[Gelöst]VPN Grundsatzfragen: openvpn, site-to-site und dns

[daFreak]

hi!

ich würde gern eine vpn-verbindung aufbauen... möglichst mit ipsec, da ich gelesen habe das ipsec doch noch eine von den sicheren alternativen ist <- bitte verbessern wenn ich falsch liege

ich würd erstmal gerne end-to-site verbindungen aufbauen (notebook->heimnetz) aber es sollte auch möglich sein site-to-site verbindungen aufzubauen

dazu hab ich ein paar fragen

1. brauche ich für mein notebook ebenfalls dyndns oder konsorten, auch wenn ich nur mit dem notebook auf das heimnetz zugreifen möchte und nicht umgekehrt?
2. kann ich gleichzeitig per vpn im heimnetz sein und das "lokale" internet nutzen?
3. kennt jemand ein gutes (möglichst deutsches) howto?

also noch eine grundsätzliche verständnisfrage...
wenn ich mit vpn im heimnetz bin sollte es mir doch auch möglich sein z.B. intranet-seiten von meinem apache anzugucken, oder?

[lisan]

1. brauche ich für mein notebook ebenfalls dyndns oder konsorten, auch wenn ich nur mit dem notebook auf das heimnetz zugreifen möchte und nicht umgekehrt?

Nein, du willst ja von deinem notebook aus ins heimatnetz. IdR. interessiert den VPN Server nicht von wo aus du kommst sondern wer du bist.

2. kann ich gleichzeitig per vpn im heimnetz sein und das "lokale" internet nutzen?

Ja, eine routingtabelle deines notebooks bzw. vpn-klienten legt fest in welchen ip-raum ueber welches geraet gegangen wird.

Ipsec hat meines wissens u.a. den nachteil, dass es nicht ohne weiteres moeglich ist durch ein netz zu kommen, das NAT betreibt.

zu 3. Onkel Google weiss viel zu diesem Thema. Such einfach nach Debian und VPN.

[daFreak]

hi!
erstmal danke für die antworten!
ich hab mich jetzt erstmal hinter openvpn gehängt und intern hats schon funktioniert!
werd bei der nächsten möglichkeit auch testen ob es von außerhalb klappt!

was mich noch interessiert ist welche alternative von den vpn-möglichkeiten (natürlich bei einer guten konfiguration) die sicherste wäre

[lisan]

Hi,

fuer eine end-to-site verbindung, z.B. von deinem notebook zu hause zu deinem vpn gateway in der firma eignet sich ipsec als auch ssl vpns.
Soweit ich weiss gibt es kaum site-to-site verbindung mit ssl vpns, es ist aber auch moeglich.

In meinen augen sind beide sicher. SSl verbindungen benoetigen idR. keinen client sondern nur einen webbrowser und ziehen sich ggf. clients.
IPSec hat noch dieses NAT problem.

Baust du zwischen einer Fremdfirma und deiner Firma einen ipsec vpn tunnel auf bekommst du probleme, die du idR. mit ssl meist ueber port 443 nicht bekommen wirst.
Baust du eine vpn verbindung zwischen zwei standorten derselben Firma auf wird ipsec vorgezogen. Warum weiss ich nicht genau. Vermutlich weil es auf einer unteren schicht als ssl aufsetzt und man sich damit hoehere sicherheit verspricht.

In der performanz nehmen sich beide sicher nichts, denn hier weden gleiche algorithmen verwendet.

[daFreak]

hi! danke für die antwort

IPSec hat noch dieses NAT problem.

wie ist das dann mit dem problem... müsste ich dann nat nur für vpn (wahrscheinlich mit iptables) deaktivieren oder komplett?
falls ich eine site-to-site verbindung aufnehmen werde, werde ich wahrscheinlich auch mit ipsec auseinander setzen...
falls ich nat komplett rausnehmen müsste wäre es ein wenig problematisch da der vpn-server auch als router fungiert

also openvpn läuft jetzt als end-to-site verbindung spitzenmäßig! jedesmal wenn ich in einem fremden netz bin, baut openvpn automatisch einen tunnel auf! bin begeistert!

[Night.Hawk]

Hallo,

bei mir in der Firma habe ich das mit OpenVPN realisiert.

Läuft bestens seit einem 3/4 Jahr.

http://openvpn.net/

ist deine Seite. Da steht alles was man braucht, dann klappts auch mit dem VPN-Nachbarn

Gruß

Night.Hawk

[daFreak]

ja ich denke das man das mit openvpn auch hinbekommen würde...

ist nur verwirrend für mich das für site-to-site überall ipsec empfohlen wird...

ich hab noch ne kleine frage... das konnte ich jetzt so aus dem openvpn-howto nicht rauslesen: welche option muss ich angeben um auf meinen dns-server zuzugreifen...

das heißt... wenn ich von außen einen vpn-tunnel aufgebaut habe das wenn ich pc1 pinge das er dann pc1 aus dem vpn-tunnel anpinge... über ip gehts... und ich denke nicht das ich das über die resolv.conf machen kann oder? da er ja die dns-server von dem temporären isp braucht

habs schon mit

Code: Alles auswählen

push "dhcp-option DNS 192.168.1.1"

versucht und das wollte nicht so recht... oder muss dort die ip von dem vpn-interface hin?
wär nett wenn mir das jemand sagen könnte sonst müsste ich jedes mal zu jemandem laufen um die connection zu testen

[daFreak]

keiner ne idee?
ist es überhaupt möglich über auf den im vpn-tunnel vorhandenen dns-server zuzugreifen?

[daFreak]

keiner ne idee?
ist es überhaupt möglich über auf den im vpn-tunnel vorhandenen dns-server zuzugreifen?

um einen alten thread auszugraben... ja es ist möglich mit openvpn auf den dns zuzugreifen und auch eine site-to-site-Verbindung ist möglich

[Danielx]

keiner ne idee?
ist es überhaupt möglich über auf den im vpn-tunnel vorhandenen dns-server zuzugreifen?

um einen alten thread auszugraben... ja es ist möglich mit openvpn auf den dns zuzugreifen und auch eine site-to-site-Verbindung ist möglich

Wäre schön, wenn du auch sagen würdest wie das funktioniert!

Gruß,
Daniel

[uljanow]

IPSec hat noch dieses NAT problem.

Das Problem gibt es schon lange nicht mehr. Openswan/Strongswan beherrschen NAT-Traversal und kommen durch jeden Router, der NAT betreibt. Zu OpenVPN: es ist unsicherer als IPSEC, langsamer und kein standard.

[daFreak]

Also meine beste Anlaufstelle war erstmal https://knecht.homelinux.net/phpBB2/viewtopic.php?t=449
Dort wird auch erklärt wie die Zertifikate erstellt werden.
http://openvpn.net/ beinhaltet die ganzen dokus

Das ganze für Debian Etch mit Kernel 2.6.18

Ich versuch es mal einfach zu halten
Hab zwar noch einen VPN-Server (tap1) der über Port 443/tcp läuft für HTTPS-Connections und die vif(s) für Xen in der Bridge(br0), aber die lass ich mal raus, ist ja eh nur verwirrend.

Netzwerk vom Server sieht bei mir jetzt so aus:

Netze:

eth0 10.0.0.0/24
eth1 10.0.2.0/24
eth2 => ppp0
tap0 10.0.1.0/24
br0 10.0.0.0/255.255.254.0 = eth0+tap0

IPs:

eth1 10.0.2.99
br0 10.0.0.99

Ein Versuch der Veranschaulichung:

Notebook (Lokal:172.16.0.1 VPN:10.0.1.1)
|
Internet
|
ppp0
|
Server -- eth1(10.0.2.99)--WLAN-Router(10.0.2.100)--Notebook (Lokal:10.0.2.1 VPN:10.0.1.1)
|
eth0
|
Lokales Netz(10.0.0.0)


Passend dazu meine interfaces

Code: Alles auswählen

#/etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static
        address 10.0.2.99
        netmask 255.255.255.0
        network 10.0.2.0
        broadcast 10.0.2.255

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth2 up # line maintained by pppoeconf
     provider dsl-provider
# please do not modify the following line
     pre-up /opt/iptables&&/sbin/ifconfig eth2 up # line maintained by pppoeconf

auto br0
iface br0 inet static
        pre-up /opt/bridge
        post-down /opt/bridgedown
        address 10.0.0.99
        netmask 255.255.254.0
        network 10.0.0.0
        broadcast 10.0.1.255

Hier die Bridge:

Code: Alles auswählen

#/opt/bridge

brctl addbr br0
brctl addif br0 eth0 tap0
ifconfig eth0 0.0.0.0
ifconfig tap0 0.0.0.0

Das Routing für das jeweilige Netz über die VPN-IP von dem Client

Code: Alles auswählen

#/opt/route

route add -net 172.16.0.0 netmask 255.255.0.0 gw 10.0.1.1

Hier meine bridgedown

Code: Alles auswählen

#/opt/bridgedown

brctl delbr br0

Und Iptables:

Code: Alles auswählen

#/opt/iptables

http://nopaste.debianforum.de/6032

Die Server-Config sah bei mir am Ende so aus:

Code: Alles auswählen

#/etc/openvpn/server.conf

port 1194
proto udp
dev tap0
ca /opt/keys/server/ca.crt
cert /opt/keys/server/server.crt
key /opt/keys/server/server.key
dh /opt/keys/server/dh2048.pem
server-bridge 10.0.0.99 255.255.254.0 10.0.1.1 10.0.1.254
client-to-client
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.0.0.99"
push "dhcp-option DOMAIN meine.domain"
push "dhcp-option WINS 10.0.0.99"
push "dhcp-option NTP 10.0.0.99"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Die Client-Configs:

Auf dem Client laufen 2 Configs parallel, einmal für Internet-Connections und einmal für WLAN-Connections.
Wenn ich ausserhalb meines Netzes bin wirkt die clientinet.conf, innerhalb meines Netzes die clientwlan.conf

Internet:

Code: Alles auswählen

#/etc/openvpn/clientinet.conf

client
dev tap
proto udp
remote mein.dyndns.account 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /opt/keys/client1/ca.crt
cert /opt/keys/client1/client1.crt
key /opt/keys/client1/client1.key
up /etc/openvpn/dns-update.sh
down /etc/openvpn/dns-update.sh
comp-lzo
verb 3

WLAN:

Code: Alles auswählen

#/etc/openvpn/clientwlan.conf

client
dev tap
proto udp
remote 10.0.2.99 1194
resolv-retry infinite
nobind
route-gateway 10.0.0.99
redirect-gateway local
user nobody
group nogroup
persist-key
persist-tun
ca /opt/keys/client1/ca.crt
cert /opt/keys/client1/client1.crt
key /opt/keys/client1/client1.key
comp-lzo
verb 3

Über ein wenig Suchen per Google kam ich dann zu dem Skript, über welches sich der DNS-Server "aktualisieren" lässt (siehe auch oben die clientinet.conf):

Code: Alles auswählen

#/etc/openvpn/dns-update.sh

http://www.psycast.de/blog/?postid=37

Bei Verbesserungsvorschlägen bitte melden!

MfG dafreak

[Danielx]

Danke!