VPN-Server mit IPSEC

#1 Hallo erstmal :-)

Ich habe ein kleines Problem,vielleicht kann mir ja jemand hier weiterhelfen!Ich bin zur Zeit damit beschöpftigt einen VPN-Server unter Linux aufzusetzen kernel 2.4.16
Der Verbindungsaufbau von der Windows Kiste zu meinen VPN funktioniert auch sehr gut,leider ohne Verschlüsselung,in dem Moment wo ich IPSEC einsetze,wird die Verbindung auf Grund der Zeitüberschreitung abgebrochen!Wie es scheind können sich der VPN und Windows nicht über Verbindung einigen! Die Authendifikation läuft über x509 Zertifikate!Ich habe nun schon alles durch was mir so einfiel! Vielleicht hat jemand ähnliche Erfahrung gemacht u. kann mir hier weiterhelfen!
Vielen Dank im Vorraus!

#2 Hi,

bin grad mal über dein Prob gestollpert... Wie's mit Linux läuft, kann ich dir auch nicht sagen, aber vielleicht ein paar allgemeine Hinweise:

Grundsätzlich müssen Authentisierungs- und Tunnelprotokolle sowohl vom Server als auch vom Client unterstützt werden. Unter win-dosen für die Authentifizierung meist CHAP oder MS CHAP v2. Die unterstützten Tunnelprotokolle sind Server- und Clienabhängig. Meines Wissens nach unterstützt Windows erst ab win2000 ipsec und L2TP... vorher gings nur über PPTP. Weiter ist entscheident, dass Verschlüsselungstyp und -rate übereinstimmen müssen. Verschlüsselt der Server zum Beispiel mit MPPE 128 v2, der Client unterstützt aber nur MPPE 56 kommt nach erfolgreicher Authentifizierung am Server ne Fehlermeldung a la "Angefordertes Verschlüsselungsprotokoll wird nicht unterstützt."

Schau mal, ob dir die Infos unter Umständen weiter helfen... :-)

Grüße, dicon

#3 Hi,
Wenn Du NAT durchführst, nachdem der Client verschlüsselt hat und IPSec im Tunnel Modus durchgeführt wird kann es nicht tun.
siehe auch
http://www.it-secure-x.de/modules.php?op=modload&name=Forum&file=viewtopic&topic=213&forum=2

Authentifizierst Du Dich auch bei unverschlüsselter Übertragung mit Zertifikat? Wenn nein: Ist der Aussteller des Zertifikates als vertrauenswürdig eingestuft?
@Dicon
Hast Du Dein Prob gelöst?
Greetz
Smaggmampf

#4

Zitat

´Smaggmampf posteteHast Du Dein Prob gelöst?

jep...... got sei Dank. War am Ende doch relativ einfach. Port 1723 am Router war das Entscheidene. Allerdings sind wir quasi nebenher auf ein paar Unzulänglichkeiten des Routers gestoßen: ohne VPN-Lizenz scheint ihm alles was mit mehr als 56 Bit vesschlüsselt wird, zuviel zu sein. Der VPN-Server lief per default auf MPPE 128 v2... da ging am Client garnnix. Erst als wir den Server auf "höchst mögliche" Verschlüsselung (Clientabhängig) "geschaltet" haben gings - allerding nur mit MPPE 56. Aber egal: mit 3,5 kB ist die Verbindung auch so schon lahm genug .

Grüße, dicon

#5 Du glücklicher. :-)
Will auch :-(
Na ja egal. Hat sich vielleicht auch so schon erledigt durch Übernahme von anderem Unternehmen mit anderem VPN.
Wieso Port 1723? 3,5 kB? das ist wirklich lahm (grins).
Das ist doch ne Frechheit, dass die Verschlüsselung nur mit 56 klappt.
Mal ne Frage am Rande.
Ist es schwer ein VPN mit Win2k zu bilden und braucht man da Zusatzsoft? Würde es gerne privat umsetzen zu Testzwecken.
Greetz Smaggmampf

#6 Hi Smaggmampf,

Port 1723 ist der pptp-Port (Point-to-Point Tunneling Protokoll). Über pptp realisieren alle Win's die VPN-Verbindungen - im Normalfall. Ab w2k kommt alternativ noch L2TP (Layer2 Tunneling Protokoll) als separat einsetzbares Protokoll dazu. PPTP kann via MPPE (Microsoft Point-to-Point Encryption) oder IPsec verschlüsselt werden. L2TP kann mit IPsec ausgeführt werden - heißt dann wohl hier und da "L2TP über IPsec". Die Verschlüsselung ist nicht zwingend erforderlich, bzw, automatisch. Wenn ich mich noch recht erinnere, werden die Pakete durch PPTP bzw. L2TP (beide Osi-Layer 2) im Tunnel zunächst nur neu eingekappselt. Die Verschlüsselung kann dann durch IPsec (Osi-Layer 3) erfolgen - aber auf diese Weisheit nagel mich bitte nicht fest

VPN unter w2k ist nicht weiter schwierig... ich meine sogar Standard, zumindest in der pro. Netzwerkumgebung > Eigenschaften > Neue Verbindung > Verbindung mit einem privaten Netzwerk über das Intenet > dann dem Assi folgen. In den Eigenschaften der neuen Verbindung kannst du dann ggf. via IP- bzw. Netzwerkeinstellungen die Verbindung anpassen... Protokoll, Authentifizierungstyp etc.... eigentlich nicht weiter wild.

Grüße, dicon

#7 Hi,
Und wie ist das Serverseitig bzw. VPN Endpunkt benötige ich da eine spezielle Software oder hat das ein Win2k Server schon beigepackt bekommen?
2. Möglichkeit:
unter einer Unix Variante wie z.B. Redhat.
Möchte mich nicht auf Win festlegen, würde nur die Möglichkeit wählen, welche nicht die aufwendigste und teuerste ist.

Greetz
Smaggmampf

#8 Hi Smaggampf

Serverseitig wird's unter win etwas aufwändiger und teurer. VPN gibt's serienmäßig nur beim win2000-Server bzw. win2000-Advancedserver - und die kosten richtig Geld. Unter Linux gibt's bestimmt ne preiswertere Alternative, aber da kann ich dir leider überhaupt nicht helfen

Grüße, dicon

#9 Hi Dicon,
Trotzdem danke werd mich wohl mal in Linux reinstürzen mal sehen wie weit ich damit komme
Greetz
Smaggmampf

#10 Hallo dicon und Smaggmampf

da hab ich wohl was los getretten, erstmal Danke für die Tipps, mittlerweile läuft die kiste, neen VPN unter Linux aufzusetzen kostet garnix ausser nervern. :-)
Hab och den Fehler gefunden, ist natürlich bisschen dumm wenn man vergiesst das Patch für l2tp einzubinden, sollte man schon tuen, wenn man mit l2tp arbeiten will.
Also Danke nochmal für die Tipps und bleibt sauber!
:-) Vielleicht liest man sich mal, in den unendlichen weiten des Internetz.

#11 besorg dir win XP Prof dort hast du die moeglichkeit einen vpn server zu imitieren ganz easy

#12 Wär ja ein Rückschritt von Linux wieder auf Win

#13 HI@all

mal ne ganz andere Frage diesbezüglich

wie muß denn der Linux Server mit IPSec konfiguriert werden, damit er einen W2/98 Client reinläßt, die zudem teilweise noch dynamische Ips haben???

Oder gibt es irgendwo Seiten (außer den HOWTOS) die das beschreiben

Es wär mir ne echt große Hilfe

vielleicht wär es möglich, mir ne kurze Nachricht per mail zukommen zu lasen, da ich hier nicht so oft bin --> s.t.b@gmx.net

Vielen Dank im voraus schon einmal


Gruß

STB

#14 Moin STB,

Ich sag's lieber gleich zum Anfang: Ich weiß, wie Linuks geschrieben wird... das war's dann aber auch schon damit. Darum von mir nur der Versuch, ein paar Denkanstöße zu geben. Weil's interessant klingt, und für den Fall, dass du weiter kommst: poste mal hier deine Ergebnisse... man lernt ja nie aus

Bevor du anfängst, dein Linux umzubauen, überleg dir genau, welche WinClients auf den VPN-Server zugreifen sollen. IPsec steht erst ab w2000 zur Verfügung. Sollen auch win98-Clienten zugreifen mußt du wohl oder übel neben IPsec auch noch pptp in dein Kernel kompilieren (RedHat), Suse bzw. Mandrake enthalten wohl zumindest IPsec.

Für die Clienten spielt es dabei keine Rolle, ob sie ne dynamische oder statische IP haben, wichtig ist, dass am Server ne feste IP oder alternativ ein Host a la stb.dyndns.ogr anliegt.

Im Zusammenhang mit Linux-VPN tauchen zwei Tools immer wieder auf:
Freeswan und CIPE... google mal 'n bischen rum, gibt jede Menge Infos zu beiden. Beim Überfliegen schien mir dieser Link ganz interessant.

Außerdem gibt's auf tecchannel.de ganz aktuell einen VPN-Workshop Linux] [b]> Teil 1 & > Teil 2. Vielleicht hilft das ja weiter

Grüße, dicon

#15 also eins weiß ich schon, es gibt auf der MS-HP ein Update, das es auch Windowsclient < 2000 ermöglicht auf ein IPSec VPN drauf zuzugreifen

Vielen Vielen Dank für die Links (Die hatte ich noch nicht :-))) ), ich muß die jetzt noch durcharbeiten

Gruß

STB

PS: Sobald ich was hab, meld ich mich, bzw. werd dann sicherlich versuchen das mal zu veröffentlichen...