Re: [ug-fraosug] Zwischenbericht SunRay+VPN
On 05/10/12 00:43, Ulrich Graef wrote: Am 15. Mai, nächsten Dienstag? Ich mache mal. Ich mache auch mal. Vortrag heisst ganz simpel Oracle Sun Ray's und VPN Gruss Julian On 09.05.12 18:39, Julian Thomas wrote: Hallo, ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend... Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?) einen Vortrag über mein Setup und wir diskutieren Alternativen, Erweiterungen, Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer. Und ich hätte auch noch die ein oder andere Frage zu meinem Setup. Dann müssen wir das nicht alles über die Mailingliste klären - und es gibt ja auch von anderer Seite her Interesse an einem Vortrag über das Thema. Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec und VPN im Allgemeinem sagen kann. Viele Grüße Julian (der gerade von der Uni aus via OVDC und VPN auf dem Sunray-Server zuhause arbeitet ;) ) ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Julian,
ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)
Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):
[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
1 smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9) 0.732 ms 0.546 ms
0.376 ms
2 129.157.42.6 (129.157.42.6) 0.688 ms 0.651 ms 0.393 ms
3 65.250.18.73 (65.250.18.73) 1.485 ms 1.592 ms 1.555 ms
4 68.137.134.142 (68.137.134.142) 123.363 ms 123.340 ms 122.809 ms
5 smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37) 138.871 ms 138.583 ms
138.581 ms
6 smuscobrm04r98-po-1.central.sun.com (10.0.20.241) 138.846 ms 138.829 ms
139.062 ms
7 brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134) 138.813 ms 138.823
ms 138.765 ms
8 * * *
9 * * *
10 ge-6-3.car1.Denver1.Level3.net (4.53.0.121) 175.103 ms 167.223 ms
359.997 ms
11 vlan52.ebr2.Denver1.Level3.net (4.69.147.126) 160.641 ms 156.272 ms
168.104 ms
12 ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62) 165.824 ms 165.863 ms
173.011 ms
13 ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134) 165.642 ms 165.715 ms
165.600 ms
14 dtag (4.68.62.222) 190.775 ms 191.806 ms 191.711 ms
15 da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141) 276.302 ms 277.843 ms 276.777
ms
16 217.0.77.49 (217.0.77.49) 272.474 ms 272.994 ms 272.888 ms
17 p5DDCD1CF.dip.t-dialin.net (93.220.209.207) 289.695 ms !X 289.892 ms !X
289.824 ms !X
[sr1-efra05-04: home/mpfuetzn] {2} %
Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
Telekom...
Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!
Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
nutzen können...
Freut mich, daß mein Hinweis Dir geholfen hat!
Matthias
Du (Julian Thomas) schreibst:
Hallo,
ersteinmal vielen Dank für die schnelle Antwort, Matthias.
Die Sache mit dem Usernamen und dem Passwort
war der entscheidende Denkanstoss.
Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs
DSL.
Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
Da ich die User und Passwörter im Cisco-Router anlegen muss,
wollte ich mir das sparen.
Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
(VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)
Das SunRay-Config-GUI lässt als
VPN-Modus pre-shared, xauth und hybrid zu.
Daher dachte ich, pre-shared auswählen, Username und Passwort leerlassen,
würde zum Ziel führen. Das geht offensichtlich so nicht.
Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, oder
das
ein Bug (Cisco oder Sunray) ist.
Ich habe nun die User im Cisco-Router angelegt und den entsprechend
eingestellt,
dass er eine Authentifizierung mit Username und Passwort verlangt,
im Sunray-GUI-Menü xauth als VPN-Mode eingestellt, die
Netzwerk-Einstellungen
und den Sunray-Server eingetragen, et voilà, es klappt!!!
Und es klappt _phänomenal_ gut!
Falls Interesse besteht, kann ich das gerne für das nächste oder übernächste
Treffen in einen kurzen Vortrag stecken.
Viele Grüße und vielen Dank für alle URL's, Tipps und Hinweise!
Julian
Hallo,
nachdem ich nun das ein oder andere ausprobiert habe, hier ein
kurzer Zwischenbericht (für diejenigen, die es interessiert).
Meine größte Hürde war/ist die korrekte Konfiguration des VPN,
speziell auf der Server-Seite.
Was ich bisher erreicht habe, ist folgendes:
- Cisco Router ist als VPN-Server konfiguriert
- Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco
VPN Software Client)
und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer
DSL-Internet-Verbindung.
- Linux-Rechner - Internetverbindung via pppoe aufbauen - vpnc starten,
um VPN-Tunnel aufzubauen
- Oracle VDC starten - IP-Adresse des SunRay-Server eingeben und
verbinden.
Das funktioniert einwandfrei und für eine normale DSL-Verbindung
erstaunlich gut.
Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen.
- Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen.
- Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN
betreiben.
Die SunRay hängt bei 28F VPN IKE Phase 1 agg I est.
- Was mangels vernünftigem Router noch
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hallo Ihr zwei,
meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut, nur
kann ich
einen verriegelten Bildschirm nicht mehr verbinden:
SunRay Start zeigt Anmeldebildschirm - okay
User meldet sich an - okay
User kann arbeiten - okay
GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm
bekommen.
Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt -
okay, keine Sicherheit mehr :-)
Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese
verriegelt wird - Dat is nich gut!
Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.
Nun zu VPN:
Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige Umgebung
erstellen konnte.
Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router
eine Umgebung aufbauen kann.
Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und
anschließend zum SunRay
Server geroutet werden.
Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?
Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
Können Thomas's Erkenntnisse übertragen werden?
An welcher Stelle kann ich nun sinnvoll einsteigen?
Vorschlag:
Solaris 11 Zone für VPN erstellen
OpenVpn Installieren
Test mit OpenVpn Client vom Laptop zur VPN Zone
ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
Routing Konfigurieren
ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay Server
Konfiguration von VPN für die SunRay Client Firmware
Verbindung zur VPN Zone mit Routing zum SunRay Server
Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.
Gruß
Christian
On 09.05.2012 08:51, Matthias Pfützner wrote:
Julian,
ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)
Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):
[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
1 smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9) 0.732 ms 0.546 ms
0.376 ms
2 129.157.42.6 (129.157.42.6) 0.688 ms 0.651 ms 0.393 ms
3 65.250.18.73 (65.250.18.73) 1.485 ms 1.592 ms 1.555 ms
4 68.137.134.142 (68.137.134.142) 123.363 ms 123.340 ms 122.809 ms
5 smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37) 138.871 ms 138.583 ms
138.581 ms
6 smuscobrm04r98-po-1.central.sun.com (10.0.20.241) 138.846 ms 138.829 ms
139.062 ms
7 brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134) 138.813 ms 138.823
ms 138.765 ms
8 * * *
9 * * *
10 ge-6-3.car1.Denver1.Level3.net (4.53.0.121) 175.103 ms 167.223 ms
359.997 ms
11 vlan52.ebr2.Denver1.Level3.net (4.69.147.126) 160.641 ms 156.272 ms
168.104 ms
12 ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62) 165.824 ms 165.863 ms
173.011 ms
13 ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134) 165.642 ms 165.715 ms
165.600 ms
14 dtag (4.68.62.222) 190.775 ms 191.806 ms 191.711 ms
15 da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141) 276.302 ms 277.843 ms 276.777
ms
16 217.0.77.49 (217.0.77.49) 272.474 ms 272.994 ms 272.888 ms
17 p5DDCD1CF.dip.t-dialin.net (93.220.209.207) 289.695 ms !X 289.892 ms !X
289.824 ms !X
[sr1-efra05-04: home/mpfuetzn] {2} %
Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
Telekom...
Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!
Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
nutzen können...
Freut mich, daß mein Hinweis Dir geholfen hat!
Matthias
Du (Julian Thomas) schreibst:
Hallo,
ersteinmal vielen Dank für die schnelle Antwort, Matthias.
Die Sache mit dem Usernamen und dem Passwort
war der entscheidende Denkanstoss.
Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs
DSL.
Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
Da ich die User und Passwörter im Cisco-Router anlegen muss,
wollte ich mir das sparen.
Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
(VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen)
Das SunRay-Config-GUI lässt als
VPN-Modus pre-shared, xauth und hybrid zu.
Daher dachte ich, pre-shared auswählen, Username und Passwort leerlassen,
würde zum Ziel führen. Das geht offensichtlich so nicht.
Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
ich
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Christian,
unten Fragen...
Du (christian.eickh...@oracle.com) schreibst:
Hallo Ihr zwei,
meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut,
nur kann ich
einen verriegelten Bildschirm nicht mehr verbinden:
SunRay Start zeigt Anmeldebildschirm - okay
User meldet sich an - okay
User kann arbeiten - okay
GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm
bekommen.
Falsch! Nur im Non-Smart-Card-Mode, denn nicht die Sun Ray wird gelockt,
sondern die Session. Und im Non-Smart-card-Mode ist die Session an eine Sunray
gebunden, aber auch nur solange, bis die Session woandershin
verschwindet. Bei den In-Oracle Installationen ist das nach etwa 5 Minuten der
Fall, und dann muß ich mich da auf dem ganz normalen Session Login neu wieder
anmelden, und dabei könnte ich mich auch als ein ganz anderer User wieder
anmelden...
Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt -
okay, keine Sicherheit mehr :-)
Dein Problem muß woanders liegen... :-)
Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese
verriegelt wird - Dat is nich gut!
Auch falsch! Du solltest einen ganz normalen Login-Screen sehen, und Dich da
einloggen können. Wenn es unter Deinem Namen eine Session gibt, sollte die
dann freigeschaltet werden (ja, auch der ScreenLock!).
Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.
Das verstehe ich nicht, was da behoben sein soll...
Nun zu VPN:
Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige
Umgebung erstellen konnte.
Thomas? Julian!
Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router
eine Umgebung aufbauen kann.
Wohl schon! Du brauchst aber irgendwie VPN...
Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und
anschließend zum SunRay
Server geroutet werden.
Ja, ich denke, daß ist genau das, was Julian gemacht hat!
Bei Julian ist das aber getrennt, VPN und DSL (obwohl, auch Cisco bietet
kombinierte Geräte an!) an zwei Geräten...
Julian, Du sagtest doch, daß Du nun auch eine Fritz!Box hast. Hast Du da schon
mal Fritz!Box VPN probiert? Solte, denke ich, auch gehen:
http://www.avm.de/vpn
Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?
Hä? Was willst Du in der Zone betreiben? Und. Das N in VPN steht für
Netzwerk, Du braucht also schon ein ganzes Netzwerksegment, daß Du via VPN mit
irgendetwasx anderem verbinden willst, entweder nur ein Device (wie z.B. die
Sun Ray, oder einen PC) oder auch ein ganzes Netzwerk (davon haben wir hier
aber noch nicht gesprochen, und ist im Kontext Sun ray auch eher
unwahrscheinlich).
Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
Können Thomas's Erkenntnisse übertragen werden?
Julians...
An welcher Stelle kann ich nun sinnvoll einsteigen?
Vorschlag:
Solaris 11 Zone für VPN erstellen
OpenVpn Installieren
Test mit OpenVpn Client vom Laptop zur VPN Zone
Soll dann die Zone den Router ins Hausnetz bei Dir spielen? Ich verstehe noch
nicht so ganz, was Du wie aufbauen willst...
ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
Routing Konfigurieren
ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay
Server
Ah ja, also doch, die Zone als VPN Gateway...
Konfiguration von VPN für die SunRay Client Firmware
Verbindung zur VPN Zone mit Routing zum SunRay Server
Ersetze begrifflich VPN Zone als VPN Gateway, berieben in einer Solaris
Zone, dann wird es uns etwas klarer, was Du möchtest... Könnte wohl schon so
gehen, wie Du es beschrieben hast...
Matthias
Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.
Gruß
Christian
On 09.05.2012 08:51, Matthias Pfützner wrote:
Julian,
ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)
Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):
[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
1 smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9) 0.732 ms 0.546 ms
0.376 ms
2 129.157.42.6 (129.157.42.6) 0.688 ms 0.651 ms 0.393 ms
3 65.250.18.73 (65.250.18.73) 1.485 ms 1.592 ms 1.555 ms
4 68.137.134.142 (68.137.134.142) 123.363 ms 123.340 ms 122.809 ms
5 smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37) 138.871 ms 138.583
ms
138.581 ms
6 smuscobrm04r98-po-1.central.sun.com (10.0.20.241) 138.846 ms 138.829
ms
139.062 ms
7
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hi,
das deckt sich mir meinen Erfahrungen: Ich habe meinen SunRay Server
seit Dezember unter Solaris 11 laufen.
Die Installation war weitestgehend die gleiche wie unter
http://wiki.sun-rays.org/index.php/SRS_5.1_on_Solaris_11_Express
beschrieben. Hier holpert es allerdings doch noch ziemlich und das ist
der Grund warum ich auf VDI für Solaris 11 warte.
Ein Problem mit verlorenen Sessions habe ich nicht, wobei ich immer
SunRay-Karten verwende. - Ohne Karten ist es so wie von Matthias
beschrieben.
Grüße
Michael
Am 09.05.12 18:04, schrieb Matthias Pfützner:
Christian,
unten Fragen...
Du (christian.eickh...@oracle.com) schreibst:
Hallo Ihr zwei,
meine Sunray Installation unter Solaris 11 läuft nun auch schon recht gut, nur
kann ich
einen verriegelten Bildschirm nicht mehr verbinden:
SunRay Start zeigt Anmeldebildschirm - okay
User meldet sich an - okay
User kann arbeiten - okay
GUI macht screen lock - mist, SunRay kann keinen neuen Anmeldebildschirm
bekommen.
Falsch! Nur im Non-Smart-Card-Mode, denn nicht die Sun Ray wird gelockt,
sondern die Session. Und im Non-Smart-card-Mode ist die Session an eine Sunray
gebunden, aber auch nur solange, bis die Session woandershin
verschwindet. Bei den In-Oracle Installationen ist das nach etwa 5 Minuten der
Fall, und dann muß ich mich da auf dem ganz normalen Session Login neu wieder
anmelden, und dabei könnte ich mich auch als ein ganz anderer User wieder
anmelden...
Nun habe ich den Screen Saver deaktiviert und es wird nicht mehr verriegelt -
okay, keine Sicherheit mehr :-)
Dein Problem muß woanders liegen... :-)
Wird die SunRay ausgeschaltet, bekomme ich die Session nicht zurück, da diese
verriegelt wird - Dat is nich gut!
Auch falsch! Du solltest einen ganz normalen Login-Screen sehen, und Dich da
einloggen können. Wenn es unter Deinem Namen eine Session gibt, sollte die
dann freigeschaltet werden (ja, auch der ScreenLock!).
Ich warte nun auf VDI für Solaris 11, dann sollte das ja behoben sein.
Das verstehe ich nicht, was da behoben sein soll...
Nun zu VPN:
Ich habe verstanden, das Thomas mit einen Cisco-Router eine Lauffähige Umgebung
erstellen konnte.
Thomas? Julian!
Was ich nun noch nicht herauslesen konnte ist, ob ich auch ohne Cisco-Router
eine Umgebung aufbauen kann.
Wohl schon! Du brauchst aber irgendwie VPN...
Ich möchte gerne transparent durch einen DSL Router mit VPN zum Server und
anschließend zum SunRay
Server geroutet werden.
Ja, ich denke, daß ist genau das, was Julian gemacht hat!
Bei Julian ist das aber getrennt, VPN und DSL (obwohl, auch Cisco bietet
kombinierte Geräte an!) an zwei Geräten...
Julian, Du sagtest doch, daß Du nun auch eine Fritz!Box hast. Hast Du da schon
mal Fritz!Box VPN probiert? Solte, denke ich, auch gehen:
http://www.avm.de/vpn
Könnte man da nicht mit OpenVPN in einer Zone weiter kommen?
Hä? Was willst Du in der Zone betreiben? Und. Das N in VPN steht für
Netzwerk, Du braucht also schon ein ganzes Netzwerksegment, daß Du via VPN mit
irgendetwasx anderem verbinden willst, entweder nur ein Device (wie z.B. die
Sun Ray, oder einen PC) oder auch ein ganzes Netzwerk (davon haben wir hier
aber noch nicht gesprochen, und ist im Kontext Sun ray auch eher
unwahrscheinlich).
Wo liegt da eigentlich das Konfigurationsproblem? Ist es mein/unser Unwissen?
Können Thomas's Erkenntnisse übertragen werden?
Julians...
An welcher Stelle kann ich nun sinnvoll einsteigen?
Vorschlag:
Solaris 11 Zone für VPN erstellen
OpenVpn Installieren
Test mit OpenVpn Client vom Laptop zur VPN Zone
Soll dann die Zone den Router ins Hausnetz bei Dir spielen? Ich verstehe noch
nicht so ganz, was Du wie aufbauen willst...
ssh zur Zone über VPN - soweit war ich schon mal mit OpenSolaris
Routing Konfigurieren
ssh durch die Zone über VPN zur global zone - da läuft auch der SunRay Server
Ah ja, also doch, die Zone als VPN Gateway...
Konfiguration von VPN für die SunRay Client Firmware
Verbindung zur VPN Zone mit Routing zum SunRay Server
Ersetze begrifflich VPN Zone als VPN Gateway, berieben in einer Solaris
Zone, dann wird es uns etwas klarer, was Du möchtest... Könnte wohl schon so
gehen, wie Du es beschrieben hast...
Matthias
Für jede Idee zu den einzelnen Punkten ist Hilfe gern gesehen.
Gruß
Christian
On 09.05.2012 08:51, Matthias Pfützner wrote:
Julian,
ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)
Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):
[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Ergänzung:
Und wir sind uns auch einig, daß das keine gute Idee ist, und daher also so,
wie es jetzt implementiert ist, bleiben wird.
Denn:
Wenn nur pre-shared keys möglich wären, ohne user und ohne pw, dann könnte so
JEDER, der die Sun Ray klaut, problemlos in ein Firmennetzwerk
reinkommen. Daher ist eine zusätzliche interaktive, nutzerabhängige
Authentifizierung absolut unumgänglich.
Liebe Grüße,
Matthias
Du (Matthias Pfützner) schreibst:
Und hier ist die Antwort des Firmwareentwicklers:
It's possible to configure preshared only through the Sun Ray GUI, but
it's never been tested on a Cisco gateway. I think it was there to
support Nortel VPN gateways, because that's the mode they used. Have the
customer give it a try to see if it works.
My guess is that it won't work, by the way. The code is hardwired to do the
Xauth transaction.
Gruß,
Matthias
Ich (Matthias Pfützner) schrieb:
Julian,
ich weiß nicht, ob es auch ohne gehen könnte, ich vermute aber eher nicht,
kann aber gerne mal intern nachfragen... (was ich gerade getan habe, sowie
Antwort da ist, gebe ich Bescheid!)
Und, ja, Sun Ray über WAN via VPN geht phänomenal gut! Mach ich nun seit
über
4 Jahren, und inzwischen sieht die Route vom Server zur Sun Ray so aus (mal
sehen, wie es in 2 Wochen aussehen wird, dann wird es 'germany.sun.com
nicht
mehr intern geben, sondern wir werden dann in einem Oracle Netzwerk hängen,
bin schon sehr gespannt...):
[sr1-efra05-04: home/mpfuetzn] {1} % traceroute pfuetzner.homeip.net
traceroute to pfuetzner.homeip.net (93.220.209.207), 30 hops max, 40 byte
packets
1 smdeu0fra05s07-vlan43.germany.sun.com (129.157.43.9) 0.732 ms 0.546 ms
0.376 ms
2 129.157.42.6 (129.157.42.6) 0.688 ms 0.651 ms 0.393 ms
3 65.250.18.73 (65.250.18.73) 1.485 ms 1.592 ms 1.555 ms
4 68.137.134.142 (68.137.134.142) 123.363 ms 123.340 ms 122.809 ms
5 smuscobrm03r99-g-2-1.central.sun.com (10.0.20.37) 138.871 ms 138.583
ms
138.581 ms
6 smuscobrm04r98-po-1.central.sun.com (10.0.20.241) 138.846 ms 138.829
ms
139.062 ms
7 brm-eed-rtr-1-brm04r98.central.sun.com (10.0.20.134) 138.813 ms
138.823
ms 138.765 ms
8 * * *
9 * * *
10 ge-6-3.car1.Denver1.Level3.net (4.53.0.121) 175.103 ms 167.223 ms
359.997 ms
11 vlan52.ebr2.Denver1.Level3.net (4.69.147.126) 160.641 ms 156.272 ms
168.104 ms
12 ae-3-3.ebr1.Chicago2.Level3.net (4.69.132.62) 165.824 ms 165.863 ms
173.011 ms
13 ae-1-51.edge4.Chicago3.Level3.net (4.69.138.134) 165.642 ms 165.715 ms
165.600 ms
14 dtag (4.68.62.222) 190.775 ms 191.806 ms 191.711 ms
15 da-sa1-i.DA.DE.NET.DTAG.DE (62.154.4.141) 276.302 ms 277.843 ms
276.777
ms
16 217.0.77.49 (217.0.77.49) 272.474 ms 272.994 ms 272.888 ms
17 p5DDCD1CF.dip.t-dialin.net (93.220.209.207) 289.695 ms !X 289.892 ms
!X
289.824 ms !X
[sr1-efra05-04: home/mpfuetzn] {2} %
Man sieht also: Frankfurt, Broomfield (CO), Denver, Chicago, Deutsche
Telekom...
Und, ja, Vortrag im Rahmen der FRAOSUG wäre super!
Willst Du nicht auch einfach mal ein komplettes VDI installieren und das
Vorgehen beschreiben? Derzeit braucht das zwar leider noch ein Solaris 10,
aber ich hoffe, daß wir mit der übernächsten Version dann auch Solaris 11
nutzen können...
Freut mich, daß mein Hinweis Dir geholfen hat!
Matthias
Du (Julian Thomas) schreibst:
Hallo,
ersteinmal vielen Dank für die schnelle Antwort, Matthias.
Die Sache mit dem Usernamen und dem Passwort
war der entscheidende Denkanstoss.
Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router
fürs
DSL.
Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key.
Da ich die User und Passwörter im Cisco-Router anlegen muss,
wollte ich mir das sparen.
Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme
(VPN-Mode auf pre-shared stellen, Username und Passwort einfach
leerlassen)
Das SunRay-Config-GUI lässt als
VPN-Modus pre-shared, xauth und hybrid zu.
Daher dachte ich, pre-shared auswählen, Username und Passwort
leerlassen,
würde zum Ziel führen. Das geht offensichtlich so nicht.
Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss
ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe,
oder
das
ein Bug (Cisco oder Sunray) ist.
Ich habe nun die User im Cisco-Router angelegt und den entsprechend
eingestellt,
dass er eine Authentifizierung mit Username und Passwort verlangt,
im Sunray-GUI-Menü xauth als VPN-Mode eingestellt, die
Netzwerk-Einstellungen
und den Sunray-Server eingetragen, et voilà, es klappt!!!
Und es klappt _phänomenal_ gut!
Falls Interesse besteht, kann ich das gerne für das nächste oder
übernächste
Treffen in einen kurzen Vortrag stecken.
Viele Grüße und
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hallo, ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend... Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?) einen Vortrag über mein Setup und wir diskutieren Alternativen, Erweiterungen, Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer. Und ich hätte auch noch die ein oder andere Frage zu meinem Setup. Dann müssen wir das nicht alles über die Mailingliste klären - und es gibt ja auch von anderer Seite her Interesse an einem Vortrag über das Thema. Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec und VPN im Allgemeinem sagen kann. Viele Grüße Julian (der gerade von der Uni aus via OVDC und VPN auf dem Sunray-Server zuhause arbeitet ;) ) ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht sicher... Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht? Matthias Du (Julian Thomas) schreibst: Hallo, ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend... Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?) einen Vortrag über mein Setup und wir diskutieren Alternativen, Erweiterungen, Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer. Und ich hätte auch noch die ein oder andere Frage zu meinem Setup. Dann müssen wir das nicht alles über die Mailingliste klären - und es gibt ja auch von anderer Seite her Interesse an einem Vortrag über das Thema. Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec und VPN im Allgemeinem sagen kann. Viele Grüße Julian (der gerade von der Uni aus via OVDC und VPN auf dem Sunray-Server zuhause arbeitet ;) ) -- Matthias Pfützner | Tel.: +49 700 PFUETZNER | An den Scheidewegen des Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Lebens stehen keine Weg- D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487 | weiser. Germany | http://www.pfuetzner.de/matthias/ | (Charlie Chaplin) ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hi Matthias! Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht sicher... Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht? Wir hatten den 15.05. in Langen ausgemacht. Leider kann ich aber nicht kommen (Kundentermin) und habe mich deshalb auch nicht weiter darum gekümmert. Viele Grüße -- Volker -- Volker A. Brandt Consulting and Support for Oracle Solaris Brandt Brandt Computer GmbH WWW: http://www.bb-c.de/ Am Wiesenpfad 6, 53340 Meckenheim Email: v...@bb-c.de Handelsregister: Amtsgericht Bonn, HRB 10513 Schuhgröße: 46 Geschäftsführer: Rainer J. H. Brandt und Volker A. Brandt ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hatten wir einen Verantwortlichen benannt? Denn das ist in 6 Tagen... :-) Wir sollten uns also um die Räume kümmern, und auch die Einladung rausschicken... :-) Matthias Du (Volker A. Brandt) schreibst: Hi Matthias! Bei mir im Kalender steht nächsten Dienstag (15.5.), ich bin mir aber nicht sicher... Veit-Dieter, Volker, Uli, was hatten wir beim letzten Mal ausgemacht? Wir hatten den 15.05. in Langen ausgemacht. Leider kann ich aber nicht kommen (Kundentermin) und habe mich deshalb auch nicht weiter darum gekümmert. Viele Grüße -- Volker -- Volker A. Brandt Consulting and Support for Oracle Solaris Brandt Brandt Computer GmbH WWW: http://www.bb-c.de/ Am Wiesenpfad 6, 53340 Meckenheim Email: v...@bb-c.de Handelsregister: Amtsgericht Bonn, HRB 10513 Schuhgröße: 46 Geschäftsführer: Rainer J. H. Brandt und Volker A. Brandt -- Matthias Pfützner | Tel.: +49 700 PFUETZNER | An den Scheidewegen des Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Lebens stehen keine Weg- D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487 | weiser. Germany | http://www.pfuetzner.de/matthias/ | (Charlie Chaplin) ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Am 15. Mai, nächsten Dienstag? Ich mache mal. On 09.05.12 18:39, Julian Thomas wrote: Hallo, ja, Julian=Vorname, Thomas=Nachname - ist etwas verwirrend... Mein Vorschlag: Ich halte beim nächsten Treffen (Wann?) einen Vortrag über mein Setup und wir diskutieren Alternativen, Erweiterungen, Verbesserungen. Dann wird vielleicht auch das ein oder andere etwas klarer. Und ich hätte auch noch die ein oder andere Frage zu meinem Setup. Dann müssen wir das nicht alles über die Mailingliste klären - und es gibt ja auch von anderer Seite her Interesse an einem Vortrag über das Thema. Und vielleicht gibt es ja unter uns noch jemanden, der etwas zu IPSec und VPN im Allgemeinem sagen kann. Viele Grüße Julian (der gerade von der Uni aus via OVDC und VPN auf dem Sunray-Server zuhause arbeitet ;) ) ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug -- Ulrich Graef / Principal Sales Consultant / Phone: + 49 6103 752 359 ORACLE Deutschland B.V. Co. KG / Amperestr. 6 / 63225 Langen http://www.oracle.com ORACLE Deutschland B.V. Co. KG Hauptverwaltung: Riesstr. 25, D-80992 Muenchen Registergericht: Amtsgericht Muenchen, HRA 95603 Geschaeftsfhrer: Juergen Kunz Komplementaerin: ORACLE Deutschland Verwaltung B.V. Hertogswetering 163/167, 3543 AS Utrecht, Niederlande Handelsregister der Handelskammer Midden-Niederlande, Nr. 30143697 Geschaeftsfhrer: Alexander van der Ven, Astrid Kepper, Val Maher ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Hallo, ersteinmal vielen Dank für die schnelle Antwort, Matthias. Die Sache mit dem Usernamen und dem Passwort war der entscheidende Denkanstoss. Inzwischen habe ich auch eine Fritzbox zur Verfügung als Client-Router fürs DSL. Was ich eigentliche wollte: VPN-Verbindung nur via pre-shared key. Da ich die User und Passwörter im Cisco-Router anlegen muss, wollte ich mir das sparen. Mit dem vpnc-Client unter Linux geht das auch alles ohne Probleme (VPN-Mode auf pre-shared stellen, Username und Passwort einfach leerlassen) Das SunRay-Config-GUI lässt als VPN-Modus pre-shared, xauth und hybrid zu. Daher dachte ich, pre-shared auswählen, Username und Passwort leerlassen, würde zum Ziel führen. Das geht offensichtlich so nicht. Da ich - wie man vielleicht merkt - absolut kein VPN-Experte bin, weiss ich nicht, ob das nicht gehen kann, ich etwas falsch eingestellt habe, oder das ein Bug (Cisco oder Sunray) ist. Ich habe nun die User im Cisco-Router angelegt und den entsprechend eingestellt, dass er eine Authentifizierung mit Username und Passwort verlangt, im Sunray-GUI-Menü xauth als VPN-Mode eingestellt, die Netzwerk-Einstellungen und den Sunray-Server eingetragen, et voilà, es klappt!!! Und es klappt _phänomenal_ gut! Falls Interesse besteht, kann ich das gerne für das nächste oder übernächste Treffen in einen kurzen Vortrag stecken. Viele Grüße und vielen Dank für alle URL's, Tipps und Hinweise! Julian Hallo, nachdem ich nun das ein oder andere ausprobiert habe, hier ein kurzer Zwischenbericht (für diejenigen, die es interessiert). Meine größte Hürde war/ist die korrekte Konfiguration des VPN, speziell auf der Server-Seite. Was ich bisher erreicht habe, ist folgendes: - Cisco Router ist als VPN-Server konfiguriert - Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco VPN Software Client) und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer DSL-Internet-Verbindung. - Linux-Rechner - Internetverbindung via pppoe aufbauen - vpnc starten, um VPN-Tunnel aufzubauen - Oracle VDC starten - IP-Adresse des SunRay-Server eingeben und verbinden. Das funktioniert einwandfrei und für eine normale DSL-Verbindung erstaunlich gut. Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen. - Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen. - Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN betreiben. Die SunRay hängt bei 28F VPN IKE Phase 1 agg I est. - Was mangels vernünftigem Router noch nicht möglich ist: Linux-Rechner (und/oder SunRay) an einem Router und DSL-Internetverbindung über den Router via pppoe. Dies ist das endgültige Ziel. Ich arbeite weiter daran... Viele Grüße Julian ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
Re: [ug-fraosug] Zwischenbericht SunRay+VPN
Du (Julian Thomas) schreibst: Hallo, nachdem ich nun das ein oder andere ausprobiert habe, hier ein kurzer Zwischenbericht (für diejenigen, die es interessiert). Meine größte Hürde war/ist die korrekte Konfiguration des VPN, speziell auf der Server-Seite. Was ich bisher erreicht habe, ist folgendes: - Cisco Router ist als VPN-Server konfiguriert Verstanden! - Ein Linux-Rechner mit vpnc (www.unix-ag.uni-kl.de/~massar/vpnc/: Cisco VPN Software Client) und Oracle Virtual Desktop Client (aktuelle Version) hängt direkt an einer DSL-Internet-Verbindung. OK! - Linux-Rechner - Internetverbindung via pppoe aufbauen - vpnc starten, um VPN-Tunnel aufzubauen - Oracle VDC starten - IP-Adresse des SunRay-Server eingeben und verbinden. Das funktioniert einwandfrei und für eine normale DSL-Verbindung erstaunlich gut. Der Solaris-Desktop lässt sich fast wie auf einer lokalen SunRay bedienen. Gut! Das bedeutet doch schon erstmal, daß Du VPN am Laufen hast, und daß auch der Sun Ray Server erreichbar ist. - Was nicht klappt: Oracle VDC den SunRay-Server selbst suchen lassen. Soll das gehen? Da bin ich etwas unsicher... Denn: Automatisch finden nutzt Broadcasts, und die können u.U. nicht via VPN weitergereicht werden, evtl. wäre das noch im VPNc und dem VPN Server zu erlauben? - Was ebenfalls nicht klappt: SunRay im _lokalen_ Netzwerk über VPN betreiben. Wie soll das gehen? VPN lokal? Die SunRay hängt bei 28F VPN IKE Phase 1 agg I est. Gemäß http://docs.oracle.com/cd/E19214-01/820-0411/t-s.html ist 28F ein Teil der VPN Init-Phase: 28 VPN connection being attempted F VPN Phase 1 IKE complete. Danach käme dann wohl 28H: H VPN Phase 2 initiated. Oder 29: VPN connection established. - Was mangels vernünftigem Router noch nicht möglich ist: Linux-Rechner (und/oder SunRay) an einem Router und DSL-Internetverbindung über den Router via pppoe. Dies ist das endgültige Ziel. Also, ich habe zuhause eine Fritz!Box 7570 (genauer: einen SpeedPort W920V, den ich gefrizzt habe), der als DSL-Router läuft. Dahinter (als bei mir zuhause) hängt 'ne Sun Ray, und die bekommt via DHCP eine IP (zuhause) und die Config sagt Ihr, daß sie den VPN Gateway Server bei Oracle erreichen soll, und wie ich mich dort ins VPN einzuloggen habe (da poppt ein Window hoch, in dem ich User und PW für das VPN einzugeben habe!). Und dann bekommt sie via stop-m config noch den Namen des Sun Ray Servers (als FQHN!) mitgeteilt, damit sie den auch findet. Ich arbeite weiter daran... Klingt doch erstmal schon ganz gut, Du scheinst beim User/PW Handshake noch irgendwas falsch zu tun, denn sonst würdest Du die Sun Ray über den 28F hinausbekommen... Matthias Viele Grüße Julian ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug -- Matthias Pfützner | Tel.: +49 700 PFUETZNER | Wenn wirklich mal ein Lichtenbergstr.73 | mailto:matth...@pfuetzner.de | Gefühl aufkommen sollte, D-64289 Darmstadt | AIM: pfuetz, ICQ: 300967487 | dann weinen die Eiswürfel. Germany | http://www.pfuetzner.de/matthias/ | Dieter Hildebrandt ___ ug-fraosug mailing list ug-fraosug@opensolaris.org http://mail.opensolaris.org/mailman/listinfo/ug-fraosug
