VPN mit Win-Clients

[jhr-online]

Hallo!

Ich hoffe, ihr seid das Thema noch nicht leid, aber ich begreife einfach nicht alles und bitte noch mal um eure Hilfe. Erst mal was zum Verständnis:
Unter Win lässt sich recht zügig eine VPN-Verbindung zu einem entspr. Server aufbauen. Das mache ich z.B. in der Uni, weil man das muss, um über's WLAN überhaupt was machen zu können. Prinzipiell ist mir der Aufbau eines VPN - glaube ich - auch klar. Wenn ich aber HowTos und Co. zu OpenVPN lese, dann verstehe ich das immer so, dass man auf den Win-Clients zusätzliche Software braucht. Hier wäre also meine erste Frage: Warum?

Dann die Idee, die ich für mein Netzwerk habe. Vielleicht mag sich der ein oder andere kurz Gedanken machen und mir sagen, ob's Sinn macht bzw. ob ich's richtig angehe:
Debian Sarge als Server/Router/Firewall (läuft schon wunderbar ); hier hab ich eth0 für die DSL-Leitung, eth1 für LAN, wlan0 für... naja, wohl klar, ne?
Zusätzlich soll der Server nun eine VPN-Schnittstelle darstellen, sodass man sich per WLAN im VPN einloggen kann, um eine gesicherte Verbindung zu bekommen (in Zukunft will ich mit IPtables dann den Netzwerkverkehr im WLAN ohne VPN ganz unterbinden). Außerdem soll VPN per DSL also über eth0 möglich sein, damit ich auf Samba zugreifen kann.
Das soweit zu Idee... Was sagt ihr dazu? Und wie viel Aufwand muss ich einkalkulieren?

jhr

[herrchen]

dann verstehe ich das immer so, dass man auf den Win-Clients zusätzliche Software braucht. Hier wäre also meine erste Frage: Warum?

OpenVPN setzt auf SSL, Microsoft auf IPsec oder PPTP.

damit ich auf Samba zugreifen kann.

mit "WinSCP" könntest du auch über ssh zugreifen ...

Was sagt ihr dazu?

es gibt sicher schlechtere sachen als ein VPN.
ob du es wirklich brauchst, weiss ich nicht.
ist dein WLan bisher unverschlüsselt?

Und wie viel Aufwand muss ich einkalkulieren?

das lässt sich schlecht sagen. *ich* würde mir wohl zwei, drei stunden geben.
also mit etwas lesen sollte das an einem abend stehen.

herrchen

[jhr-online]

Auf herrchen ist Verlass...

OpenVPN setzt auf SSL, Microsoft auf IPsec oder PPTP.

Ach so... Und gibt es ein so praktisches und vor allem leicht zu konfigurierendes Tool wie OpenVPN, das auch auf SSL aufsetzt, oder ist das gar nicht zu empfehlen?
Das Problem ist, dass ich den anderen Netzwerkbenutzer begreiflich machen muss, warum sie ein neues Programm brauchen, wenn ich OpenVPN verwende...

mit "WinSCP" könntest du auch über ssh zugreifen ...

Stimmt, war auch nur ein Beispiel; gibt ja noch nette andere Vorteile, wenn man im eigenen Netz ist...

es gibt sicher schlechtere sachen als ein VPN.
ob du es wirklich brauchst, weiss ich nicht.

Ich auch nicht, aber ich find den Gedanken so schön... Einen Versuch ist es immer wert!

ist dein WLan bisher unverschlüsselt?

Leider ja. Seit meinem letzten Reboot lässt sich aus irgendeinem Grund WEP nicht mehr anschalten. Aber da das eh nicht sicher ist, brauche ich sowieso eine Alternative...

das lässt sich schlecht sagen. *ich* würde mir wohl zwei, drei stunden geben.
also mit etwas lesen sollte das an einem abend stehen.

Hmm... Ich kenne deine Beiträge... Also, du 3 Stunden, dann ich... hmm... 4 Wochen...

Was mich vor allem interessiert, ist ob meine Idee, per IPtables den WLAN-Verkehr ohne VPN zu unterbinden, der richtige Weg ist. Ich hab derzeit auch eine IPtables-Firewall, könnte also einfach "ein paar Zeilen ergänzen". Und dann fiel mir eben noch was ein: Kann ich serverseitig festlegen, dass bei einer Verbindung über OpenVPN alls geroutet wird (sodass ich mich sozusagen voll im eigenen Netz befinde) außer Ports 80 und 21. Nur damit ich nicht den Internetverkehr, den ich sonst irgendwo hätte über meine DSL-Leitung jage... Im WLAN muss das natürlich trotzdem sein... Auch IPtables?

jhr

[ekle]

also um mit debian en vpn server zu machen mit dem windows klar kommt ohne hilfsmittel musste den kernel mit dem modul mppe kompilieren. ohne des kann debian die verschlüsslung die windows verwendet nicht. und en vpn ohne verschlüsslung bringts nicht wirklich.
dann einfach noch en pptpd drauf und dann musch den nurnoch konfigurieren und fertig

so sieht meine .config von meim kernel aus den ich mir für vpn compiliert hab:

CONFIG_PPP=y
CONFIG_PPP_FILTER=y
CONFIG_PPP_ASYNC=y
CONFIG_PPP_SYNC_TTY=y
CONFIG_PPP_DEFLATE=y
CONFIG_PPP_BSDCOMP=y
CONFIG_PPP_MPPE=y

[jhr-online]

Oh je, vor 8 Wochen Linux das erste mal "live" gesehen und jetzt Kernel komilieren... Naja, ich danke dir und überlege mir, ob ich das vielleicht doch zu einem Projekt für die Weihnachtsferien mache...

Das klingt aber schon sehr interessant. Ich werde mal versuchen herauszufinden, welches Konzeot die in der Uni umgesetzt haben. Vielleicht hilft mir das auch noch. Aber kann mir vielleicht trotzdem noch jemand was über meine IPtables-Idee (WLan auf VPN reduzieren, VPN über ppp0 komplett routen außer Ports 80 und 21, s.o.) sagen?

Danke euch!
jhr

[ekle]

die idee ist gut mit iptables aber ich würd des wlan trotzdem wenigstens mit wep verschlüsseln. weil die clients müssen ja dann auch alles andere wie das vpn gesperrt haben.
jenachdem was für ein system du hast kanns auch einen fertig kompilierten kernel verwenden der das mppe modul drin hat. ( ich hab mir meinen kernel auch nur selber kompiliert weil ich keinen fertigen gefunden hab.)
wenn du en Pentium2 hast kann ich dir auch meinen kernel als deb mailen, dann brauchst du keinen zu kompilieren. wie gut der allerdings auf nicht P2 systemen läuft weis ich nicht.

[jhr-online]

Danke, ich hab nen AMD Duron 700 laufen... da werd ich wohl selber kompilieren müssen, aber da les ich mal erst ein bisschen ein...

die idee ist gut mit iptables aber ich würd des wlan trotzdem wenigstens mit wep verschlüsseln. weil die clients müssen ja dann auch alles andere wie das vpn gesperrt haben.

Das versteh ich nicht. Wenn ich mit IPtables den Netzwerkverkehr im WLan vollständig bis auf den dhcp-Kram unterbinde und dafür das VPN freischalte, dann brauche ich doch keine Verschlüsselung mehr, oder?

jhr

[ekle]

du muss das auch auf den clients unterbinden sonnst kommt ja jemand per wlan auf die clients drauf

[jhr-online]

du muss das auch auf den clients unterbinden sonnst kommt ja jemand per wlan auf die clients drauf

Oh... darüber hab ich noch gar nicht nachgedacht. Was mach ich denn dagegen? Die meisten Clients sind doch WinPCs...

Dabei noch was: Wenn ich das mit dem selbstkompilierten Kernel auf dem Server mache und dann einen Debian-Client einhängen will, muss ich den Kernel dann auch verändern? Wenn ja, dass nehm ich auf jeden Fall OpenVPN und zwinge den ClientUsern die Software auf...

jhr

[ekle]

ne firewall auf die clients die alles andere sperrt.

also warscheinlich muss der debian-client des modul auch habe, wär eigendlich logisch aber ich habs noch nie versucht.

wies mit OpenVPN funktioniert weis ich nicht.