gemacht werden? Einfacher Dateiaustausch? Das geht auch simpel via SSH, als Windows-Client WinSCP. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN unter Linux, Clienten = alles mögliche
Guten Tag Andreas Kretschmer, Am Samstag, 12. März 2005 um 14:32 schrieb Andreas Kretschmer: Stefan Schilling [EMAIL PROTECTED] schrieb: Was mir allerdings noch nicht klar ist: Kommt man da auch mit nem Win98SE drauf? Meine Eltern haben sowas und da habe ich bereits einen Was steht in der Doku? OpenVPN ist IMHO relativ simpel auch für kaputte Fenster einrichtbar. Ja, mein Problem mit OpenVPN ist halt, dass ich anscheinend auf Winseite ein Clientprogramm brauche, dass es aber nur für Win2k / XP gibt (zumindest habe ich noch nix anderes gefunden). Pech halt nur, dass es auch mit Win98SE (viel Pech: eventl. auch Win95b) laufen muss. Ich bin durchaus zu allen Schandtaten (openVPN, FreeSwan, IPsec) bereit. Wichtig ist halt nur, dass es am Clienten einfach einzurichten + nutzen ist (ich muss das meinen Eltern übers Tel. verklickern). Dann scheiden IPSec und FreeSwan aus. Aber was soll einklich gemacht werden? Einfacher Dateiaustausch? Das geht auch simpel via SSH, als Windows-Client WinSCP. ne, ja. ;) ich möchte in der Lage sein, den hylafax zu nutzen. Alles andere bekomme ich auch über ssh hin, nur der hylafax springt anscheinend mächtig in den Ports durch die Gegend (einfache Freigabe vom hylafax Port reicht nicht, da die Daten über einen anderen Port läuft). Wenn beide Rechner dann auch noch (vernünftigerweise) hinter Firewalls sitzen, geht nix mehr. Deshalb das VPN. Andreas danke, Stefan
Re: VPN unter Linux, Clienten = alles mögliche
Stefan Schilling [EMAIL PROTECTED] schrieb: Guten Tag Andreas Kretschmer, Am Samstag, 12. März 2005 um 14:32 schrieb Andreas Kretschmer: Stefan Schilling [EMAIL PROTECTED] schrieb: Was mir allerdings noch nicht klar ist: Kommt man da auch mit nem Win98SE drauf? Meine Eltern haben sowas und da habe ich bereits einen Was steht in der Doku? OpenVPN ist IMHO relativ simpel auch für kaputte Fenster einrichtbar. Ja, mein Problem mit OpenVPN ist halt, dass ich anscheinend auf Winseite ein Clientprogramm brauche, dass es aber nur für Win2k / XP Ja, mag sein. gibt (zumindest habe ich noch nix anderes gefunden). Pech halt nur, dass es auch mit Win98SE (viel Pech: eventl. auch Win95b) laufen muss. Ts ts ts. Wer verwendet denn solchen Müll noch? Dann scheiden IPSec und FreeSwan aus. Aber was soll einklich gemacht werden? Einfacher Dateiaustausch? Das geht auch simpel via SSH, als Windows-Client WinSCP. ne, ja. ;) ich möchte in der Lage sein, den hylafax zu nutzen. Alles andere bekomme ich auch über ssh hin, nur der hylafax springt anscheinend mächtig in den Ports durch die Gegend (einfache Freigabe vom hylafax Port reicht nicht, da die Daten über einen anderen Port Mmh, kenne jetzt das Hylafax-Protokoll nicht im Detail, aber das sollte sich wohl lösen lassen... über SSH-Tunnel. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN unter Linux, Clienten = alles mögliche
Hallo, Was mir allerdings noch nicht klar ist: Kommt man da auch mit nem Win98SE drauf? Ich bin durchaus zu allen Schandtaten (openVPN, FreeSwan, IPsec) bereit. Wichtig ist halt nur, dass es am Clienten einfach einzurichten + nutzen ist (ich muss das meinen Eltern übers Tel. verklickern). Wenn es auch PPTP sein darf: das läuft zumindest unter Windows ME sehr stabil und ist einfach einzurichten. Ich schätze mal, dass es auch Win98 unterstützt, zumal das Protokoll ja von MS ist. Auf Linux-Seite benötigt man dazu Poptop und PPPD. Gruß, Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN, NAT-T Problem kein Datentransfer
Hallo,
zur Info
nach meinen ersten Tests funktioniert es doch
Ich habe den Kernel: 2.6.8-2-686
Installiert danach ging es
mfg
Franz Pammer
Am Freitag, 14. Januar 2005 16:40 schrieb Franz Pammer:
Hallo Liste,
Ich habe mir eine Testumgebung aufgebaut die so aussieht
---
| LAN 192.168.1.0/24 |
---
| 192.168.1.2 |
| Router1 DMZ |
| 192.168.100.5|
| 192.168.100.5|
| VPN Server |
| 195.212.47.60|
| 195.212.47.58|
| Router2 |
| 195.212.48.1 |
--
| 195.212.48.2 (eth1) |
| Router3 mit NAT|
| 192.168.199.1 |
--
---
| 192.168.199.104 |
| VPN Client |
---
Der VPN Server und der VPN Client sind jeweils ein Debian Sarge System mit
Kernel: 2.4.27-1-686
openswan 2.2.0-4
openswan-modules-2.4.27-1-686 2.2.0-4+2.4.27-6
Wenn ich den Tunnel vom VPN Client zum VPN Server aufbaue, ohne NAT,
funktioniert alles wunderbar. Es lassen sich Daten übertragen (ping
192.168.1.11). Der Ping geht duch den Tunnel ich habe es mit tcpdump gerüft
am VPN Server
-
tcpdump -i ipsec0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type EN10MB (Ethernet), capture size 96 bytes
16:32:08.224537 IP 192.168.199.104 192.168.1.11: icmp 64: echo request
seq 1 16:32:08.225077 IP 192.168.1.11 192.168.199.104: icmp 64: echo
reply seq 1 -
Nur wenn ich das NAT auf Router3 aktiviere lässt sich der Tunnel aufbauen,
aber es werden keine Daten übertragen (kein ping 192.168.1.11 möglich)
Ich habe diesbezüglich auch schon Google gequält nur leider nichts gefunden
(eventuell habe ich falsch gesucht)
Ich hoffe das ihr mir weiterhelfen könnt.
Hier noch weitere Details
Am NAT Router3 habe ich das NAT aktiviert:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Es sind keine weiteren FW-Regeln auf den Routern aktive!
VPN aufbau vom Client:
ipsec auto --verbose --up linuxn
002 linuxn #6: initiating Main Mode
104 linuxn #6: STATE_MAIN_I1: initiate
003 linuxn #6: received Vendor ID payload [Dead Peer Detection]
003 linuxn #6: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
002 linuxn #6: enabling possible NAT-traversal with method RFC
(NAT-Traversal)
002 linuxn #6: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
106 linuxn #6: STATE_MAIN_I2: sent MI2, expecting MR2
003 linuxn #6: NAT-Traversal: Result using
draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
002 linuxn #6: I am sending my cert
002 linuxn #6: I am sending a certificate request
002 linuxn #6: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
108 linuxn #6: STATE_MAIN_I3: sent MI3, expecting MR3
002 linuxn #6: Peer ID is ID_DER_ASN1_DN: 'C=AT, ST=Austria, L=Hart,
O=KNAPP, CN=vpn-server, [EMAIL PROTECTED]'
002 linuxn #6: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
002 linuxn #6: ISAKMP SA established
004 linuxn #6: STATE_MAIN_I4: ISAKMP SA established
002 linuxn #7: initiating Quick Mode
RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+UP {using isakmp#6}
112 linuxn #7: STATE_QUICK_I1: initiate
002 linuxn #7: Dead Peer Detection (RFC 3706) enabled
002 linuxn #7: transition from state STATE_QUICK_I1 to state
STATE_QUICK_I2 002 linuxn #7: sent QI2, IPsec SA established
{ESP=0xc7137932 0x8cddcdeb IPCOMP=0x45db 0x3a5a NATOA=0.0.0.0}
004 linuxn #7: STATE_QUICK_I2: sent QI2, IPsec SA established
{ESP=0xc7137932 0x8cddcdeb IPCOMP=0x45db 0x3a5a NATOA=0.0.0.0}
Das NAT-T wurde erkannt und der Tunnel ist UP.
ipsec.conf VPN Server
--snip
version 2.0
config setup
interfaces=ipsec0=eth1
# Debug-logging controls: none for (almost) none, all for lots.
# klipsdebug=none
# plutodebug=control parsing
#klipsdebug=all
klipsdebug=none
#plutodebug=all
plutodebug=control
#
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:!192.168.1.0/24,
%v4:!192.168.100.0/24
crlcheckinterval=600
strictcrlpolicy=yes
conn linuxn
authby=rsasig
keyingtries=1
compress=yes
dpddelay=120
dpdtimeout=370
dpdaction=clear
#
left=195.212.47.60
leftnexthop=195.212.47.58
leftsubnet=192.168.1.0/24
leftcert=vpn-server-cert.pem
leftrsasigkey=%cert
leftid=/C=AT/ST=Austria/L=Hart/O=KNAPP/CN=vpn-server/emailAddress=franz.pa
[EMAIL PROTECTED] #
right=%any
rightrsasigkey=%cert
rightsubnet=vhost:%no,%priv
auto=add
--snip
ipsec.conf VPN Client
--snip
version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
interfaces=%defaultroute
Re: VPN, NAT-T Problem kein Datentransfer
On Fri, Jan 14, 2005 at 04:40:54PM +0100, Franz Pammer wrote: [ openswan/ipsec ] Mir ist außer openvpn *keine* VPN- Lösung bekannt, die über NAT funktioniert. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: vpn mit pptp zu einem windows server
Michael Renner schrieb: On Friday 24 December 2004 23:42, Michael Krauss wrote: Hallo Moin, Hallo [...] /etc/ppp/peers/tunel. Naja hab so einiges ausgestetet aber es will nicht. Hänge mit dem client pc hinter einer firewall (auf iptables basis, debian woody, 2.4.18er kernel, ppp verbindung zum internet). Wird GRE von dieser Firewall geroutet? pptp ist da leider sehr eigen! Kann ich nicht genau sagen. Auf was müsste ich achten? Geroutet wir bei mir eigentlich alles. Ich meine also ich habe bis jetzt nicht explizit (bewusst) bei den iptables auf GRE geachtet. Wenn ich mich von einem Windowsclient durch die Firewall hindurch mit dem VPN-server verbinde funktioniert es. Darum bin ich auch davon ausgegangen, dass es auch mit nem Linux-Client funkst. Habe auch Versucht mich direkt mit dem Rechner (mit VPN-Client) an das DSL Modem anzuschließen und so den Tunnel aufzubauen. Einwahl zum Provider ging 1a. VPN Verbindung gleicher Fehler. Bei meinen Verschuchen habe ich die Konfiguration vom howto (http://pptpclient.sourceforge.net/howto-debian.phtml) verwendet. Die Verbindung wird auch aufgebaut (iptraf zeigt es jedenfalls) jedoch wird die verbindung dann unterbrochen. Was sagen die Logfiles? aus der Syslog. Dec 25 11:50:29 bandy kernel: ppp_mppe: module license 'BSD without advertisement clause' taints kernel. Dec 25 11:50:29 bandy kernel: PPP MPPE Compression module registered Dec 25 11:50:44 bandy kernel: device eth0 left promiscuous mode Dec 25 11:50:45 bandy kernel: device eth0 entered promiscuous mode Dec 25 11:50:49 bandy pppd[2362]: pppd options in effect: Dec 25 11:50:49 bandy pppd[2362]: debug^I^I# (from command line) Dec 25 11:50:49 bandy pppd[2362]: nodetach^I^I# (from command line) Dec 25 11:50:49 bandy pppd[2362]: logfd 2^I^I# (from command line) Dec 25 11:50:49 bandy pppd[2362]: dump^I^I# (from command line) Dec 25 11:50:49 bandy pppd[2362]: noauth^I^I# (from /etc/ppp/options.pptp) Dec 25 11:50:49 bandy pppd[2362]: name da stand mein name^I^I# (from /etc/ppp/peers/vpn) Dec 25 11:50:49 bandy pppd[2362]: ^I^I# (from /etc/ppp/options.pptp) Dec 25 11:50:49 bandy pppd[2362]: pty pptp hier stnd der vpn server --nolaunchpppd^I^I# (from /etc/ppp/peers/vpn) Dec 25 11:50:49 bandy pppd[2362]: crtscts^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: ^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: asyncmap 0^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: lcp-echo-failure 4^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: lcp-echo-interval 30^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: hide-password^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: ipparam whz^I^I# (from /etc/ppp/peers/vpn) Dec 25 11:50:49 bandy pppd[2362]: proxyarp^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: nobsdcomp^I^I# (from /etc/ppp/options.pptp) Dec 25 11:50:49 bandy pppd[2362]: nodeflate^I^I# (from /etc/ppp/options.pptp) Dec 25 11:50:49 bandy pppd[2362]: require-mppe^I^I# (from /etc/ppp/options.pptp) Dec 25 11:50:49 bandy pppd[2362]: noipx^I^I# (from /etc/ppp/options) Dec 25 11:50:49 bandy pppd[2362]: pppd 2.4.2 started by root, uid 0 Dec 25 11:50:49 bandy pppd[2362]: using channel 3 Dec 25 11:50:49 bandy pptp[2363]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated Dec 25 11:50:49 bandy pppd[2362]: Using interface ppp0 Dec 25 11:50:49 bandy pppd[2362]: Connect: ppp0 -- /dev/pts/0 Dec 25 11:50:49 bandy pptp[2372]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 1 'Start-Control-Connection-Request' Dec 25 11:50:49 bandy pptp[2372]: anon log[ctrlp_disp:pptp_ctrl.c:721]: Received Start Control Connection Reply Dec 25 11:50:49 bandy pptp[2372]: anon log[ctrlp_disp:pptp_ctrl.c:755]: Client connection established. Dec 25 11:50:50 bandy pppd[2362]: sent [LCP ConfReq id=0x1 asyncmap 0x0 magic 0xafa3a41d pcomp accomp] Dec 25 11:50:50 bandy pptp[2372]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 7 'Outgoing-Call-Request' Dec 25 11:50:50 bandy pptp[2372]: anon log[ctrlp_disp:pptp_ctrl.c:841]: Received Outgoing Call Reply. Dec 25 11:50:50 bandy pptp[2372]: anon log[ctrlp_disp:pptp_ctrl.c:880]: Outgoing call established (call ID 0, peer's call ID 60730). Dec 25 11:50:50 bandy pppd[2362]: rcvd [LCP ConfReq id=0x0 mru 1400 auth eap magic 0x6c040c57 pcomp accomp callback CBCP] Dec 25 11:50:50 bandy pppd[2362]: sent [LCP ConfRej id=0x0 callback CBCP] Dec 25 11:50:50 bandy pppd[2362]: rcvd [LCP ConfAck id=0x1 asyncmap 0x0 magic 0xafa3a41d pcomp accomp] Dec 25 11:50:50 bandy pppd[2362]: rcvd [LCP ConfReq id=0x1 mru 1400 auth eap magic 0x6c040c57 pcomp accomp] Dec 25 11:50:50 bandy pppd[2362]: sent [LCP ConfNak id=0x1 auth pap] Dec 25 11:50:50 bandy pppd[2362]: rcvd [LCP ConfReq id=0x2 mru 1400 auth chap MS-v2 magic 0x6c040c57 pcomp accomp] Dec 25 11:50:50 bandy pppd[2362]: sent [LCP ConfNak id=0x2 auth pap] Dec 25 11:50:50 bandy pppd[2362]: rcvd [LCP ConfReq
Re: vpn mit pptp zu einem windows server
On Friday 24 December 2004 23:42, Michael Krauss wrote: Hallo Moin, [...] /etc/ppp/peers/tunel. Naja hab so einiges ausgestetet aber es will nicht. Hänge mit dem client pc hinter einer firewall (auf iptables basis, debian woody, 2.4.18er kernel, ppp verbindung zum internet). Wird GRE von dieser Firewall geroutet? pptp ist da leider sehr eigen! Bei meinen Verschuchen habe ich die Konfiguration vom howto (http://pptpclient.sourceforge.net/howto-debian.phtml) verwendet. Die Verbindung wird auch aufgebaut (iptraf zeigt es jedenfalls) jedoch wird die verbindung dann unterbrochen. Was sagen die Logfiles? CU -- |Michael Renner E-mail: [EMAIL PROTECTED] | |D-72072 Tuebingen GermanyICQ: #112280325 | |Germany Don't drink as root! ESC:wq
Re: VPN/PPP weist Kennwort zurück.
Björn Schmidt schrieb: Michael Hierweck wrote: ich versuche gerade ein VPN (ppp over ssh) nach folgender Anleitung aufzubauen: http://nsd.dyndns.org/pppossh/. Wozu brauchst Du das? Warum kein richtiges VPN? Was würdest du mir alternativ empfehlen? Das im Kernel 2.6 integrierte IPsec im Tunnelmodus, Protokoll ESP, mit X.509 Zertifikaten und Racoon. Genaueres findest Du im Netz oder hier... Es sollen zwei Netze mit privatem Adressraum mit über DSL/DynDNS verbunden werden - nach Trennung möglichst automatische Wiederherstellung der Verbindung. Derzeit ist nur der ssh-Port offen, einen weiteren würde ich ggf. opfern ;-). Minimal freizugeben ist 500/UDP für Racoon (Schlüsselaustausch). Das Protokoll 50 (ESP) sollte man auch noch zulassen Bei zwei DSL/DynDNS zu verbindenden Rechner hat man bei automatischer Wiederaufnahme der Verbindung (Stichwort Zwangstrennung) noch das Problem, das man dies synchronisieren sollte. Am einfachsten die Verbindung auf beiden Seiten zu einer fest definierten Zeit (z.B. nachts 5Uhr oder so) beide manuell (cron) trennen+wiederhochfahren und anschliessend nach 1-2 Minuten die IPSec Verbindung wieder aufsetzen lassen. (nachdem man DynDNS aktualisiert hat) Markus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN/PPP weist Kennwort zurück.
Michael Hierweck wrote: ich versuche gerade ein VPN (ppp over ssh) nach folgender Anleitung aufzubauen: http://nsd.dyndns.org/pppossh/. Wozu brauchst Du das? Warum kein richtiges VPN? Auf Server und Client verwende identische chap-secrets analog zum Beispiel, aber mit korrekten Hostnamen, d.h. den Namen, die in der PPP-Konfigurationsdatei (unter /etc/ppp/peers) als name bzw. remotename eingetragen wurden. Sicher dass die richtig sind? Kannst ja mal die namen durch * ersetzen und dann noch mal testen. Leider wird das Login vom PPP-Server zurückgewiesen: (aus dem syslog:) The remote system is required to authenticate itself but I couldn't find any suitable secret (password) for it to use to do so. Dies verstehe ich alledrings nicht. Wie kann ich den Fehler suchen? Hast du gemäß der Anleitung konfiguriert? [EMAIL PROTECTED] # echo /etc/ppp/chap-secrets EOF client server secret1 10.1.1.1 server client secret2 10.1.1.2 EOF Add the same secrets to the chap-secrets file on the client. [EMAIL PROTECTED] # echo /etc/ppp/chap-secrets EOF client server secret1 10.1.1.1 server client secret2 10.1.1.2 EOF ### IMHO müsste es heißen: [EMAIL PROTECTED] # echo /etc/ppp/chap-secrets EOF client server secret1 10.1.1.1 server client secret2 10.1.1.2 EOF Add the same secrets to the chap-secrets file on the client. [EMAIL PROTECTED] # echo /etc/ppp/chap-secrets EOF client server secret2 10.1.1.2 server client secret1 10.1.1.1 EOF -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN/PPP weist Kennwort zurück.
Björn Schmidt wrote: Michael Hierweck wrote: ich versuche gerade ein VPN (ppp over ssh) nach folgender Anleitung aufzubauen: http://nsd.dyndns.org/pppossh/. Wozu brauchst Du das? Warum kein richtiges VPN? Was würdest du mir alternativ empfehlen? Es sollen zwei Netze mit privatem Adressraum mit über DSL/DynDNS verbunden werden - nach Trennung möglichst automatische Wiederherstellung der Verbindung. Derzeit ist nur der ssh-Port offen, einen weiteren würde ich ggf. opfern ;-). Das Traffic-Aufkommen wird minimal sein. Viele Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN/PPP weist Kennwort zurück.
Michael Hierweck wrote: ich versuche gerade ein VPN (ppp over ssh) nach folgender Anleitung aufzubauen: http://nsd.dyndns.org/pppossh/. Wozu brauchst Du das? Warum kein richtiges VPN? Was würdest du mir alternativ empfehlen? Das im Kernel 2.6 integrierte IPsec im Tunnelmodus, Protokoll ESP, mit X.509 Zertifikaten und Racoon. Genaueres findest Du im Netz oder hier... Es sollen zwei Netze mit privatem Adressraum mit über DSL/DynDNS verbunden werden - nach Trennung möglichst automatische Wiederherstellung der Verbindung. Derzeit ist nur der ssh-Port offen, einen weiteren würde ich ggf. opfern ;-). Minimal freizugeben ist 500/UDP für Racoon (Schlüsselaustausch). Das Traffic-Aufkommen wird minimal sein. Das ist eher unwichtig. -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN/PPP weist Kennwort zurück.
Hallo Michael, begin * Michael Hierweck schrieb [26-10-04 23:33]: Was würdest du mir alternativ empfehlen? Es sollen zwei Netze mit privatem Adressraum mit über DSL/DynDNS verbunden werden - nach Trennung möglichst automatische Wiederherstellung der Verbindung. Derzeit ist nur der ssh-Port offen, einen weiteren würde ich ggf. opfern ;-). OpenVPN: Einfache Installation und danach vergessen. end Gruss Udo -- Ohne Signatur! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Am 2004-03-17 21:57:10, schrieb Harald Weidner: Hallo, Laut der poptop Homepage geht es ja auch mit denen. Nur habe ich keine Erfahrungen damit. Habe mittlerweile alle 128-Bit Cryptionspakete von M$ für Win95, Win98 und Win98se heruntergeladen... /etc/ppp/options Da habe ich die, die als example dabei war. Dann solltest Du die mal umbenennen, z.B. nach /etc/ppp/options.orig. Ansonsten liest pppd sie zus?tzlich zur Optionsdatei des pptp ein, was zu bizarren Resultaten f?hren kann. Ich meinte, es ist die Datei, die beim pptpd dabei war. Er versucht aber irgend was anderes aufzubauen... Und mukiert sich, das was fehlt. Nur weis ich nicht was... Ohne konkrete Fehlermeldungen kann ich hier wenig zu sagen... Habe schon deb Debug-Level hochgesetzt, aber er will garnicht esrst starten... Werde am Wochenende nochmal was versuchen. Gru?, Harald Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Am 2004-03-16 23:35:59, schrieb Harald Weidner: Hallo, Es gibt diverse MPPE Patche im Netz. Ich empfehle dringend, den aus dem Paket ppp-2.4.2 (oder neuer) einzusetzen, und den dazu passenden pppd zu verwenden. Gut, das habe ich alles heruntergeladen... Als Authentifikationsmechanismen sollte man nur mschap-v2 zulassen, als Verschl?sselung nur MPPE-128. Das sind die jeweils sichersten Algorithmen. Das ist schon klar... Je nach Windows-Version und Patchlevel kann es sein, dass man den Microsoft Windows High Encryption Pack von www.microsoft.com herunterladen und installieren muss. Z.B. f?r Windows 2000: http://www.microsoft.com/windows2000/downloads/recommended/encryption/ Nur dann geht das ganze nicht mehr mit Win98. Die Frage ist jetzt nur, wie mach ich das mit Win95 ? remoteip 10.1.2.1-254,192.168.3.10-240,172.20.120.1-254 Steht alles in der Manpage (man pptpd.conf). Habs gefunden... Wie soll ich jetzt pppd verwenden, wenn ich schon l?ngst eine Verbindung zum AP habe ? Hatte den 'pptp 192.168.1.130' aufgerufen aber nichts geht... Die Aufrufsyntax ist: pptp 192.168.1.130 call peername Dann kriege ich ne Fehlermeldung, das kein ttySxx definiert ist. Er kann keine Ports finden. wobei peername der Name der Verbindung ist (d.h. ein File gleichen Namens unter /etc/ppp/peers). Das ist was ich nicht verstehe ! Wie soll der Client eine Verbindung zum pppd aufbauen/benutzen, wenn der garnicht verwendet wird. Gar keine. Das macht pptp automatisch. Der Inhalt des pppd Konfigfiles ist von der Version abh?ngig; bei ppp-2.4.2 sollte etwas in der Art snip darin stehen. Wie soll das funktionieren ? Die Clients wählen sich ja nicht über ein ttySxx ein. (Wenn ich das auf meinem Access-Server mache geht das einwandfrei) Aber die Kunden sind ja bereits im Netzwerk durch das WaveLAN. Ich finde keine Beispiele, wie sich Clients uber pptp authentifizieren, wenn diese per fester IP oder DHCP sich ins Netzwerk einklinken. Gru?, Harald Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: Nur dann geht das ganze nicht mehr mit Win98. Die Frage ist jetzt nur, wie mach ich das mit Win95 ? Keine Ahnung. Mit Windows ME geht es jedenfalls problemlos. Die Aufrufsyntax ist: pptp 192.168.1.130 call peername Dann kriege ich ne Fehlermeldung, das kein ttySxx definiert ist. Er kann keine Ports finden. Dann solltest Du die Zeile /dev/ttySxx aus der /etc/ppp/peers/... löschen. Oder kann es sein, dass eine /etc/ppp/options existiert und darin die Zeile /dev/ttySxx enthält? Wenn ja, solltest Du diese löschen, oder noch besser die gesamte Datei. Das ist was ich nicht verstehe ! Wie soll der Client eine Verbindung zum pppd aufbauen/benutzen, wenn der garnicht verwendet wird. Ich verstehe nicht, was Du meinst. Der Client, sofern er unter Unix/Linux läuft, ist das Programm pptp. Dieses baut die Verbindung auf und ruft dann den pppd auf, welcher die eigentliche Kommunikation durchführt. Serverseitig läuft das Programm pptpd, welches nach erfolgreichem Verbindungsaufbau ebenso den pppd aufruft. Aber die Kunden sind ja bereits im Netzwerk durch das WaveLAN. Ja, und? PPTP basiert auf einer bereits funktionierenden IP-Verbindung zwischen Client und Server. Sollte dazu bereits ein pppd am Laufen sein, dann laufen eben anschliessend zwei. Ich finde keine Beispiele, wie sich Clients uber pptp authentifizieren, wenn diese per fester IP oder DHCP sich ins Netzwerk einklinken. Unter http://poptop.sourceforge.net/dox/ (wenn es denn wieder erreichbar ist) findest Du Hinweise zur Konfiguration des Servers sowie der Clients unter Linux und diversen Windows-Betriebssystemen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Am 2004-03-17 21:04:14, schrieb Harald Weidner: Hallo, Keine Ahnung. Mit Windows ME geht es jedenfalls problemlos. In Morocca habe die aber fast alle nur Win95 und dann Win98. Dann solltest Du die Zeile /dev/ttySxx aus der /etc/ppp/peers/... l?schen. Habe ich rausgelöscht... Oder kann es sein, dass eine /etc/ppp/options existiert und darin die Zeile /dev/ttySxx enth?lt? Wenn ja, solltest Du diese l?schen, oder noch besser die gesamte Datei. Da habe ich die, die als example dabei war. Das ist was ich nicht verstehe ! Wie soll der Client eine Verbindung zum pppd aufbauen/benutzen, wenn der garnicht verwendet wird. Ich verstehe nicht, was Du meinst. Der Client, sofern er unter Unix/Linux l?uft, ist das Programm pptp. Dieses baut die Verbindung auf und ruft dann den pppd auf, welcher die eigentliche Kommunikation durchf?hrt. Er versucht aber irgend was anderes aufzubauen... Und mukiert sich, das was fehlt. Nur weis ich nicht was... Unter http://poptop.sourceforge.net/dox/ (wenn es denn wieder erreichbar ist) findest Du Hinweise zur Konfiguration des Servers sowie der Clients unter Linux und diversen Windows-Betriebssystemen. http://www.poptop.org/ gibt es anscheinend nicht mehr, nur noch .com und .net Gru?, Harald Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: In Morocca habe die aber fast alle nur Win95 und dann Win98. Laut der poptop Homepage geht es ja auch mit denen. Nur habe ich keine Erfahrungen damit. /etc/ppp/options Da habe ich die, die als example dabei war. Dann solltest Du die mal umbenennen, z.B. nach /etc/ppp/options.orig. Ansonsten liest pppd sie zusätzlich zur Optionsdatei des pptp ein, was zu bizarren Resultaten führen kann. Er versucht aber irgend was anderes aufzubauen... Und mukiert sich, das was fehlt. Nur weis ich nicht was... Ohne konkrete Fehlermeldungen kann ich hier wenig zu sagen... Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Am 2004-03-15 00:49:06, schrieb Joerg Friedrich: Michelle Konzack schrieb am Donnerstag, 11. März 2004 um 16:19:02 +0100: Hallo, Mein Gott ist das aber hingezirkelt. Du bist ja richtig sparsam mit IP-Adressen, kannst Du Dir Netzwerkadressen/-masken so gut merken oder ist das Deine Art von Gehirn-Jogging? ;-) Wieso, steht Doch alles notwendige da. Man braucht nur auf die IP sehen und dann die Maske angucken dann weis man welche IP's ich verwende... /25 sind 128 IP's, /26 dann 32, ... Wie Du einen pptp-Server einrichtest, findest Du auf www.poptop.org, ebenfalls diverse Konfigurationshilfen für clients. Fehlermeldung: www.poptop.org hat Verbindungsaufbau verweigert. Gut, ich habe den 'pptpd' von WOODY installiert und in der Config steht, das das Teil nicht besonderst sicher ist, wenn ich meinen Kernel nicht mit MPPE patche... oder ist das bereits im 2.4.25 ? Sprich, ich will, das alle WaveLAN-Clients sich über VPN einloggen müssen und alles andere gesperrt wird. Das kann z.b. die kiste 'ipac-ng' in deiner Graphik machen. Annahme: eth0 zum netbuilder, eth1 zu den accesspoints, oder sind das einbaukarten, dann wlan0-4, od. was auch immer. Einfach das forwarding Ne, eth1 ist direkt an einem 100MBit Switch und an dem hängen dann die drei ORINOCO COR-1100 und die Proxim MP.11a, sowie zwei Tsunami- Bridges. zwischen dem eth0 und dem wavenet unterbinden. der pptp server ist wie ein ppp-server eine art einwahl-server. Mit der config des pptpd habe ich allerdings ein problem... Das erste Subnet das ich für die WaveLAN-Cleints verwende hat 128 IP's. Dafür habe ich netmask 255.255.255.128 angegeben. Wi kann ich jetzt aber weitere 256-IP-Blöcke hinzufügen ? Ich kriege von RIPE leider nur nicht zusammenhängende IP-Blöcke. Insgesamt 16 x 256 IP's Die HOWTO's (4) und weitere Dokumentation die ich gefunden habe, sind hofnungslos Outdated von 1999-2001 Desweiteren will ich die Authentifizierung über LDAP machen (woran ich bis jetzt gescheitert bin). Kann man das auch mit eine postgresql machen ? (die kenne ich mittlerweile wenigstens) in wirklichkeit ist der pptpd (poptop) nichts anderes als ein aufsatz auf den normalen pppd. wenn Du den dazu bringst gegen ldap zu authentifizieren, sollte das kein weiteres problem sein. Habe jetzt zum testen auf ner Reserve-Maschine ein neues WOODY installiert und dann 'slapd', 'ipac-ng' und 'pptpd'. Der Kernel ist derzeit der bf24 Gut, meine ORINOCO geht und ich auch mit meinem Laptop ins Internet mit der Standarc-Configuration der ORINOCO-WaveLAN Karte. Habe nun den Internet zugang mittels iptables von eth1 (AP) auf eth0 (NetBuilder) gesperrt und auf meinem Laptop 'pptp-linux' installiert. Die man von pptp-linux ist ja mal wieder absolut genial ! Wie soll ich jetzt pppd verwenden, wenn ich schon längst eine Verbindung zum AP habe ? Hatte den 'pptp 192.168.1.130' aufgerufen aber nichts geht... Was muß ich für optionen an pppd übergeben ? Das Ding beschwert sich, weil mein USR Worldport nicht im PCMCIA steckt. Dachte das ich diesesmal ohne ML auskomme... war wohl nichts ! Also 147 mailingliste: [EMAIL PROTECTED] Jörg Friedrich Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN fr WaveLAN (Lucent ORINIOC/Proxim Tsunami)
On Tue, Mar 16, 2004 at 03:08:44PM +0100, Michelle Konzack wrote: Wieso, steht Doch alles notwendige da. Man braucht nur auf die IP sehen und dann die Maske angucken dann weis man welche IP's ich verwende... /25 sind 128 IP's, /26 dann 32, ... Aha, rechne das doch mal vor. ;) Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
On Tue, Mar 16, 2004 at 04:35:51PM +0100, Torsten Schneider wrote: On Tue, Mar 16, 2004 at 03:08:44PM +0100, Michelle Konzack wrote: Wieso, steht Doch alles notwendige da. Man braucht nur auf die IP sehen und dann die Maske angucken dann weis man welche IP's ich verwende... /25 sind 128 IP's, /26 dann 32, ... Aha, rechne das doch mal vor. ;) Du musst halt nur den Beweiss erbringen dass: 25+2=26 Dann koennte man das schon schaffen SCNR Henning -- Henning Follmann | [EMAIL PROTECTED] it consultant | www.itcfollmann.com -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
On Tuesday 16 March 2004 15:08, Michelle Konzack wrote: Moin, Gut, ich habe den 'pptpd' von WOODY installiert und in der Config steht, das das Teil nicht besonderst sicher ist, wenn ich meinen Kernel nicht mit MPPE patche... oder ist das bereits im 2.4.25 ? es gibt einen passenden Patch für 2.4.25 http://www.polbox.com/h/hs001/ CU -- |Michael Renner E-mail: [EMAIL PROTECTED] | |D-72072 Tuebingen Germany| |Germany Don't drink as root! ESC:wq
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Hallo, Michelle Konzack [EMAIL PROTECTED]: Gut, ich habe den 'pptpd' von WOODY installiert und in der Config steht, das das Teil nicht besonderst sicher ist, wenn ich meinen Kernel nicht mit MPPE patche... oder ist das bereits im 2.4.25 ? Nein, ist es nicht. Es gibt diverse MPPE Patche im Netz. Ich empfehle dringend, den aus dem Paket ppp-2.4.2 (oder neuer) einzusetzen, und den dazu passenden pppd zu verwenden. Als Authentifikationsmechanismen sollte man nur mschap-v2 zulassen, als Verschlüsselung nur MPPE-128. Das sind die jeweils sichersten Algorithmen. Je nach Windows-Version und Patchlevel kann es sein, dass man den Microsoft Windows High Encryption Pack von www.microsoft.com herunterladen und installieren muss. Z.B. für Windows 2000: http://www.microsoft.com/windows2000/downloads/recommended/encryption/ Mit der config des pptpd habe ich allerdings ein problem... Das erste Subnet das ich für die WaveLAN-Cleints verwende hat 128 IP's. Dafür habe ich netmask 255.255.255.128 angegeben. Wi kann ich jetzt aber weitere 256-IP-Blöcke hinzufügen ? Ich kriege von RIPE leider nur nicht zusammenhängende IP-Blöcke. Insgesamt 16 x 256 IP's In der Konfigurationdatei pptpd.conf können mehrere Ranges angegeben werden, z.B. remoteip 10.1.2.1-254,192.168.3.10-240,172.20.120.1-254 Steht alles in der Manpage (man pptpd.conf). Wie soll ich jetzt pppd verwenden, wenn ich schon längst eine Verbindung zum AP habe ? Hatte den 'pptp 192.168.1.130' aufgerufen aber nichts geht... Die Aufrufsyntax ist: pptp 192.168.1.130 call peername wobei peername der Name der Verbindung ist (d.h. ein File gleichen Namens unter /etc/ppp/peers). Was muß ich für optionen an pppd übergeben ? Gar keine. Das macht pptp automatisch. Der Inhalt des pppd Konfigfiles ist von der Version abhängig; bei ppp-2.4.2 sollte etwas in der Art name ... remotename ... require-mschap-v2 require-mppe-128 mtu ... mru ... nodefaultroute darin stehen. Gruß, Harald -- Harald Weidner [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN für WaveLAN (Lucent ORINIOC/Proxim Tsunami)
Michelle Konzack schrieb: Hallo, Faulheit rächt sich... ACK. Immer dann wenn mans gerade nicht brauchen kann. Habe mehr als eine Woche meine Logs nicht kontrolliert und mußte vor zwei Stunden feststellen, das ich seit gut 6 Tagen Opfer von WarDriver geworden bin. Sprich, sie haben es geschaft meine Barieren zu umgehen ;-/ und konnten kostenlos über meine ADSL Surfen. Wenns mehr nicht ist. Sprich, ich will, das alle WaveLAN-Clients sich über VPN einloggen müssen und alles andere gesperrt wird. Sperr alles außer vpn mit iptables. Desweiteren will ich die Authentifizierung über LDAP machen (woran ich bis jetzt gescheitert bin). Kann man das auch mit eine postgresql machen ? (die kenne ich mittlerweile wenigstens) Wie oft willst Du diese Frage noch stellen? Wir haben Dir schon mal hilfe mit LDAP angeboten die Du abgelehnt hast... Hat hier jemand erfahrung mit sowas und kann mich zu etwas neueren HOWTOS's verweisen, bzw, eine Anleitung, die NICHT für SuSE, RedHat oder BSD sind ? Ist doch alles irgendwie das gleiche... http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html http://openvpn.sourceforge.net/ -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
am Tue, dem 09.03.2004, um 23:41:37 +0100 mailte Thomas Sommer folgendes: Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. Hab ich im Eifer des Gefechts vergesse: IN=eth0 OUT=ppp0 SRC=192.168.1.3 DST=192.168.0.254 LEN=60 TOX=0x00 PREC=0x00 TTL=63 ID=9343 DF PROTO=UDP SPT=32990 DPT=53 LEN=40 Jetzt hoffe ich daß das auch wirklich aussagt, daß das Packet gblockt Ja. Das VPN terminitert auf der einen Seite am Client? Kannst Du mir die frage etwas genauer erläutern? Ich verstehe leider nicht ganz was der Begriff terminieren hier bedeutet. Ein VPN ist sowas wie eine Röhre, durch die die Daten gehen. Währe die Röhre aus Glas, könnte man von außen nur verschl. Zeugs sehen. Nettes Tool dafür ist tcpdump. Nun, jede Röhre hat 2 Enden. Dort terminiert das VPN. Die Enden können Clients oder Netze sein. Die Röhre selbst kann SSH sein oder IPSec oder was es da noch so gibt. ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG Ja. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
Ein VPN ist sowas wie eine Röhre, durch die die Daten gehen. Währe die Röhre aus Glas, könnte man von außen nur verschl. Zeugs sehen. Nettes Tool dafür ist tcpdump. Nun, jede Röhre hat 2 Enden. Dort terminiert das VPN. Die Enden können Clients oder Netze sein. Die Röhre selbst kann SSH sein oder IPSec oder was es da noch so gibt. Ok verstanden: Nein das VPN terminiert nicht am Client, der ist mittels route add -network so angelegt daß das Netz dahinter erreichbar ist. So wie ich die Sache gerade sehe, habe ich alles richtig gemacht, nur daß das Packete von der Firewall geblockt werden. Ich weiß nur nicht was ich für das Forwarden eingeben sollte. Wie gesagt ich hatte sowas wie unten probiert. Ich dachte das würde alles was von ppp0 kommt auf $INTIF durchlassen. Entsprechende Regel für die Gegenrichtung und die Sache ist geritzt. Soweit zumindest meine Theorie. Stimmt das? Und wenn ja wo ist dann der Fehler in meiner Iptables-Regel. Wenn die stimmt, dann muß ja doch am Routing liegen. Muß wohl noch nen bischen Zeit reinstecken ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG Ja. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
am Tue, dem 09.03.2004, um 17:11:50 +0100 mailte Thomas Sommer folgendes: Hallo, ich will nen kleines VPN aufbauen mit SSH und PPPD. Das tut auch alles so weit, nur wenn ich von einem Netzt ins andere pinge spuckt mir iptables ne Warnung aus und läßt nichts durch. Ich habe ewig im Netzt gesucht, aber Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. keine weiteren Infos gefunden, vielleicht kann hier ja jemand nen kleinen Blick auf die Firewall werfen: Mein VPN läuft über PPP0 und ich verbinde ein 192.168.1.0 mit 192.168.0.0. Welche Rolle spielt SSH dabei? Meine Firewall läuft auf 192.168.1.254 im VPN: 192.168.0.100 der Client auf 192.168.0.9im VPN: 192.168.0.101 Das VPN terminitert auf der einen Seite am Client? Von der Firewall und vom Client kann ich beide Netze pingen. Aus den Netzen, dann aber nur die Firewall bzw. den Client (beide IPs die sie jeweils haben) IP_Forward im Kernel aktiviert? echoclearing any existing rules and setting default policy.. $IPTABLES -P INPUT ACCEPT Warum ACCEPT? ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN SSH und die Firewall
Nett, daß Du uns diese Meldung nicht sagst. Ist ja klar, wir sind hier die Prüflinge, und Du stellst die Fragen. Hab ich im Eifer des Gefechts vergesse: IN=eth0 OUT=ppp0 SRC=192.168.1.3 DST=192.168.0.254 LEN=60 TOX=0x00 PREC=0x00 TTL=63 ID=9343 DF PROTO=UDP SPT=32990 DPT=53 LEN=40 Jetzt hoffe ich daß das auch wirklich aussagt, daß das Packet gblockt wird. Jedenfalls sind SRC und DST beide keine VPN-Gateways. Welche Rolle spielt SSH dabei? Das VPN ist die Billigversion über pppd mit ssh Tunnel und weiterem Aufruf von pppd auf dem anderen Rechner Meine Firewall läuft auf 192.168.1.254 im VPN: 192.168.0.100 der Client auf 192.168.0.9 im VPN: 192.168.0.101 Das VPN terminitert auf der einen Seite am Client? Kannst Du mir die frage etwas genauer erläutern? Ich verstehe leider nicht ganz was der Begriff terminieren hier bedeutet. Von der Firewall und vom Client kann ich beide Netze pingen. Aus den Netzen, dann aber nur die Firewall bzw. den Client (beide IPs die sie jeweils haben) IP_Forward im Kernel aktiviert? Ja in beiden, habe ich extra nachgeschaut echoclearing any existing rules and setting default policy.. $IPTABLES -P INPUT ACCEPT Warum ACCEPT? Weil es so in der Datei stand die ich in (glaube) einer Howto gefunden habe. ##Von mir eingefügt #Aktivieren für vpn $IPTABLES -A FORWARD -i $INTIF -o ppp0 -j ACCEPT $IPTABLES -A FORWARD -o $INTIF -i ppp0 -j ACCEPT Füge _hier_ eine LOG-Regel ein und REJECTe dann, was verboten sein soll. Meinst Du sowas? $IPTABLES -A FORWARD -j LOG -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit pptpd nur ein User?
Guten Morgen, Hallo allerseits, ich habe eine VPN mit pptpd aufgebaut. Debian Woody/Sid Kernelversiom 2.4.18. In der /etc/ppp/chap-secrets habe ich die Nutzer eingetragen. Sie können sich allerdings nur einzeln anmelden. Ist das etwa so, das nur ein User ein VPN aufbauen kann? Das wäre nicht schön. Schau mal in der /etc/pptpd.conf nach, ob bei remote-ip nur eine IP angegeben ist. Dann kann sich nämlich immer nur 1 User einloggen, da keine weiteren IPs vorhanden sind. Da habe ich eine Range vonzehn Rechnern drin stehen. remoteip 192.168.1.100-110 Das ist doch wohl richtig, oder? MfG Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit pptpd nur ein User?
Torsten [EMAIL PROTECTED] dixit: remoteip 192.168.1.100-110 Das ist doch wohl richtig, oder? Laut man pptpd.conf ist das korrekt. Wie sieht denn bei Dir der Eintrag localip aus? Und: Nach welcher Anleitung bist Du vorgegangen? Das wuerde mich interessirren, weil bei mir das gleiche Problem naechstens auf dem Tisch liegen wird. Daher habe ich auch nur Basiskenntnisse und kann noch nicht mit Spezifica aufwarten. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit pptpd nur ein User?
Torsten [EMAIL PROTECTED] wrote: Hallo allerseits, ich habe eine VPN mit pptpd aufgebaut. Debian Woody/Sid Kernelversiom 2.4.18. In der /etc/ppp/chap-secrets habe ich die Nutzer eingetragen. Sie können sich allerdings nur einzeln anmelden. Ist das etwa so, das nur ein User ein VPN aufbauen kann? Das wäre nicht schön. Schau mal in der /etc/pptpd.conf nach, ob bei remote-ip nur eine IP angegeben ist. Dann kann sich nämlich immer nur 1 User einloggen, da keine weiteren IPs vorhanden sind. HTH bjo -- ICQ# 12220433 | http://www.thebjo.net | Und dann kommt am Bahnhof das Personal mit dem Wasserschlauch für das Bordrestaurant und dem RJ45-Kabel für den Newsserver? | A.Krey in d.e.b.t+s | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN - FreeS/WAN ...?
On Wed, Jul 16, 2003 at 11:12:57AM +0200, debby wrote: Was fuer ein Programm bietet sich dafuer am besten an und ist am pflegeleichtesten und einfachsetn zu installieren? Ich habe von 'tinc', 'FreeS/Wan' und 'vpnclient' gelesen. Gibt es fuer einen davon eine gute Anleitung? cipe? Geht super auch mit dynamischen peers. Rock solid, würde ich sagen. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de -- internet unix support - a href=http://debian.schlittermann.de/; Debian 3.x CD /a Heiko Schlittermann HS12-RIPE --- pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 --- gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN - FreeS/WAN ...?
debby wrote: Hi, nun die naechste Frage. Ich muss ein VPN aufsetzen (alles Woody), wobei zwei IPs dynamisch sind und eine fest. Auf dem Server mit der festen IP kann ich die dynamischen IPs ablegen. Was fuer ein Programm bietet sich dafuer am besten an und ist am pflegeleichtesten und einfachsetn zu installieren? Ich habe von 'tinc', 'FreeS/Wan' und 'vpnclient' gelesen. Gibt es fuer einen davon eine gute Anleitung? Thanx, Debby ... alles woody oder was! Ich benutzt hier OpenVpn. Ist zwar ein testing-Paket und funktioniert auch nur auf Linux-Rechnern ist aber leicht zu installieren und zu konfigurieren. Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Server unter Debian
On Wed, May 28, 2003 at 06:54:54PM +0200, Roland Schmid wrote: kann mir jemand sagen, ob es möglich ist unter Debian einen VPN Server zu installieren und einen L2TP Tunnel aufzubauen? Gibts da Howtos, habe bei Google gesucht aber nichts vernünfiges gefunden. guck dir mal die letzte c't an, da ist ein Artikel drin. bye, - michael -- Gnupg Key-Id: 0x748670F5 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
