VPN auf einem Sarge (2.6) Server

zimon · Beitrag von **zimon** » 15.12.2004 18:25:48

Hallo zusammen!

Wie ich gehört habe, ist nun IPSEC im 2.6er Kernel integriert! Da ich mein W-LAN sichern will, möchte ich eine VPN Lösung einrichten. Sehr wichtig ist, dass die Lösung 100%ig mit den WindowsXP Clients zusammenarbeitet (am besten, wenn man gleich den Windowseigenen VPN Client benutzen könnte).

Aktuell schwebe ich zwischen IPSEC oder PPTP. Was würdet Ihr mir empfehlen?

Ich tendiere zu OpenSwan. Wisst Ihr, ob da der XP Client reicht für eine Verbindung?

Mit der PPTP - Lösung, muss ich da den Kernel patchen, damit die Verschlüsselung möglich ist?

Besten Dank für eure Hilfe,
Simon

PS: Authentifizierung sollte über Benutzername / Passwort gehen, wenn nicht anders möglich ev. auch per Zertifikat.

bollin · Beitrag von **bollin** » 15.12.2004 23:14:41

Das in Kernel 2.6 integrierte IPSEC ist nicht OpenSwan. Alle VPN-Lösungen außer IPSEC (also auch PPTP) können derzeit nicht als sicher gelten. Also such es dir aus.

Viele Grüße,
Torsten

zimon · Beitrag von **zimon** » 16.12.2004 22:59:22

Bist du sicher dass es beim Kernel 2.6 für Openswan einen Patch braucht? Hab grad in einer How-to gelesen, dass dies nicht mehr nötig sein soll.

Weisst du es mit Sicherheit?

Kennt jemand ein Howto für OpenSwan? Ich werde mich wohl darin über die Weihnachtsferien vertiefen - so mach ich nix dümmeres

Gruss,
Simon

eagle · Beitrag von **eagle** » 17.12.2004 07:50:25

Eine kurze

Suche brachte die folgenden Ergebnisse zu Tage:

http://www.linuxhomenetworking.com/linu ... -linux.htm
http://www.natecarlson.com/linux/ipsec-x509.php
http://www.cornelius.demon.co.uk/IPSEC- ... HowTo.html
...

eagle

bollin · Beitrag von **bollin** » 17.12.2004 10:01:06

zimon hat geschrieben:Bist du sicher dass es beim Kernel 2.6 für Openswan einen Patch braucht?

Nein bin ich mir nicht, irgendwie war ich auf dem falschen Dampfer. Vielleicht weil es ein Fork von Freeswan ist?

Sorry,
Torsten

zimon · Beitrag von **zimon** » 17.12.2004 14:38:06

herzlichsten Dank für Eure Antworten! Da hab ich wohl nicht aufmerksam genug gegooglet... hab irgendwie nix gescheites gefunden.

Ihr habt meine Weihnachtsferien gerettet!!!

opendev · Beitrag von **opendev** » 17.12.2004 15:47:01

Hallo und Guten Tag!

Also, ich geb nochmal schnell ne Empfehlung ab.

Ich rate immer zu IPSEC, wenn möglich mit Zertifikaten, ansonsten über RSA, nicht über PSK.

Grüße
Fear

Raoul · Beitrag von **Raoul** » 17.12.2004 16:11:19

bollin hat geschrieben:Alle VPN-Lösungen außer IPSEC (also auch PPTP) können derzeit nicht als sicher gelten. Also such es dir aus.

Haben wir uns da ein wenig zu weit aus dem Fenster gelehnt?

Kannst Du das belegen?

Vergleiche mal
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ipsec mit
http://cve.mitre.org/cgi-bin/cvekey.cgi ... d=openswan und
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=openvpn

Ich halte OpenVPN für ziemlich sicher (von absoluter Sicherheit will ich nicht sprechen), robust (keine Probleme in Bezug auf Firewalling und DSL-Zwangstrennungen, der Tunnel bleibt bestehen!) und einfach einzurichten (keine Kernelpatches etc.)

Meine Empfehlung wäre deshalb OpenVPN, auch wenn es nicht nativ zu Windows kompatibel ist, also erst installiert werden muß.

Raoul

bollin · Beitrag von **bollin** » 17.12.2004 17:17:20

http://thinknerd.de/~thomas/IPsec/alternativen.pdf auf Seite 8. Hauptkritikpunkt ist die mangelhafte/fehlende Spezifikation. Ein Cryptanalytiker braucht eine theoretische Spezifikation, an Hand der er Beweise durchführen kann. Bei OpenVPN fehlen nicht nur die Beweise, sondern eben die genaue Spezifikation.

Viele Grüße,
Torsten

zimon · Beitrag von **zimon** » 17.12.2004 19:07:02

werde es mit openswan und Zertifikaten versuchen.

Gehe ich richtig in der Annahme, dass jeder User ein pers. Zertifikat bekommt? Und dieses der einzige "Schlüssel" zum Netz ist? Sprich Benutzername/PW kommen nicht zum Zuge? (So Quasi wie es bei WEP der Fall ist, nur das da nur ein einziges Zertifikat für den Zugang besteht.

Besten Dank für eure tatkräftige Mithilfe!

Simon

bollin · Beitrag von **bollin** » 17.12.2004 19:18:03

zimon hat geschrieben: Gehe ich richtig in der Annahme, dass jeder User ein pers. Zertifikat bekommt? Und dieses der einzige "Schlüssel" zum Netz ist? Sprich Benutzername/PW kommen nicht zum Zuge? (So Quasi wie es bei WEP der Fall ist, nur das da nur ein einziges Zertifikat für den Zugang besteht.

Ja irgendwie so. Du kannst das Zertifikat auch auf ein Cryptotoken (Smartcard) legen und per PIN sichern. Aber auch die ist nutzerspezifisch. Oder hattest du etwas anderes gemeint?

Viele Grüße,
Torsten

zimon · Beitrag von **zimon** » 17.12.2004 22:21:00

Ja war so gemeint. Aber Token wäre wohl doch etwas übertrieben bei meinen 5-6 Usern

So wird es bei uns in der Schule gehandhabt; die machen es allerdings mit Cisco und die Authentifizierung läuft über user/pw plus key vom token.

Gruss und happy weekend!!!!

Simon

smashie · Beitrag von **smashie** » 17.12.2004 23:33:42

wozu eigentlich ein VPN oder IPSec? Tunnel das ganze doch über ssh ... die -D Option auf dem client ist dein Freund in Verbindung mit z.B. authorized_keys

eagle · Beitrag von **eagle** » 17.12.2004 23:39:13

Es ist etwas unhandlich alles durch ssh zu tunneln.

eagle

smashie · Beitrag von **smashie** » 18.12.2004 00:26:03

eagle hat geschrieben:Es ist etwas unhandlich alles durch ssh zu tunneln.

eagle

WIeso unhandlich? Der client macht einfach ein ssh -i private_key file -l login -p 22 -D 1080 tunnelend

natürlich den sshd entsprechend confen und dann einfach z.B. browser und diverse andere Programme auf socks4 stellen und auf 127.0.0.1:1080 connecten lassen und bei Programmen wo das nicht funktioniert nen sockswrapper benutzen.

Sehe darin nichts unhandliches, auf jedenfall ist der Aufwand bei weitem geringer als bei einem *VPN/IPSec-Setup

eagle · Beitrag von **eagle** » 18.12.2004 10:16:31

Es geht bei der Benutzung von VPN um einen transparenten Netzwerkzugriff. Die Möglichkeit wie in deinem Fall einen zusätzlichen Socks Proxy zu verwenden, halte ich nur um Einzelfall für sinnvoll. Beim Mounten von Netzwerk Filesystemen, Zugriff auf Versionskontrollsystem und so exotische Sachen wie "Lotus Notes" etc. finde ich deine Variante eben etwas unhandlich.
eagle

smashie · Beitrag von **smashie** » 18.12.2004 15:48:31

Der Socks-Proxy ist nicht *zusätzlich* sondern eine Funktion von openssh .. und ja richtig, das ganze kann unter den gegebenen Umständen wie du sie genannt hast umständlich sein .. jedoch wollen die meisten Menschen einfach nur über ihr wlan Standardservices wie www/email etc. benutzen und da reicht ssh als Tunnel vollkommen aus

zimon · Beitrag von **zimon** » 25.12.2004 13:03:19

Kann mir jemand mit seiner Config aushelfen? Openswan will bei mir nicht....

Hab wohl das totale Ghetto mit den Interfaces (right, left...)

Netzt sieht bei mir so aus:

eth0 - wan (ext ip)
eth1 - lan (10.1.0.99/255.255.0.0)
eth2- wlan (10.2.0.99/255.255.0.0)

nun soll man von den Interfaces eth0 und eth2 auf den VPN-Dämon zugreiffen können und dann eine getunnelte Verdingung ins Netz von eth1 erhalten (10.1.0.0).

Wie sieht es eigentlich aus, kann ich mit Openswan den windowseigenen Client (unterstützt L2TP-Ipsec) verwenden? Ich möchte eine Authentifizierung per Passwort und Benutzername, nicht über Zertifikat, ist das möglich?

Hat jemand erfolgreichere Erfahrungen mit Openswan als ich gemacht?

Gruss,
Simon

mistersixt · Beitrag von **mistersixt** » 28.12.2004 13:22:54

Ich habe hier einige VPNs mit OpenSwan und Kernel-2.6.8 am Laufen, geht jeden Tag ohne Probleme. Setup ist immer:

LAN <---> Debian-mit-OpenSwan <....Internet....> Debian-mit-OpenSwan <---> LAN

Die Maschinen in den LANs haben immer den Debian-Router als Defaul-GW. So können sich die Maschinen der beiden LANs immer direkt an-ping-en, natürlich durch den Tunnel.

Gruss, mistersixt.