Re: WLAN absichern (long)
* Patrick Preuster [EMAIL PROTECTED], 2004-06-08 16:53 +0200: Andre Berger wrote: [snip] komischerweisze hast du auf benroth-vpn als remote wieder benroth-vpn angegeben. Auf deinem Router selbst wuerde ich den remote Eintrag einfach weglassen und diesen nur auf den Clients auf den Router zeigen lassen. Als remote gibst du auch nicht die IP an, die der Rechner spaeter im VPN haben soll sondern die IP im LAN. Ich habe es bei mir so gemacht, dass ich im LAN und im WLAN die IPs aus der Range 192.168.1.0/24 vergebe und im VPN dann 192.168.100.0/24 benutze. Ich habe es getrennt, da man ohne Zugriff auf das VPN immer noch ueber einen Proxy surfen kann, für alle die sich in mein LAN einfach so mal einhängen (Freunde mit Laptops z.B.). Bei deiner Fehlermeldung beschwert sich ja OpenVPN offenbar darüber, dass remote und ifconfig IP die gleichen sind, vielleicht versuchst du es einfach mal im VPN andere IP Adressen zu benutzen. Hab's kapiert. Und ein paar Studen spaeter auch ein anderes endlich geloest. Nachdem auch die Minimalkonfiguration aus der openvpn man page nicht funktionierte, bin ich darauf gekommen, in der up-Konfigurationsdatei zunaechst ipmasq zu stoppen, die Routing-Kommandos aus der man page auszufuehren und ipmasq wieder zu starten. Seitdem geht's... Danke fuer Eure Hilfe! -Andre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: WLAN absichern
* Felix Fritzsche [EMAIL PROTECTED], 2004-06-06 14:15 +0200: Guten Tag zusammen, ich moechte gern ein gemischtes Win2k-P/WinXP-H/MacOSX WLAN-Netzwerk sicherer machen. Auf dem Router (woody 2.4.18-bf2.4) laeuft neben ipmasq und dnsmasq der hostap-0.1.3 im Access Point-Modus mit einem 104-Bit WEP key sowie einer ACL, die nur bestimmte MAC-Adressen erlaubt. Leider haben mir bei meinem Netzwerk-Kenntnisstand weder die diversen VPN-HOWTOs als auch die noch die hostap(d)-Doku ueber das Erreichte hinaus weitergeholfen, und deren hostap mailing list ist erfahrungsgemaess auch nicht gerade freundlich zu Benutzern. Gesucht sind WLAN-Verschluesslungsstrategien, die in dieser gemischten Umgebung funktionieren und moeglichst leicht aufzusetzen waeren; wenn moeglich ohne den Kernel zu patchen, da mir sehr daran gelegen waere, die Debian security updates weiterhin automatisiert nutzen zu koennen. Vielen Dank im voraus, -Andre Ich weiß ja nicht ob das so eine direkte Antwort ist, aber hast du mal versucht die User mittels Kerberos und dem Standart 802.1x anzumelden? Soweit ich weiß kann das jedes Betriebsystem zumindest Win XP und Mac OS X 10.3. Ich habe nur einen Hardware AP der die Anfragen an einem Linux Rechner weiterleitet. Muss aber dazu sagen das ich diesen Server nicht Administriere. War nur so eine Idee. Jau, hab ich auch schon dran gedacht. Aber wie setzt man so einen Authentifizierungsmechanism den serverseitig auf? -Andre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: WLAN absichern (long)
Andre Berger wrote: [snip] Irgend etwas mache ich ganz falsch, muss man generell weitere IP-Adressen vergeben oder habe ich da einen Dreher in remote und local? Und, ganz platt gefragt, wie stelle ich denn sicher, dass der Tunnel immer benutzt wird? Hallo, komischerweisze hast du auf benroth-vpn als remote wieder benroth-vpn angegeben. Auf deinem Router selbst wuerde ich den remote Eintrag einfach weglassen und diesen nur auf den Clients auf den Router zeigen lassen. Als remote gibst du auch nicht die IP an, die der Rechner spaeter im VPN haben soll sondern die IP im LAN. Ich habe es bei mir so gemacht, dass ich im LAN und im WLAN die IPs aus der Range 192.168.1.0/24 vergebe und im VPN dann 192.168.100.0/24 benutze. Ich habe es getrennt, da man ohne Zugriff auf das VPN immer noch ueber einen Proxy surfen kann, für alle die sich in mein LAN einfach so mal einhängen (Freunde mit Laptops z.B.). Bei deiner Fehlermeldung beschwert sich ja OpenVPN offenbar darüber, dass remote und ifconfig IP die gleichen sind, vielleicht versuchst du es einfach mal im VPN andere IP Adressen zu benutzen. Viele Grüße Patrick -- Patrick Preuster [EMAIL PROTECTED], [EMAIL PROTECTED], [EMAIL PROTECTED] 'Heaven doesn't want us and Hell is afraid we'll take over! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
WLAN absichern
Guten Tag zusammen, ich moechte gern ein gemischtes Win2k-P/WinXP-H/MacOSX WLAN-Netzwerk sicherer machen. Auf dem Router (woody 2.4.18-bf2.4) laeuft neben ipmasq und dnsmasq der hostap-0.1.3 im Access Point-Modus mit einem 104-Bit WEP key sowie einer ACL, die nur bestimmte MAC-Adressen erlaubt. Leider haben mir bei meinem Netzwerk-Kenntnisstand weder die diversen VPN-HOWTOs als auch die noch die hostap(d)-Doku ueber das Erreichte hinaus weitergeholfen, und deren hostap mailing list ist erfahrungsgemaess auch nicht gerade freundlich zu Benutzern. Gesucht sind WLAN-Verschluesslungsstrategien, die in dieser gemischten Umgebung funktionieren und moeglichst leicht aufzusetzen waeren; wenn moeglich ohne den Kernel zu patchen, da mir sehr daran gelegen waere, die Debian security updates weiterhin automatisiert nutzen zu koennen. Vielen Dank im voraus, -Andre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: WLAN absichern
On Sun, Jun 06, 2004 at 11:43:26AM +0200, Andre Berger wrote: Guten Tag zusammen, ich moechte gern ein gemischtes Win2k-P/WinXP-H/MacOSX WLAN-Netzwerk sicherer machen. Auf dem Router (woody 2.4.18-bf2.4) laeuft neben ipmasq und dnsmasq der hostap-0.1.3 im Access Point-Modus mit einem 104-Bit WEP key sowie einer ACL, die nur bestimmte MAC-Adressen erlaubt. Gesucht sind WLAN-Verschluesslungsstrategien, die in dieser gemischten Umgebung funktionieren und moeglichst leicht aufzusetzen waeren; wenn moeglich ohne den Kernel zu patchen, da mir sehr daran gelegen waere, die Debian security updates weiterhin automatisiert nutzen zu koennen. Dann solltest Du dich mal im VPN Umfeld umsehen. Gibt da verschiedene moeglichkeiten und Varianten. Eine relativ einfach zu implementierende waere OpenVPN [1]. Allerdings must Du da mal pruefen ob das fuer alle von dir eingesetzten Betriebsysteme verfuegbar ist. An Doku dazu kann ich dir ausser der VPN Homepage noch folgende Links geben: [2] [3] Backport fuer woody findest Du hier: [4] HTH Sven [1] http://openvpn.sourceforge.net/ [2] http://www.berts-linux.de/modules.php?name=Contentpa=showpagepid=12page=1 [3] http://www.osnews.com/story.php?news_id=5803 [4] http://www.backports.org -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - No sleep] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: WLAN absichern
Andre Berger wrote: Gesucht sind WLAN-Verschluesslungsstrategien, die in dieser gemischten Umgebung funktionieren und moeglichst leicht aufzusetzen waeren; wenn moeglich ohne den Kernel zu patchen, da mir sehr daran gelegen waere, die Debian security updates weiterhin automatisiert nutzen zu koennen. Hallo, ich habe hier das gleiche Setup wie du und ich benutze dafür OpenVPN, das läuft auf allen angesprochenen Betriebssystemen (auf Windows tut das im Gegensatz zu IPSEC sogar sehr schön als Service) ohne Probleme. Ein Kernelpatch ist wohl auch nicht nötig, das einzige was passieren kann ist, dass du den Kernel neu kompilieren musst, da du den TUN/TAP Treiber brauchst. Alles weitere findest du auf der OpenVPN Homepage, die Sven ja schon genannt hat. Viele Grüße Patrick -- Patrick Preuster [EMAIL PROTECTED], [EMAIL PROTECTED], [EMAIL PROTECTED] 'Heaven doesn't want us and Hell is afraid we'll take over! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: WLAN absichern
Guten Tag zusammen, ich moechte gern ein gemischtes Win2k-P/WinXP-H/MacOSX WLAN-Netzwerk sicherer machen. Auf dem Router (woody 2.4.18-bf2.4) laeuft neben ipmasq und dnsmasq der hostap-0.1.3 im Access Point-Modus mit einem 104-Bit WEP key sowie einer ACL, die nur bestimmte MAC-Adressen erlaubt. Leider haben mir bei meinem Netzwerk-Kenntnisstand weder die diversen VPN-HOWTOs als auch die noch die hostap(d)-Doku ueber das Erreichte hinaus weitergeholfen, und deren hostap mailing list ist erfahrungsgemaess auch nicht gerade freundlich zu Benutzern. Gesucht sind WLAN-Verschluesslungsstrategien, die in dieser gemischten Umgebung funktionieren und moeglichst leicht aufzusetzen waeren; wenn moeglich ohne den Kernel zu patchen, da mir sehr daran gelegen waere, die Debian security updates weiterhin automatisiert nutzen zu koennen. Vielen Dank im voraus, -Andre Ich weiß ja nicht ob das so eine direkte Antwort ist, aber hast du mal versucht die User mittels Kerberos und dem Standart 802.1x anzumelden? Soweit ich weiß kann das jedes Betriebsystem zumindest Win XP und Mac OS X 10.3. Ich habe nur einen Hardware AP der die Anfragen an einem Linux Rechner weiterleitet. Muss aber dazu sagen das ich diesen Server nicht Administriere. War nur so eine Idee. Gruß Felix
Re: WLAN absichern (long)
* Patrick Preuster [EMAIL PROTECTED], 2004-06-06 13:29 +0200: Andre Berger wrote: [...] ich habe hier das gleiche Setup wie du und ich benutze dafür OpenVPN, das läuft auf allen angesprochenen Betriebssystemen (auf Windows tut das im Gegensatz zu IPSEC sogar sehr schön als Service) ohne Probleme. Ein Kernelpatch ist wohl auch nicht nötig, das einzige was passieren kann ist, dass du den Kernel neu kompilieren musst, da du den TUN/TAP Treiber brauchst. Alles weitere findest du auf der OpenVPN Homepage, die Sven ja schon genannt hat. Hallo Sven und Patrick, danke fuer die sehr vielversprechende Rueckmeldung (besonders auch die Links)! Hab mir openvpn von backports.org installiert sowie unter MacOS X die entspr. .kext installiert und openvpn (ohne lzo) kompiliert und versucht, es 'nach Bert seiner Anleitung' zu konfigurieren. Allerdings verstehe ich das Konzept noch nicht so ganz. 192.168.6.7 hvk-vpn macosx 192.168.6.9 benroth-vpn router woody hvk-vpn: # ls -l /usr/local/etc/openvpn total 24 -rw-r--r-- 1 root andreber 181 6 Jun 15:06 tunnel1.conf -rw--- 1 root andreber 636 6 Jun 14:51 tunnel1.key -rwxr-xr-x 1 root andreber 58 6 Jun 15:11 tunnel1.up # cat /usr/local/etc/openvpn/tunnel1.conf remote hvk-vpn float port 4999 dev tun ifconfig 192.168.6.7 192.168.6.9 persist-tun #comp-lzo ping 30 up /usr/local/etc/openvpn/tunnel1.up secret /usr/local/etc/openvpn/tunnel1.key # cat /usr/local/etc/openvpn/tunnel1.up #!/bin/bash #BSD-Syntax! route add -net 192.168.6.7 $5 255.255.255.0 auf benroth-vpn, meinem Router: # ls -l /etc/openvpn total 16 -rw-r--r--1 root root 165 Jun 6 15:15 tunnel1.conf -rw---1 root root 636 Jun 6 13:49 tunnel1.key -rwxr-xr-x1 root root 68 Jun 6 13:55 tunnel1.up # cat /etc/openvpn/tunnel1.conf remote benroth-vpn float port 4999 dev tun ifconfig 192.168.6.9 192.168.6.7 persist-tun #comp-lzo ping 30 up /etc/openvpn/tunnel1.up secret /etc/openvpn/tunnel1.key # cat /etc/openvpn/tunnel1.up #!/bin/bash route add -net 192.168.6.9 netmask 255.255.255.0 gw $5 Die Datei tunnel1.key ist jeweils identisch. Dabei bekomme ich bei /etc/init.d/openvpn start den syslog-Eintrag (sorry fuer die langen Zeilen): Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: OpenVPN 1.6.0 i386-pc-linux-gnu [SSL] [LZO] [PTHREAD] built on May 31 2004 Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: WARNING: --remote address [192.168.6.9] conflicts with --ifconfig address pair [192.168.6.9, 192.168.6.7] Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: WARNING: potential conflict between --remote address [192.168.6.9] and --ifconfig address pair [192.168.6.9, 192.168.6.7] -- this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as --ifconfig endpoints Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: TUN/TAP device tun0 opened Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: /sbin/ifconfig tun0 192.168.6.9 pointopoint 192.168.6.7 mtu 1256 Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: /etc/openvpn/tunnel1.up tun0 1256 1300 192.168.6.9 192.168.6.7 init Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: script failed: shell command exited with error status: 4 Jun 6 15:39:59 benroth ovpn-tunnel1[1031]: Exiting Irgend etwas mache ich ganz falsch, muss man generell weitere IP-Adressen vergeben oder habe ich da einen Dreher in remote und local? Und, ganz platt gefragt, wie stelle ich denn sicher, dass der Tunnel immer benutzt wird? -Andre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
