Re: pptp-VPN geht nicht mehr ...
Hi! Habe gerade das selbe Problem gehabt. # wget http://security.debian.org/debian-security/pool/updates/main/p/ppp/ppp_2.4.3-20050321+2sarge1_i386.deb # dpkg -i ppp_2.4.3-20050321+2sarge1_i386.deb Jetzt sollte es funktionieren. Gruß Basti -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Probleme bei FTP aus VPN seit dist-upgrade
hi! Wir haben seit kurzem passive Probleme mit unserem FTP-Server nach einem dist-upgrade und umstieg auf kernel 2.6.17 FTP von beliebigem Server: problemlos FTP ueber VPN reinkommend auf selbe IP wie oben: Abbruch der Verbindung nach einigen Datenpaketen vsftpd oder proftpd - beide male das selbe Problem aber: ftp auf alte SuSE kiste und oder den Mirror des Servers (der noch auf einem aelteren Debian-Stand ist) problemlos .77 ist das VPN .75 der Debian .74 der uralt SuSE ich bin da ein wenig ratlos :-( mit dem Uralt-Suse auf der 74-Adresse geht es (3 Files mit jeweils ca. 380 kB/s) ! Mit dem 75-er bleibt es wie bisher hängen (Probleme mit TCP RECV Window viel zu klein). Trace folgt: tcpdump -ni rl0 host 123.456.789.75 tcpdump: listening on rl0 12:51:24.731492 123.456.789.77.55203 123.456.789.75.21: P 1907292932:1907292938(6) ack 3814697966 win 5040 nop,nop,timestamp 3965724643 142469193 (DF) [tos 0x10] 12:51:24.760258 123.456.789.75.21 123.456.789.77.55203: P 1:54(53) ack 6 win 46 nop,nop,timestamp 142483855 3965724643 (DF) 12:51:24.793140 123.456.789.77.55203 123.456.789.75.21: . ack 54 win 5040 nop,nop,timestamp 3965724704 142483855 (DF) [tos 0x10] 12:51:24.793924 123.456.789.77.58958 123.456.789.75.50074: S 2047961359:2047961359(0) win 5040 mss 1260,sackOK,timestamp 3965724704 0,nop,wscale 0 (DF) 12:51:24.794184 123.456.789.75.50074 123.456.789.77.58958: S 3936714232:3936714232(0) ack 2047961360 win 5792 mss 1460,sackOK,timestamp 142483863 3965724704,nop,wscale 7 (DF) 12:51:24.819097 123.456.789.77.58958 123.456.789.75.50074: . ack 1 win 5040 nop,nop,timestamp 3965724731 142483863 (DF) 12:51:24.819834 123.456.789.77.55203 123.456.789.75.21: P 6:32(26) ack 54 win 5040 nop,nop,timestamp 3965724731 142483855 (DF) [tos 0x10] 12:51:24.821622 123.456.789.75.21 123.456.789.77.55203: P 54:119(65) ack 32 win 46 nop,nop,timestamp 142483870 3965724731 (DF) 12:51:24.851720 123.456.789.77.58958 123.456.789.75.50074: . 1:1249(1248) ack 1 win 5040 nop,nop,timestamp 3965724755 142483863 (DF) [tos 0x8] 12:51:24.854212 123.456.789.75.50074 123.456.789.77.58958: . ack 1249 win 65 nop,nop,timestamp 142483878 3965724755 (DF) 12:51:24.854882 123.456.789.77.58958 123.456.789.75.50074: . 1249:2497(1248) ack 1 win 5040 nop,nop,timestamp 3965724755 142483863 (DF) [tos 0x8] 12:51:24.856229 123.456.789.75.50074 123.456.789.77.58958: . ack 2497 win 85 nop,nop,timestamp 142483879 3965724755 (DF) 12:51:24.884198 123.456.789.77.58958 123.456.789.75.50074: P 2497:3745(1248) ack 1 win 5040 nop,nop,timestamp 3965724788 142483878 (DF) [tos 0x8] 12:51:24.886735 123.456.789.75.50074 123.456.789.77.58958: . ack 3745 win 104 nop,nop,timestamp 142483886 3965724788 (DF) 12:51:24.887533 123.456.789.77.58958 123.456.789.75.50074: . 3745:4993(1248) ack 1 win 5040 nop,nop,timestamp 3965724788 142483878 (DF) [tos 0x8] 12:51:24.890459 123.456.789.75.50074 123.456.789.77.58958: . ack 4993 win 124 nop,nop,timestamp 142483887 3965724788 (DF) 12:51:24.895123 123.456.789.77.55203 123.456.789.75.21: . ack 119 win 5040 nop,nop,timestamp 3965724795 142483870 (DF) [tos 0x10] 12:51:33.274282 123.456.789.77.55203 123.456.789.75.21: F 32:32(0) ack 119 win 5040 nop,nop,timestamp 3965733186 142483870 (DF) [tos 0x10] 12:51:33.313756 123.456.789.75.21 123.456.789.77.55203: . ack 33 win 46 nop,nop,timestamp 142485993 3965733186 (DF)
Versionskonflikt pptp und ppp, was: pptp-VPN geht nicht mehr ...
hi! Danke fuer den Tipp apt-get install ppp=2.4.3-20050321+2 installiert mir zwar den alte ppp, deinstalliert aber den pptpd installiere ich den anschliessend wieder, bekomme ich wieder die neue ppp version ... und wieder meinen Lieblingsfehler ... Plugin /usr/lib/pptpd/pptpd-logwtmp.so is for pppd version 2.4.3, this is 2.4.4 :-(( Philipp -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Versionskonflikt pptp und ppp, was: pptp-VPN geht nicht mehr ...
Hallo Philipp. Philipp Flesch schrieb: apt-get install ppp=2.4.3-20050321+2 installiert mir zwar den alte ppp, deinstalliert aber den pptpd Dann musst du bei letzterem die passende Version ebenfalls erzwingen. (Also die, die zuvor installiert war.) installiere ich den anschliessend wieder, bekomme ich wieder die neue ppp version ... und wieder meinen Lieblingsfehler ... Plugin /usr/lib/pptpd/pptpd-logwtmp.so is for pppd version 2.4.3, this is 2.4.4 IMHO ist dies einen Bugreport wert. Gruß, Mathias -- debian/rules signature.asc Description: OpenPGP digital signature
aelter pppd paket installieren (wasRe: pptp-VPN geht nicht mehr ...)
Plugin /usr/lib/pptpd/pptpd-logwtmp.so is for pppd version 2.4.3, this is 2.4.4 die Zeile ist es wohl ... google liefert auch schon ein paar Hits zu Leuten, die aehnliche Probleme haben ... kann man irgendwie pppd mit version 2.4.3 wieder installieren anstelle 2.4.4? Habe da in apt-get leider nix gefunden :-( -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: aelter pppd paket installieren (wasRe: pptp-VPN geht nicht mehr ...)
Hallo Philipp. Philipp Flesch schrieb: kann man irgendwie pppd mit version 2.4.3 wieder installieren anstelle 2.4.4? Habe da in apt-get leider nix gefunden :-( Auf der Manpage hättest du aber fündig werden sollen. Möglichkeit 1: apt-get install pppd=2.4.3 Möglichkeit 2: apt-get install -t distributionszweig pppd Möglichkeit 3: http://snapshot.debian.net/ in Verbindung mit Mögl. 1. Gruß, Mathias -- debian/rules signature.asc Description: OpenPGP digital signature
pptp-VPN geht nicht mehr ...
Hi! Wir nutzen debian unstable - nach einem dist-upgrade geht unser pptp VPN ned mehr ... Plugin /usr/lib/pptpd/pptpd-logwtmp.so is for pppd version 2.4.3, this is 2.4.4 die Zeile ist es wohl ... google liefert auch schon ein paar Hits zu Leuten, die aehnliche Probleme haben ... Gibt es schon einen Loesungsansatz ohne ppp und pptp neu zu kompilieren? Danke schon einmal --- cut here --- Sep 25 06:52:10 linux03 pptpd[1151]: CTRL: Client 84.155.xxx.yyy control connection started Sep 25 06:52:10 linux03 pptpd[1151]: CTRL: Starting call (launching pppd, opening GRE) Sep 25 06:52:10 linux03 pppd[1152]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so is for pppd version 2.4.3, this is 2.4.4 Sep 25 06:52:10 linux03 pptpd[1151]: GRE: read(fd=6,buffer=80505a0,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Sep 25 06:52:10 linux03 pptpd[1151]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) Sep 25 06:52:10 linux03 pptpd[1151]: CTRL: Reaping child PPP[1152] Sep 25 06:52:10 linux03 pptpd[1151]: CTRL: Client 84.155.xxx.yyy control connection finished --- cut here ---
Re: Open Vpn
Gregor Schumacher wrote: Wed May 31 08:36:10 2006 VERIFY ERROR: depth=0, error=self signed certificate: / C=DE/ST=NRW/L=Adendorf/O=Soendgen/CN=Gregor_Schumacher/emailAddress= Wed May 31 08:36:10 2006 TLS_ERROR: BIO read tls_read_plaintext error: error:140 90086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Hmm, vielleicht hilft dir das: [1] Durch [2] gefunden, erster Treffer;) [1]http://openvpn.net/archive/openvpn-users/2004-12/msg00377.html [2]http://www.google.de/search?as_q=openvpn+%22error%3Dself+signed+certificate%22num=100hl=debtnG=Google-Sucheas_epq=as_oq=as_eq=lr=as_ft=ias_filetype=as_qdr=allas_occt=anyas_dt=ias_sitesearch=as_rights=safe=images HTH und Gruß, Michel -- * Turken thinks little kids are absolutely adorable... especialyy when they're someone elses. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Open Vpn
Hallo, On Wed, May 31, 2006 at 09:53:54AM +0200, Gregor Schumacher wrote: Gibts von euch evtl. sachdienliche Hinweise? Jein: Ich benutze immer tinyca um die Zertifikate zu verwalten. (Benötigt x-server) Da kann man sehr schön sagen: signieren als Client, signieren als Serverzertifikat. Wie das mit Kommandozeilen-openssl läuft weiss ich so leider auch nicht.. MfG Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Open Vpn
Hallo zusammen, ich habe OPENVpn laut Anleitung http://www.online-tutorials.net/security/openvpn-tutorial/tutorials-t-69-209.html unter Debian (stable) installiert. Mein Basis System ist Windows XP mit Vmware Workstation 5.0 darauf läuft zum einem Windos XP(VPN-Client) und Debian (VPN-Server) Die Zertifikate sind in Ordnung, wobei ich mich frage ob es ein Problem darstellt wenn unter Linux ein 0A und unter Windows ein 0D 0A im Zertifikat steht. Den Tipp das Server Zertifikat mit -extensions server zu erstellen scheitert daran das openssl den Befehl wohl nicht kennt. Ansonsten sehe ich nur das andere Leute das Problem auch schon hatten, aber eine Lösung finde ich nicht. Gibts von euch evtl. sachdienliche Hinweise? Gruß Gregor Wed May 31 08:36:09 2006 Re-using SSL/TLS context Wed May 31 08:36:09 2006 LZO compression initialized Wed May 31 08:36:09 2006 WARNING: normally if you use --mssfix and/or --fragment , you should also set --tun-mtu 1500 (currently it is 1492) Wed May 31 08:36:09 2006 Control Channel MTU parms [ L:1566 D:138 EF:38 EB:0 ET: 0 EL:0 ] Wed May 31 08:36:09 2006 Data Channel MTU parms [ L:1566 D:1450 EF:42 EB:135 ET: 32 EL:0 AF:3/1 ] Wed May 31 08:36:10 2006 Local Options hash (VER=V4): 'c69db0ac' Wed May 31 08:36:10 2006 Expected Remote Options hash (VER=V4): '07ee0ac2' Wed May 31 08:36:10 2006 UDPv4 link local: [undef] Wed May 31 08:36:10 2006 UDPv4 link remote: 172.20.0.167:1194 Wed May 31 08:36:10 2006 TLS: Initial packet from 172.20.0.167:1194, sid=d529c74 9 4d065cc0 Wed May 31 08:36:10 2006 VERIFY ERROR: depth=0, error=self signed certificate: / C=DE/ST=NRW/L=Adendorf/O=Soendgen/CN=Gregor_Schumacher/emailAddress= Wed May 31 08:36:10 2006 TLS_ERROR: BIO read tls_read_plaintext error: error:140 90086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Wed May 31 08:36:10 2006 TLS Error: TLS object - incoming plaintext read error Wed May 31 08:36:10 2006 TLS Error: TLS handshake failed Wed May 31 08:36:10 2006 TCP/UDP: Closing socket Wed May 31 08:36:10 2006 SIGUSR1[soft,tls-error] received, process restarting Wed May 31 08:36:10 2006 Restart pause, 2 second(s) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi Harals, Harald Tobias wrote: Joerg Zimmermann schrieb: [..]. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Zunächst einmal, OpenBSD ist auch nur ein Unix. Also mit Linuxkenntnissen kommt man hier schon weiter. Das System ist klein (bei mir 80MB), verfügt über eine hervorragende und umfassende zusammenhängende Dokumentation und ist sehr gut durchdacht. Da es wohl für diese Liste OT ist, schlage ich vor, das wir das per PM weiterbehandeln. Viel aber nicht alles. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hallo, Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... es gibt einen Patch (von zwei Komilitonen von mir als Master bzw. Diplom-Arbeit entwickelt), der die (virtuellen-) Devices in 2.6 wieder einbaut wie aktiv das Projekt allerdings ist weiss ich nicht http://ipsec.hsnr.de mfG Peter Bartosch -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Gut, das kann ich argumentieren: Entweder IPSec für vieeele Stunden oder OpenVPN für weniger Stunden. Dem Kunden wurde schon eine Lösung eines Mitbewerbers angeboten, aber die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Kennt jemand von euch was passendes? Gruß - Harald Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Joerg Zimmermann schrieb: Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Ich bin mir fast sicher, daß es OpenBSD ist. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch. Was tut man nicht alles für Geld. Gruß - Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Harald Tobias wrote: Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Ja. Am liebsten würde ich das Wort mit dem ei in der Mitte schreien. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Oh Himmel, auf was muß ich mich da einlassen... Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Gut, das kann ich argumentieren: Entweder IPSec für vieeele Stunden oder OpenVPN für weniger Stunden. Dem Kunden wurde schon eine Lösung eines Mitbewerbers angeboten, aber die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Hi, wir haben bei uns eine Appliance von Astaro (mit 8 phys. Ports). Die IPSev-Einrichtung ist recht einfach und auch mit den Zertifikaten klappt soweit alles ganz gut. Die Software dazu (Astaro Security Gateway (vorher Astaro Security Linux) kannst du auch auf einem normalen PC/Server installieren. Du brauchst also keine spezielle Hardware. Es gibt auch eine x-Tage Testversion. Suchtest du so etwas? Gruß, Paul -- Linux-User #271918 with the Linux Counter, http://counter.li.org/ signature.asc Description: OpenPGP digital signature
Re: VPN
Hallo Harald, Harald Tobias, 13.04.2006 (d.m.y): Andreas Kretschmer schrieb: Was ist 'MAC-Maschine'? Das mit dem Apfel-Logo Das nennt man Mac. ;-) Gruss, Christian Schmidt -- Wer gut wirtschaften will, sollte nur die Hälfte seiner Einnahmen ausgeben, wenn er reich werden will, sogar nur ein Drittel. -- Francis Bacon signature.asc Description: Digital signature
Re: VPN
Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias: Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich einfach auf ipcop gegriffen vgl. www.ipcop.org dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder presharedkey. gruß matze. Joerg Zimmermann schrieb: Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Ich bin mir fast sicher, daß es OpenBSD ist. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Dann darf ich mich heute und morgen (Karfreitag) auch noch mit BSD beschäftigen. Mein Familie wird sich freuen. Das ganze eilt und kann *nur* am Wochenende oder Feiertagen durchgeführt werden. Sch. Was tut man nicht alles für Geld. Gruß - Harald -- Wie fängt man ein Kaninchen? Man setzt sich ins Gebüsch und macht das Geräusch einer wachsenden Möhre nach!
Re: VPN
Matthias Reinhardt wrote: Am Donnerstag, 13. April 2006 11:21 schrieb Harald Tobias: Zur realisierung von diversen vpn's (insgesamt 6 stück fürs büro) hab ich einfach auf ipcop gegriffen vgl. www.ipcop.org dauert ne halbe stunde zu integrieren und läuft stabil mit zertifikat oder presharedkey. gruß matze. für roadwarrior mit dynamischen IPs gibts das OpenVPN plugin :-) -- Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
On Thu, Apr 13, 2006 at 09:14:25AM +, Harald Tobias wrote: die war ihm zu teuer. Er hat auch kein Problem damit, einen passenden Hardwarerouter zu kaufen, der das kann was er braucht, wenn seine Kosten dadurch im begrenzten Rahmen halten kann. Was ihn interessiert ist einzig die Funktionalität, nichts anderes. Kennt jemand von euch was passendes? Router von LANCom!? ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Also, ich habe hier eine freeBSD Geschichte auf einem alten Pentium2 laufen und bin sehr zufrieden damit und läuft stabil! Schaumal hier: http://m0n0.ch/wall/ Im Gegensatz zu IPcop und konsorten ist dies Firewall von Anfang restriktiv und lässt erstmal nicht raus. Ausserdem läuft sie in einem image an Systemseinstellungen kommt so nicht heran! KAnn ipsec und pptp , client Epfehlungen bei Radwarrior setups sind auch da. Ist zwar ein bisschen fruckelig die monowall auf die Platte zu bringen, geht aber. Monowall ist ein sehr professioneller Ansatz, wie ich finde. Aber schaut selbst! Billiger und professioneller gehts kaum, ausser pfsense noch, die man sogar clustern kann. Wär nett, wenn ihr mal was dazu sagt :) bis dann und internettem Gruß Stefan pgpHdwMjOB2st.pgp Description: PGP signature
VPN
Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Gruß - Harald -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
am 12.04.2006, um 17:06:53 + mailte Harald Tobias folgendes: Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. Was ist 'MAC-Maschine'? OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Schade. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. Ich würde klar OpenVPN favorisieren, auch wenn ich es selbst praktisch noch nie verwendet habe. Aber es ist, nach all dem, was ich dazu weiß, hinreichend abgehangen, einfacher als IPSec zu konfigurieren und besser zwischen unterschiedlichen Systemen einsetzbar. Falls da ein (bezahlter ?) IPSEc-Client schon da ist, auch nicht schlimm, mit OpenVPN gibt es keine extra-Kosten, die Lizenz des Clients könnte man noch verklickern... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
* Andreas Kretschmer [EMAIL PROTECTED] schrieb: snip Die 5 Netzkarten sind nicht das Problem, das Problem ist: - IPSec != IPSec. Da gibt es zu viele Implementierungen und Protokolle. - In Deiner Konstellation wirst Du mit iptables einiges regeln müssen, leider ist das IPSEc von Linux 2.6 abartig krank: im Gegensatz zu FreeSWAN unter 2.4 hast Du keine virtuellen ipsecX-Devices. ich spiele mit dem Gedanken, ipsec_tunnel auf 2.6 zu portieren. Hat da vielleicht noch jemand hier Interesse ? cu -- - Enrico Weigelt== metux IT service - http://www.metux.de/ - Please visit the OpenSource QM Taskforce: http://wiki.metux.de/public/OpenSource_QM_Taskforce Patches / Fixes for a lot dozens of packages in dozens of versions: rsync://sources.metux.de/metux-patches -
Re: VPN
Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Cisco-VPN-Clients für Linux (was: Re: svn über ssh ins vpn tunneln)
Hallo Philipp, Philipp Flesch [EMAIL PROTECTED] wrote: noch einfacher: die meisten Unis haben inzwischen cisco VPN Zugang ... Leider. :-( da gibt es auch einen Client fuer Windows, Mac und Linux ;-) Ach, wo bitte finde ich den Client für Linux auf PPC? Und nein, vpnc kann nicht mit Zertifikaten umgehen. Und ja, das CERT des DFN empfielt allen Unis Zertifikate zu verwenden. Schöne Grüße, Jörg. -- Was man mühelos erreichen kann, ist gewöhnlich nicht der Mühe wert, erreicht zu werden. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Cisco-VPN-Clients für Linux (was: Re: svn über ssh ins vpn tunneln)
Joerg Sommer: Philipp Flesch [EMAIL PROTECTED] wrote: noch einfacher: die meisten Unis haben inzwischen cisco VPN Zugang ... Leider. :-( ACK. Das Zeug ist auf einem Linuxsystem die Pest. da gibt es auch einen Client fuer Windows, Mac und Linux ;-) Ach, wo bitte finde ich den Client für Linux auf PPC? Wenn Du selbst keinen Cisco-Vertrag hast, gar nicht. Den kriegen nur Lizenznehmer, die den dann an die Clients weiterverteilen dürfen. Mußt Du also Deine Admins anstoßen. Auf halblegalem Wege hast Du natürlich auch eine Chance über Google, wenn Du den Dateinamen kennst. Der aktuellste, den ich hier für Linux auf x86 habe: vpnclient-linux-4.8.00.0490-k9.tar.gz Da da aber keine Architektur im Namen vorkommt, ist meine Hoffnung gering, dass Du fündig wirst. Und nein, vpnc kann nicht mit Zertifikaten umgehen. Und ja, das CERT des DFN empfielt allen Unis Zertifikate zu verwenden. Manchmal ist es halt doch schön, äh, weniger begabte Admins zu haben... J. -- Scientists know what they are talking about. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: Cisco-VPN-Clients für Linux (was: Re: svn über ssh ins vpn tunneln)
hallo zusammen, soweit ich weiß kann kvpnc cisco Joerg Sommer: Philipp Flesch [EMAIL PROTECTED] wrote: noch einfacher: die meisten Unis haben inzwischen cisco VPN Zugang ... Leider. :-( ACK. Das Zeug ist auf einem Linuxsystem die Pest. da gibt es auch einen Client fuer Windows, Mac und Linux ;-) Ach, wo bitte finde ich den Client für Linux auf PPC? Wenn Du selbst keinen Cisco-Vertrag hast, gar nicht. Den kriegen nur Lizenznehmer, die den dann an die Clients weiterverteilen dürfen. Mußt Du also Deine Admins anstoßen. Auf halblegalem Wege hast Du natürlich auch eine Chance über Google, wenn Du den Dateinamen kennst. Der aktuellste, den ich hier für Linux auf x86 habe: vpnclient-linux-4.8.00.0490-k9.tar.gz Da da aber keine Architektur im Namen vorkommt, ist meine Hoffnung gering, dass Du fündig wirst. Und nein, vpnc kann nicht mit Zertifikaten umgehen. Und ja, das CERT des DFN empfielt allen Unis Zertifikate zu verwenden. Manchmal ist es halt doch schön, äh, weniger begabte Admins zu haben... J. pgpO7YDZo7hLj.pgp Description: PGP signature
Re: svn übe r ssh ins vpn tunneln
On Thu, Mar 30, 2006 at 09:26:53AM +0200, Philipp Flesch wrote: hi! SVN laeuft ja in der Regel ueber nen Web-Server ... also entweder localhost:81 auf svn-webserver:80 oder ihr habt in der Uni einen Proxy-Server (so mache ich es) localhost 8081 auf proxy:8080 Uh Trugschluss. Ich verwende svn hier ausschliesslich ueber svnserve bzw. ssh (was dann auch wieder svnserve verwendet). Ok ich bin nicht der OP. noch einfacher: die meisten Unis haben inzwischen cisco VPN Zugang ... da gibt es auch einen Client fuer Windows, Mac und Linux ;-) Der stinkt. vpnc ist aber ein veritabler Ersatz. Wobei mir auch hier jetzt sicher der ein oder andere Listenmitbenutzer wiedersprechen wird. Kannst ja mal im Archiv suchen. ;) Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - 03:45: No sleep] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
svn über ssh ins vpn tunneln
Hi Liste, Ich möchte von zu hause aus auf einen (Windows)svn-Server an der Uni zugreifen. Das Problem: die Firewalls in der Uni lassen nur Zugriffe aus dem internen Netz zu. In dieses Netz kann man sich per VPN auch von außen einloggen. Das möchte ich aber vermeiden (weils ein heiden Aufwand ist) -- ich kann mich auch per ssh auf einen linux-Rechner an der Uni einloggen und bin da von diesem Rechner aus auch im VPN. Mein Plan ist also: [Mein Rechner]---ssh--+[Linuxbox]---[SVN-Server] | | VPN Ist jetzt möglich die svn-Befehle über die ssh-Verbindung zu tunneln? Irgendwie so: svn up | ssh linuxbox Also dass die svn-Befehle stellvertretend für meinen Rechner auf der Linuxbox ausgeführt werden, aber die Ein-/Ausgaben auf meinen Rechner weitergeleitet werden. Schöne Grüße Bastian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: svn über ssh ins vpn tunneln
Am Donnerstag 30 März 2006 08:38 schrieb Bastian Venthur: Mein Plan ist also: [Mein Rechner]---ssh--+[Linuxbox]---[SVN-Server] | VPN Ist jetzt möglich die svn-Befehle über die ssh-Verbindung zu tunneln? Irgendwie so: Ja, per SSH-Tunnel. Wies genau geht kann ich Dir aus dem Kopf nicht sagen ;) Hab 's selber noch nie gemacht. Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: svn über ssh ins vpn tunneln
hi! SVN laeuft ja in der Regel ueber nen Web-Server ... also entweder localhost:81 auf svn-webserver:80 oder ihr habt in der Uni einen Proxy-Server (so mache ich es) localhost 8081 auf proxy:8080 noch einfacher: die meisten Unis haben inzwischen cisco VPN Zugang ... da gibt es auch einen Client fuer Windows, Mac und Linux ;-) Philipp -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: svn übe r ssh ins vpn tunneln
am 30.03.2006, um 9:18:49 +0200 mailte Christian Frommeyer folgendes: [Mein Rechner]---ssh--+[Linuxbox]---[SVN-Server] | VPN Ist jetzt möglich die svn-Befehle über die ssh-Verbindung zu tunneln? Irgendwie so: Ja, per SSH-Tunnel. Wies genau geht kann ich Dir aus dem Kopf nicht sagen ;) Hab 's selber noch nie gemacht. So etwa: ssh -L3690:[SVN-Server]:[Linuxbox] Und dann svn gegen localhost. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47215, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: svn übe r ssh ins vpn tunneln
On Thu, Mar 30, 2006 at 09:18:49AM +0200, Christian Frommeyer wrote: Am Donnerstag 30 März 2006 08:38 schrieb Bastian Venthur: Mein Plan ist also: [Mein Rechner]---ssh--+[Linuxbox]---[SVN-Server] | VPN Ist jetzt möglich die svn-Befehle über die ssh-Verbindung zu tunneln? Irgendwie so: Ja, per SSH-Tunnel. Wies genau geht kann ich Dir aus dem Kopf nicht sagen ;) Hab 's selber noch nie gemacht. Die einfachste Variante: ssh -D1080 Linuxbox (öffnet lokal einen SOCKS-Proxy) und dann in einer anderen Konsole: tsocks svn .. (benötigt tsocks - vielleicht kann svn auch direkt einen Socks-Proxy benutzen, dann erübrigt sich das). -- Martin Hermanowski http://mh57.de signature.asc Description: Digital signature
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack schrieb: Moin Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Von was für einem VPN Programm redest du denn, wenn du sagst, dass du die Zugangsdaten und Anleitung für Windows hast? Oder von welcher Anleitung redest du da? Wäre für Tipps und zu Hinweisen zu einem passenden Howto dankbar. Es gibt verschiedene VPN-Programme, die sich durchaus unterscheiden und nicht miteinander reden können. Um Tipps zu geben, braucht man mehr Infos darüber, was bereits vorhanden ist. Oder hab ich dich falsch verstanden und es ist noch kein VPN bei der Firma vorhanden? Also wenn keins da ist und du sollst das aufbauen, dann kann ich OpenVPN empfehlen. Hab ich gute Erfahrungen mit gemacht. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Sven Hartge wrote: Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Ich hatte gehofft, dass mir jemand einen Tipp für einen bevorzugten Client geben könnte, der unter sarge out of the box funktioniert - mit dem Standardkernel und ohne Patcherei. Ich hatte hoffentlich die Gegebenheiten deutlich genug beschrieben. Meine bisherigen Versuche waren (secvpn, ...) waren vergebens, deswegen hoffte ich auf einen erfolgversprechenden Hinweis. Muss ich eben eine blöde Win-putty-Lösung benutzen, schon aus Zeitnot. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Sven Hartge wrote: Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Ich hatte gehofft, dass mir jemand einen Tipp für einen bevorzugten Client geben könnte, der unter sarge out of the box funktioniert - mit dem Standardkernel und ohne Patcherei. Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Je nachdem, was die andere Seite spricht, musst du etwas passendes einsetzen. Oder kannst du beide Seiten kontrollieren? Wenn ja, dann würde ich OpenVPN benutzen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Hallo Rüdiger, Von: Rüdiger Noack [EMAIL PROTECTED] Ich hatte hoffentlich die Gegebenheiten deutlich genug beschrieben. Meine bisherigen Versuche waren (secvpn, ...) waren vergebens, deswegen hoffte ich auf einen erfolgversprechenden Hinweis. was wird denn für ein VPN-Gateway auf der Gegenseite benutzt? Wenn wir das wissen, kann Dir vielleicht ein Vorschlag für einen Client gemacht werden. Gruss Reinhold
Re: VPN zu Hansenet unter sarge - was brauche ich?
Micha Beyer [EMAIL PROTECTED] wrote: Am Dienstag 28 Februar 2006 01:28 schrieb Sven Hartge: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. Nicht so sarkastisch, vielleicht wäre der Hinweis das einige Provider sich VPN-Zugänge teuer bezahlen lassen besser angebracht. ;-) Er hat ja bereites die Zugangsdaten. Also wird er wohl legitimiert sein, den VPN-Zugang auch zu nutzen. Nur leider hilft es nicht, das zu wissen, wenn nirgends steht, welche technischen Voraussetzungen die benutzte Lösung hat und auf welchen Standards es basiert. Will sagen: In Rüdigers Mail ist exakt Null Informationen enthalten, die hilfreich sind. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Sven Hartge wrote: Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Ich hatte bisher keine Ahnung, dass sich so viele verschiedene Methoden unter dem Begriff VPN tummeln können. Immerhin weiß ich jetzt, welche Fragen ich stellen muss. Ist die Methode denn nicht vom Provider vorgegeben, sondern bestimmt der Kunde (im Rahmen der Provider-Möglichkeiten natürlich)? Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? Oder kannst du beide Seiten kontrollieren? Nein. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack wrote: Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? Wenn ich apt-cache richtig interpretiere, muss ich doch den Kernel patchen und brauche die Pakete pptp und kernel-patch-mppe. Na dann will ich mal... Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Hallo, Rüdiger Muss ich eben eine blöde Win-putty-Lösung benutzen, schon aus Zeitnot. Leichte Verwirrung :-) Ich vermute mal Hansenet ist nur ein einfacher Provider und hat (ausser dass er Carrier ist) erstmal nichts mit dem VPN zu tun. Das Firmennetz wird einen VPN-Zugangspunkt besitzen, für den Du die Zugangsdaten hast? Wenn ja, was wird dort eingesetzt und danach richtet sich in erster Linie Deine Paketwahl. Bei VPN gibt es immer soo viele Lösungen, viele davon auf offenen Standards, manche kochen sich ein eigenen Süppchen. Was mir selbst nie richtig gelungen ist zum Laufen zu bekommen ist IPSec mit Windows und Linux im Verbund. Wenn Du genügend Kontrolle hast beide Seiten zu beeinflussen: OpenVPN. Setzt zwar nicht auf IPSec auf und ist damit nicht kompatibel, aber: es ist einfach zu installieren, funktioniert mit NAT, kann so gut wie alle Konstellationen abbilden, Routing funktioniert, unterstützt pre-shared Keys oder Zertifikate. Und(!) es gibt Windows-Clients die einfach so funktionieren (ala Cisco VPN). Ansonsten fällt mir nur das 'neue' OpenSSH ein, welches ja seit kurzem ebenfalls VPN Funktionalität mitbringt. Cheers, Jan signature.asc Description: OpenPGP digital signature
IPv6 nach PPTP-Installation? (war: VPN zu Hansenet unter sarge - was brauche ich?)
Rüdiger Noack wrote: Wenn ich apt-cache richtig interpretiere, muss ich doch den Kernel patchen und brauche die Pakete pptp und kernel-patch-mppe. Nachdem ich bisher nur das Paket pptp-linux installiert habe, hängt apt-get update CO. (Browser und ping sind ok.). - snip --- Fehl http://ftp.debian.de testing Release.gpg Konnte wegen Zeitüberschreitung keine Verbindung mit ftp.debian.de:80 aufbauen (1.0.0.0) Fehl ftp://ftp.nerim.net sarge Release.gpg Kann keine Verbindung mit ftp.nerim.net:21 aufbauen (2001:7a8:1:5::14). - connect (101 Das Netzwerk ist nicht erreichbar) [IP: 2001:7a8:1:5::14 21] Fehl http://quozl.netrek.org ./ Release.gpg Konnte wegen Zeitüberschreitung keine Verbindung mit quozl.netrek.org:80 aufbauen (32.1.7.168) Ign ftp://ftp.nerim.net sarge Release 99% [Verbinde mit ftp.nerim.net (32.1.7.168)] Ign ftp://ftp.nerim.net sarge/main Packages Fehl ftp://ftp.nerim.net sarge/main Packages Kann keine Verbindung mit ftp.nerim.net:21 aufbauen (2001:7a8:1:5::14). - connect (101 Das Netzwerk ist nicht erreichbar) [IP: 2001:7a8:1:5::14 21] Es wurden 3B in 8m10s geholt (0B/s) ... - snip --- Hat das was mit IPv6 zu tun und was kann ich dagegen tun? Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Sven Hartge wrote: Was für eine Methode nutzt denn dein Arbeitgeber? Nutzer IPsec? Nutzt er eine Cisco-VPN-Lösung? Nutzt er OpenVPN? Ich hatte bisher keine Ahnung, dass sich so viele verschiedene Methoden unter dem Begriff VPN tummeln können. Immerhin weiß ich jetzt, welche Fragen ich stellen muss. Ist die Methode denn nicht vom Provider vorgegeben, sondern bestimmt der Kunde (im Rahmen der Provider-Möglichkeiten natürlich)? Das hängt davon ab. Wenn der Provider einfach nur die Leitung und IP bereitstellt, dann bestimmt der Kunde natürlich selbst, was er anbietet und wie er das realisiert: Via Software auf einem PC, via Software im Grenz-Router, via eigener Appliance, ... Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? PPTP ist eine Methode, wenn auch nicht die Beste. (Eigentlich eine eher schlechte Variante, denn PPTP ist nie für sichere VPNs gedacht gewesen, aber Microsoft hat mal wieder gespielt und etwas selbst erweitert.) PPTP geht auch mit Linux. Für die Microsoft-Version wirst du IIRC nicht im eine Änderung im Kernel umhinkommen, bei reichlich neuen Kernel müßte die allerdings schon eingebaut sein und es muss nur das korrekte Modul geladen werden. Allerdings verläßt mich mein Wissen hier, ich bin bisher lediglich mit IPsec und OpenVPN in den näheren Kontakt gekommen, wobei ich OpenVPN bevorzuge. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
On 28.02.2006, 14:18 Uhr, Sven Hartge wrote: Rüdiger Noack [EMAIL PROTECTED] wrote: Unter XP nennt sich der Gerätename der VPN-Verbindung WAN-Miniport (PPTP). Zeigt dies auch die VPN-Methode an? PPTP geht auch mit Linux. Für die Microsoft-Version wirst du IIRC nicht im eine Änderung im Kernel umhinkommen, bei reichlich neuen Kernel müßte die allerdings schon eingebaut sein und es muss nur das korrekte Modul geladen werden. Die Unterstützung für MPPE (Microsoft Point-to-Point Encryption) ist seit Version 2.6.15 im Kernel enthalten. PPTP (Point-to-Point Tunneling Protocol) baut darauf auf. Für ältere Kernel gibt es Patches, z.B. auf http://pptpclient.sourceforge.net/howto-debian.phtml#mppe MfG Thomas Stein -- Meine Kompetenz bez. historischer Kräder beschränkt sich darauf, dass bei mir ein neues Krad nach spätestens zwei Jahren aussieht, als hätte es schon im 2. Weltkrieg den Russlandfeldzug mitgemacht (Achim Lerch in de.rec.motorrad) signature.asc Description: Digital signature
Re: VPN mit sarge Citrix
Hi Stoebi, das sieht für mich nach einem NAT-Traversal Problem aus. Diese Problematik hatte ich beim connecten eines Cisco VPN-Servers. Als Client benutzte ich den vpnc. Dem musste ich beibringen das ich hinter einer Nat-FW hänge. Das würde Deine dmesg Fehlermeldung erklären. Was macht man in so 'nem Fall? Aus welchem Paket ist net6vpn??? Ist ein proprietäres Teil (anscheinend von Citrix, das Produkt ist Watchguard Firebox SSL, with Citrix Secure Access). Soweit ich begriffen habe, ist vpnc das Standard-Opensource-Produkt für IPSec. Bei uns läuft die Verbindung dagegen über https; Frage ist, ob es hierfür einen OS Client gibt. Viele Grüße Klaus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN zu Hansenet unter sarge - was brauche ich?
Moin Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Wäre für Tipps und zu Hinweisen zu einem passenden Howto dankbar. Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Rüdiger Noack [EMAIL PROTECTED] wrote: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN zu Hansenet unter sarge - was brauche ich?
Am Dienstag 28 Februar 2006 01:28 schrieb Sven Hartge: Ich möchte unter sarge einen VPN-Tunnel zu einem Firmennetz über deren Provider Hansenet aufbauen. Zugangsdaten (und Anleitung natürlich für Windows) habe ich, allerdings keine Ahnung, mit welchem Client bzw. welchen Paketen ich erfolgversprechend anfangen sollte zu konfigurieren. Es gibt N+1 VPN-Lösungen. Einige davon frei und auf Standards basierend, andere zwar frei, aber nicht auf Standards basierend und dann wieder solche, die komplett proprietär sind. Also kann ich dir recht einfach raten, das du mit dem Paket ein VPN-Programm anfangen solltest, da ist der Client ein Client drin, damit geht ein VPN. Nicht so sarkastisch, vielleicht wäre der Hinweis das einige Provider sich VPN-Zugänge teuer bezahlen lassen besser angebracht. ;-) -- Mfg, Michael
Re: VPN mit sarge Citrix
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi Klaus, das sieht für mich nach einem NAT-Traversal Problem aus. Diese Problematik hatte ich beim connecten eines Cisco VPN-Servers. Als Client benutzte ich den vpnc. Dem musste ich beibringen das ich hinter einer Nat-FW hänge. Das würde Deine dmesg Fehlermeldung erklären. Aus welchem Paket ist net6vpn??? mfg Stoebi Klaus Pieper schrieb: wie sieht dein Routingtable aus? Hallo Stoebi, schlecht anscheinend. [EMAIL PROTECTED]:~$ /sbin/route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 * 255.255.255.0 U 0 00 eth0 default 192.168.1.1 0.0.0.0 UG0 00 eth0 Das Netz besteht aus der Vmware VM mit 2.4 (192.168.1.11), dem Host, auf dem Vmware läuft (192.168.1.2) und einem Router (m0n0wall mit 192.168.1.1), der hier als Default GW erscheint. Mit einer virtuellen (nicht leicht zu tippen nach einem kleinen Lauf mit anschließendem Starkbier) Maschine mit Virus 2000, DHCP, funktioniert das ganze wunderbar (Frage ist, wozu ich dann überhaupt Linux brauche, aber die stellen wir hier natürlich nicht). Was sagt ip addr ??? Welche meinst Du? net6vpn --status sagt Connected to ip-adresse as mein user .. wobei ip-adresse die Internet-Adresse unseres VPN-Servers ist, die ich hier nicht unbedingt veröffentlichen möchte. Unter virus2k kann ich nach Aufbau der Verbindung ein privates Subnetz 10.18.0.0 ansprechen, wobei auch Hostnamen aufgelöst werden. Dort kann man dann sich dann per Remote Desktop mit dem Terminal Server verbinden (als Name angegeben). Das versuche ich analog unter Linux mit tsclient bzw. rdesktop, d.h. ich gebe unter tsclient 10.18.0.10 und Protokoll RDPv5 an, aber das Netz ist erstmal gar nicht da, geschweige denn ein DNS-Server. (Das DNS ist wohl kein Problem, weil ich nur den Terminal Server brauche, den ich notfalls bei mir eintragen kann.) Merci, K. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFEAgMEoiAPYpqNkYURAq8qAKC5dMB2k6QKapCbGFVZMvbMhfGptQCfX7FX YRugo3chz+7QctuYzo1rvms= =PLMF -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit sarge Citrix
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi Klaus, wie sieht dein Routingtable aus? Was sagt ip addr ??? mfg Stoebi Klaus Pieper schrieb: Hi gurus, wir haben in der Firma als neue Errungenschaft eine VPN-Verbindung mit Citrix, wofür auch ein Client für linux 2.4. angeboten wird. Ich habe mir dafür eine Vmware vm mit sarge kernel 2.4 eingerichtet und den Client (etwas holperig) installiert, der aus einem Däemon (net6vpnd) und einer Useranwendung (net6vpn) besteht. Man kann sich zwar mit net6vpn einloggen, aber das Lan ist nicht ansprechbar. [EMAIL PROTECTED]:~$ net6vpn --status Connected to ip:443 as me for the last 00:10:15. Beim Connect von der Vm (static ip 192.168.1.11) auf 10.18.1.10 (mit der IP-Adresse) bekommt man einen Timeout. [EMAIL PROTECTED]:~$ dmesg .. ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? Das Init-Script für den Dämon setzt Firewall-Regeln wie folgt debian32:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Was läuft schief? TIA, Klaus -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFEADHdoiAPYpqNkYURAq04AKCQbEZWUfCXq0w+d0gzCdoLcuDg+QCeLjpL /RoZawWbNn3+I16PSwQlQuE= =hDyQ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN mit sarge Citrix
wie sieht dein Routingtable aus? Hallo Stoebi, schlecht anscheinend. [EMAIL PROTECTED]:~$ /sbin/route Kernel IP routing table Destination Gateway Genmask Flags Metric RefUse Iface 192.168.1.0 * 255.255.255.0 U 0 00 eth0 default 192.168.1.1 0.0.0.0 UG0 00 eth0 Das Netz besteht aus der Vmware VM mit 2.4 (192.168.1.11), dem Host, auf dem Vmware läuft (192.168.1.2) und einem Router (m0n0wall mit 192.168.1.1), der hier als Default GW erscheint. Mit einer virtuellen (nicht leicht zu tippen nach einem kleinen Lauf mit anschließendem Starkbier) Maschine mit Virus 2000, DHCP, funktioniert das ganze wunderbar (Frage ist, wozu ich dann überhaupt Linux brauche, aber die stellen wir hier natürlich nicht). Was sagt ip addr ??? Welche meinst Du? net6vpn --status sagt Connected to ip-adresse as mein user .. wobei ip-adresse die Internet-Adresse unseres VPN-Servers ist, die ich hier nicht unbedingt veröffentlichen möchte. Unter virus2k kann ich nach Aufbau der Verbindung ein privates Subnetz 10.18.0.0 ansprechen, wobei auch Hostnamen aufgelöst werden. Dort kann man dann sich dann per Remote Desktop mit dem Terminal Server verbinden (als Name angegeben). Das versuche ich analog unter Linux mit tsclient bzw. rdesktop, d.h. ich gebe unter tsclient 10.18.0.10 und Protokoll RDPv5 an, aber das Netz ist erstmal gar nicht da, geschweige denn ein DNS-Server. (Das DNS ist wohl kein Problem, weil ich nur den Terminal Server brauche, den ich notfalls bei mir eintragen kann.) Merci, K. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN mit sarge Citrix
Hi gurus, wir haben in der Firma als neue Errungenschaft eine VPN-Verbindung mit Citrix, wofür auch ein Client für linux 2.4. angeboten wird. Ich habe mir dafür eine Vmware vm mit sarge kernel 2.4 eingerichtet und den Client (etwas holperig) installiert, der aus einem Däemon (net6vpnd) und einer Useranwendung (net6vpn) besteht. Man kann sich zwar mit net6vpn einloggen, aber das Lan ist nicht ansprechbar. [EMAIL PROTECTED]:~$ net6vpn --status Connected to ip:443 as me for the last 00:10:15. Beim Connect von der Vm (static ip 192.168.1.11) auf 10.18.1.10 (mit der IP-Adresse) bekommt man einen Timeout. [EMAIL PROTECTED]:~$ dmesg .. ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? ip_rt_bug: 10.18.1.10 - 192.168.1.11, ? Das Init-Script für den Dämon setzt Firewall-Regeln wie folgt debian32:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination QUEUE all -- anywhere anywhere Was läuft schief? TIA, Klaus -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Debian Sarge - W2K3
Moin moin, Hans-Georg Bork schrieb: Moin, hat zwar nur wenig mit debian zu tun, aber nun ... On Thu, Feb 23, 2006 at 11:58:52PM +0100, Andreas Krummrich wrote: Moin moin, ich habe ein Problem beim Aufbau einer pptp Verbindung zum VPN Server (W2K3) in meiner Firma. Mit der Fehlermeldung kann ich leider gar nix anfangen: Feb 23 23:53:47 scratchy pptp[17470]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated ^^^ [...] Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! [...] Vielleicht ließt hier ja jemand was raus. Ach ja. Auf dem System läuft 2.6.15-4 und MPPE ist eingebaut ;-) Kann/will das windoof vielleicht nur Synchronus Mode? Nein, das habe ich eben versucht. Bringt den gleichen Erfolg und die gleichen Fehlermeldungen. Gruß, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN Debian Sarge - W2K3
Moin moin, ich habe ein Problem beim Aufbau einer pptp Verbindung zum VPN Server (W2K3) in meiner Firma. Mit der Fehlermeldung kann ich leider gar nix anfangen: Feb 23 23:53:47 scratchy pptp[17470]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated Feb 23 23:53:47 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 1 'Start-Control-Connection-Request' Feb 23 23:53:47 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:721]: Received Start Control Connection Reply Feb 23 23:53:47 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:755]: Client connection established. Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 7 'Outgoing-Call-Request' Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:841]: Received Outgoing Call Reply. Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:880]: Outgoing call established (call ID 0, peer's call ID 41310). Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:933]: PPTP_SET_LINK_INFO received from peer_callid 0 Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:936]: send_accm is , recv_accm is Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:933]: PPTP_SET_LINK_INFO received from peer_callid 0 Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:936]: send_accm is , recv_accm is Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! Feb 23 23:53:48 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:895]: Received Call Clear Request. Feb 23 23:53:52 scratchy pptp[17487]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated Feb 23 23:53:52 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 7 'Outgoing-Call-Request' Feb 23 23:53:52 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:841]: Received Outgoing Call Reply. Feb 23 23:53:52 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:880]: Outgoing call established (call ID 1, peer's call ID 44778). Feb 23 23:53:57 scratchy pptp[17479]: anon log[callmgr_main:pptp_callmgr.c:228]: Closing connection Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 12 'Call-Clear-Request' Feb 23 23:53:57 scratchy pptp[17479]: anon log[callmgr_main:pptp_callmgr.c:228]: Closing connection Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 12 'Call-Clear-Request' Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:912]: Call disconnect notification received (call id 44778) Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 12 'Call-Clear-Request' Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 12 'Call-Clear-Request' Feb 23 23:53:57 scratchy pptp[17479]: anon log[pptp_conn_close:pptp_ctrl.c:425]: Closing PPTP connection Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_rep:pptp_ctrl.c:243]: Sent control packet type is 3 'Stop-Control-Connection-Request' Feb 23 23:53:57 scratchy pptp[17479]: anon log[ctrlp_disp:pptp_ctrl.c:782]: Received Stop Control Connection Reqply. Feb 23 23:53:57 scratchy pptp[17479]: anon log[call_callback:pptp_callmgr.c:77]: Closing connection Und hier sind noch die ausgaben vom pon: sent [LCP ConfReq id=0x1 asyncmap 0x0 magic 0x9dd58ff8 pcomp] rcvd [LCP ConfReq id=0x0 mru 1400 auth eap magic 0x557b7360 pcomp accomp callback CBCP mrru 1614 endpoint [local:37.df.a8.85.22.2d.43.44.bf.f6.3c.41.20.87.0d.2d.00.00.00.00] 17 04 03 b8] sent [LCP ConfRej id=0x0 accomp callback CBCP mrru 1614 17 04 03 b8] rcvd [LCP ConfAck id=0x1 asyncmap 0x0 magic 0x9dd58ff8 pcomp] rcvd [LCP ConfReq id=0x1 mru 1400 auth eap magic 0x557b7360 pcomp endpoint [local:37.df.a8.85.22.2d.43.44.bf.f6.3c.41.20.87.0d.2d.00.00.00.00]] sent [LCP ConfAck id=0x1 mru 1400 auth eap magic 0x557b7360 pcomp endpoint [local:37.df.a8.85.22.2d.43.44.bf.f6.3c.41.20.87.0d.2d.00.00.00.00]] sent [LCP EchoReq id=0x0 magic=0x9dd58ff8] rcvd [EAP Request id=0x13 Identity No message] sent [EAP Response id=0x13 Identity Name $USERNAME] rcvd [LCP EchoRep id=0x0 magic=0x557b7360] rcvd [LCP TermReq id=0x3 U{s`\000\315t\000\000\003\3777656] LCP terminated by peer (U{s`^@[EMAIL PROTECTED]@^CM-.) sent [LCP TermAck id=0x3] Connection terminated. using channel 18 Using interface ppp0 Connect: ppp0 -- /dev/pts/3 Waiting for 2 child processes... script pptp $TUNNEL --nolaunchpppd, pid 17487 script pptp $TUNNEL --nolaunchpppd, pid 17470 sending SIGTERM to process 17487 sending SIGTERM to process 17470 tcflush
Re: VPN Debian Sarge - W2K3
Moin, hat zwar nur wenig mit debian zu tun, aber nun ... On Thu, Feb 23, 2006 at 11:58:52PM +0100, Andreas Krummrich wrote: Moin moin, ich habe ein Problem beim Aufbau einer pptp Verbindung zum VPN Server (W2K3) in meiner Firma. Mit der Fehlermeldung kann ich leider gar nix anfangen: Feb 23 23:53:47 scratchy pptp[17470]: anon log[main:pptp.c:243]: The synchronous pptp option is NOT activated ^^^ [...] Feb 23 23:53:48 scratchy pptp[17479]: anon warn[ctrlp_disp:pptp_ctrl.c:939]: Non-zero Async Control Character Maps are not supported! [...] Vielleicht ließt hier ja jemand was raus. Ach ja. Auf dem System läuft 2.6.15-4 und MPPE ist eingebaut ;-) Kann/will das windoof vielleicht nur Synchronus Mode? Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN blockt Traffic
Hallo! Auf meinen wirren Pfaden durch den VPN-Dschungel habe ich jetzt einen neuen Kernel kompiliert und die Ethernet-Bridge und den TUN/TAP-Driver einkompiliert. Anscheinend hats mit den Modulen nicht so ganz geklappt. Jedenfalls hab ich in /etc/network/interfaces folgende Einträge gemacht: -- auto br0 iface br0 inet static address 192.168.100.5 netmask 255.255.255.0 network 192.168.100.0 broadcast 192.168.100.255 pre-up /sbin/ip link set eth0 up pre-up /usr/sbin/openvpn --mktun --dev tap0 pre-up /usr/sbin/openvpn --mktun --dev tap1 pre-up /usr/sbin/openvpn --mktun --dev tap2 pre-up /sbin/ip link set tap0 up pre-up /sbin/ip link set tap1 up pre-up /sbin/ip link set tap2 up pre-up /usr/sbin/brctl addbr br0 pre-up /usr/sbin/brctl addif br0 eth0 pre-up /usr/sbin/brctl addif br0 tap0 pre-up /usr/sbin/brctl addif br0 tap1 pre-up /usr/sbin/brctl addif br0 tap2 post-down /usr/sbin/brctl delbr br0 Das klappt auch gut, br0 wird beim Systemstart hochgefahren auch tap0 bis 2 werden durch ifconfig angezeigt. NUR: Leider ist mein Interface eth0 mausetot. Es wird durch ifconfig aufgelistet, gibt aber keine Mucks von sich. Ping vom LAN geht nicht, auch wenn ich direkt am Server 192.168.100.99 anpinge kommt nichts zurück. Was meint ihr dazu? Meine /etc/openvpn/server.conf schaut so aus port 1194 proto udp dev tap tun-mtu 1500 fragment 1300 mssfix server-bridge 192.168.100.1 255.255.255.0 192.168.100.210 192.168.100.220 keepalive 10 45 user nobody group nogroup comp-lzo persist-key persist-tun verb 5 Ideen zu meinem Fall? Vielen Dank für eure Mühe! Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Cisco VPN Client auf Sarge?
On Fri, Nov 25, 2005 at 09:11:01PM +0100, Jan Luehr wrote: Am Freitag, 25. November 2005 20:20 schrieb Sven Hoexter: Da ich das System nicht von der Admin Seite her kenne ist es fuer mich jetzt etwas muessig darueber zu spekulieren welche anderen Verfahren es noch zur verfuegung stellt und welche Probleme diese haben oder eben nicht. Ansonsten tauchen die CISCO VPN Accessconcentrator schonmal oefters in den relevanten Newslettern auf - ob das alles praxis relevant ist entzieht sich allerdings auch meiner Kenntniss. Wenn ich in einem sicherheitsrelevanten Szenario die Wahl, zwischen einem stabilen Client habe, bei dem dies sei 4 Monaten gefixt ist, und einem Beta-Produkt, bei dem dies wahrscheinlich mindestns genauso so lange auf der TODO steht, dann halte ich es für sehr fragwürdig, sich für das Beta-Produkt zu entscheiden. Also die Bedenken aufgrund der Probleme mit dem IKE lass ich ja gelten wenn die Umgebung wo das Zeug eingesetzt wird eine hoehere Sicherheitsanforderung hat als das Surfen auf ebay.de abzusichern. Nur weil 'beta' dran steht wuerde ich vpnc allerdings nicht ausschliessen. Ich hab mich an der Uni (brauche das ganze fuer den Zugang ueber das Uni WLAN) eine Woche lang mit dem cisco foo rum geaergert und dann nach Alternativen gesucht und mit vpnc eine sehr gut funktionierende gefunden. Laueft jetzt seit 3 Wochen im taeglichen Einsatz ohne Probleme. Als Entscheider wuerde ich mir aber schon Sorgen machen ob die Loesung entweder mit Linux auf den Clients oder mit Cisco VPN Concentrator am anderen Ende langfristig gut geht. Die Diskussion ueber die Kernel API changes und den von GKH eingereichten patch ist dir wahrscheinlich auch nicht entgangen. Bei sowas wirst Du mit Loesungen die ein non-free Kernel Modul verlangen immer wieder voll auf die Schnauze fliegen. Was das cisco Kernel Modul betrift habe ich das jetzt soweit rekonstruiert das sich der relevante Teil am Kernel irgendwo zwischen 2.6.12 und 2.6.14 geaendert haben mueste. Keine Ahnung ob dir das jetzt irgendwie weiter hilft um alternative Loesungsmoeglichkeiten aufzutuen. Fuer alles andere wuerde ich den cisco Support nerven, fuer den bezahlst Du im Normalfall ja eh schon. Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - 03:45: No sleep]
[OT] Cisco VPN Client auf Sarge?
ja hallo erstmal,.. ist es irgendwem hier schon gelungen, den Cisco VPN-Client auf neueren 2.6er Kerneln unter Sarge zu bauen? Ich habe es früher (also so zu 2.6.8er Zeiten) geschafft, nun bei 2.6.14.2 will der Client irgendwie nicht mehr. Ob es aber wirklich am Kernel liegt, weiß ich auch nicht. However, das make wirft mir diese Zeilen entgegen: usr/src/vpnclient/linuxcniapi.c: In Funktion »CniInjectReceive«: /usr/src/vpnclient/linuxcniapi.c:315: error: structure has no member named `sta /usr/src/vpnclient/linuxcniapi.c: In Funktion »CniInjectSend«: /usr/src/vpnclient/linuxcniapi.c:452: error: structure has no member named `sta make[2]: *** [/usr/src/vpnclient/linuxcniapi.o] Fehler 1 make[1]: *** [_module_/usr/src/vpnclient] Fehler 2 make: *** [default] Fehler 2 Any hints? Keep smiling yanosz
Re: [OT] Cisco VPN Client auf Sarge?
Jan Luehr: ist es irgendwem hier schon gelungen, den Cisco VPN-Client auf neueren 2.6er Kerneln unter Sarge zu bauen? Ich habe das seit 2.6.11 oder so nicht mehr probiert, aber das Bauen war nie das Problem. Ich konnte nur nie eine Verbindung aufbauen, bzw. ist mir das Modul immer mit irgendeiner badness weggestorben. Worauf ich hinaus will: ich kann leider nicht helfen, aber wenn Du das hinkriegst schreib doch bitte hier, wie das geht. :-) J. -- I will not admit to failure even when I know I am terribly mistaken and have offended others. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: [OT] Cisco VPN Client auf Sarge?
On Fri, Nov 25, 2005 at 09:29:26AM +0100, Jan Luehr wrote: ja hallo erstmal,.. ist es irgendwem hier schon gelungen, den Cisco VPN-Client auf neueren 2.6er Kerneln unter Sarge zu bauen? Ich habe es früher (also so zu 2.6.8er Zeiten) geschafft, nun bei 2.6.14.2 will der Client irgendwie nicht mehr. Ob es aber wirklich am Kernel liegt, weiß ich auch nicht. However, das make wirft mir diese Zeilen entgegen: usr/src/vpnclient/linuxcniapi.c: In Funktion »CniInjectReceive«: /usr/src/vpnclient/linuxcniapi.c:315: error: structure has no member named `sta /usr/src/vpnclient/linuxcniapi.c: In Funktion »CniInjectSend«: /usr/src/vpnclient/linuxcniapi.c:452: error: structure has no member named `sta make[2]: *** [/usr/src/vpnclient/linuxcniapi.o] Fehler 1 make[1]: *** [_module_/usr/src/vpnclient] Fehler 2 make: *** [default] Fehler 2 Hm ich meine da waere mir letztens mit einem 2.6.14rc noch gelungen. Allerdings kann ich von dem CISCO non-free foo nur abraten. Guck dir mal vpnc an das funktioniert als astreines 1:1 replacement und hat eine kuerzere Konfiguration und nutzt nur das tun device das dir der Kernel zur verfuegung stellt. Gruesse, Sven -- It really sucks to give your heart to a girl You want to know her like she knows the whole world But 10 seconds in, it's obvious, your going nowhere... [Bowling for Soup - Drunk Enough To Dance - I Don't Wanna Rock]
Re: [OT] Cisco VPN Client auf Sarge?
ja hallo erstmal,.. Am Freitag, 25. November 2005 14:25 schrieb Sven Hoexter: On Fri, Nov 25, 2005 at 09:29:26AM +0100, Jan Luehr wrote: ja hallo erstmal,.. ist es irgendwem hier schon gelungen, den Cisco VPN-Client auf neueren 2.6er Kerneln unter Sarge zu bauen? Ich habe es früher (also so zu 2.6.8er Zeiten) geschafft, nun bei 2.6.14.2 will der Client irgendwie nicht mehr. Ob es aber wirklich am Kernel liegt, weiß ich auch nicht. However, das make wirft mir diese Zeilen entgegen: usr/src/vpnclient/linuxcniapi.c: In Funktion »CniInjectReceive«: /usr/src/vpnclient/linuxcniapi.c:315: error: structure has no member [...} Hm ich meine da waere mir letztens mit einem 2.6.14rc noch gelungen. Allerdings kann ich von dem CISCO non-free foo nur abraten. Guck dir mal vpnc an das funktioniert als astreines 1:1 replacement und hat eine kuerzere Konfiguration und nutzt nur das tun device das dir der Kernel zur verfuegung stellt. Also, du empfehlst mir einen VPN Client im frühen Beta-Stadium, aufdessen Home, in großen, dicken fetten Buchstaben steht: Known Bugs / TODO [...] certificate support (Pre-Shared-Key + XAUTH is known to be insecure!) [...] Auch wenn es gut gemeint ist, VPNs sind idR sicherheitskritisch. Hier sollte man tunlichst von solchen Dingen im produktiven Gebiet Abstand nehmen! Keep smiling yanosz
Re: [OT] Cisco VPN Client auf Sarge?
On Fri, Nov 25, 2005 at 03:51:20PM +0100, Jan Luehr wrote: Am Freitag, 25. November 2005 14:25 schrieb Sven Hoexter: Guck dir mal vpnc an das funktioniert als astreines 1:1 replacement und hat eine kuerzere Konfiguration und nutzt nur das tun device das dir der Kernel zur verfuegung stellt. Also, du empfehlst mir einen VPN Client im frühen Beta-Stadium, aufdessen Home, in großen, dicken fetten Buchstaben steht: Known Bugs / TODO [...] certificate support (Pre-Shared-Key + XAUTH is known to be insecure!) [...] Auch wenn es gut gemeint ist, VPNs sind idR sicherheitskritisch. Hier sollte man tunlichst von solchen Dingen im produktiven Gebiet Abstand nehmen! Ja und Du glaubst dran das der Cisco Client das sicherer macht wenn das Problem im Verfahren liegt und nicht in der Implementierung? Oder hab ich das Problem mit den Pre Shared Keys nicht verstanden? Da ich das System nicht von der Admin Seite her kenne ist es fuer mich jetzt etwas muessig darueber zu spekulieren welche anderen Verfahren es noch zur verfuegung stellt und welche Probleme diese haben oder eben nicht. Ansonsten tauchen die CISCO VPN Accessconcentrator schonmal oefters in den relevanten Newslettern auf - ob das alles praxis relevant ist entzieht sich allerdings auch meiner Kenntniss. Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - 03:45: No sleep]
Re: [OT] Cisco VPN Client auf Sarge?
ja hallo erstmal,... Am Freitag, 25. November 2005 20:20 schrieb Sven Hoexter: On Fri, Nov 25, 2005 at 03:51:20PM +0100, Jan Luehr wrote: Am Freitag, 25. November 2005 14:25 schrieb Sven Hoexter: Guck dir mal vpnc an das funktioniert als astreines 1:1 replacement und hat eine kuerzere Konfiguration und nutzt nur das tun device das dir der Kernel zur verfuegung stellt. Also, du empfehlst mir einen VPN Client im frühen Beta-Stadium, aufdessen Home, in großen, dicken fetten Buchstaben steht: Known Bugs / TODO [...] certificate support (Pre-Shared-Key + XAUTH is known to be insecure!) [...] Auch wenn es gut gemeint ist, VPNs sind idR sicherheitskritisch. Hier sollte man tunlichst von solchen Dingen im produktiven Gebiet Abstand nehmen! Ja und Du glaubst dran das der Cisco Client das sicherer macht wenn das Problem im Verfahren liegt und nicht in der Implementierung? Oder hab ich das Problem mit den Pre Shared Keys nicht verstanden? Schau mal unter dem angegebenen Link: The MITM attack vulnerability described in this document is no longer possible because of the additional digital signature that binds the keying material to the Cisco VPN 3000 Concentrator's digital certificate. This feature, called Mutual Group Authentication, first appeared in release 4.0.5 of the Cisco VPN software (client and concentrator) and is documented in the release notes for this version: So wie ich known-bugs / todo verstehe kann vpnc dass noch nicht. Da ich das System nicht von der Admin Seite her kenne ist es fuer mich jetzt etwas muessig darueber zu spekulieren welche anderen Verfahren es noch zur verfuegung stellt und welche Probleme diese haben oder eben nicht. Ansonsten tauchen die CISCO VPN Accessconcentrator schonmal oefters in den relevanten Newslettern auf - ob das alles praxis relevant ist entzieht sich allerdings auch meiner Kenntniss. Wenn ich in einem sicherheitsrelevanten Szenario die Wahl, zwischen einem stabilen Client habe, bei dem dies sei 4 Monaten gefixt ist, und einem Beta-Produkt, bei dem dies wahrscheinlich mindestns genauso so lange auf der TODO steht, dann halte ich es für sehr fragwürdig, sich für das Beta-Produkt zu entscheiden. Keep smiling yanosz
Re: VPN
Joerg Zimmermann schreibt: Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. Gibt es irgendwo eine aktuelle Dokumentation, in der erklärt wird, wie man einen Firewall unter Linux 2.6.8, d.h. dem Standardkernel von Sarge, konfiguriert, wenn man die Pakete ipsec-tools und racoon verwendet? Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Andreas Vögele [EMAIL PROTECTED] wrote: Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Das funktioniert schon, wegen der hirnkranken Implementation von IPsec in 2.6.x ist das aber nicht so einfach wie unter 2.4.x, da man eine gehörige Portion Hirnakrobatik betreiben muss, bis man a) die Regeln zusammen hat und b) sich auch davon überzeugt hat, das es keine Lücke gibt. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Ingo Juergensmann wrote: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) *zustimm* OpenVPN ist leicht einzurichten und sicher genug. Grüsse, Christian -- Christian Fromme Mail: kaner at strace.org GPG: 9DE5E8B9 If you seek the kernel, then you must break the shell. (Meister Eckhart) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Sven Hartge [EMAIL PROTECTED] writes: Andreas Vögele [EMAIL PROTECTED] wrote: Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Das funktioniert schon, wegen der hirnkranken Implementation von IPsec in 2.6.x ist das aber nicht so einfach wie unter 2.4.x, da man eine gehörige Portion Hirnakrobatik betreiben muss, bis man a) die Regeln zusammen hat und b) sich auch davon überzeugt hat, das es keine Lücke gibt. Ich wollte mir neulich diese Hirnakrobatik sparen und dachte, dass dies der geeignete Moment ist, um von eigenen Skripten auf Shorewall umzusteigen. In der Shorewall-Dokumentation wird als Voraussetzung allerdings die Kernelversion 2.6.11 plus Patches genannt. Den Debiankernel moechte ich aber behalten. Wenn ich mal viel Zeit uebrig habe, werde ich mir noch einmal anschauen, wie man IPsec mit fwmark filtert. Ich frage mich allerdings, warum das Filtern unter Linux so viel aufwendiger als unter BSD mit PF sein muss. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
am 24.10.2005, um 12:12:40 +0200 mailte Andreas Vögele folgendes: anschauen, wie man IPsec mit fwmark filtert. Ich frage mich allerdings, warum das Filtern unter Linux so viel aufwendiger als unter BSD mit PF sein muss. Muß es nicht. Mit 2.4 und FreeSwan hat man ipsecX - Devices zum filtern. Nur waren die Macher des IPSec-Teils von 2.6 anscheinend bekifft und haben das 'wegoptimiert'. Mit freundlichen Grüßen, A. Kretschmer -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
#include hallo.h * Ingo Juergensmann [Mon, Oct 24 2005, 07:50:38AM]: - manchmal seltsame Seiteneffekte (so konnte exim4 bei mir ueber den IPsec Tunnel keine Mails mehr zuverlaessig zustellen) Genau dieses Problem hatte ich mit Cisco-VPN auch und es wurde erfolgreich durch herabsetzen der MTU gelöst. Scheinbar geht etwas bei TCP daneben. OpenVPN hingegen ist bedeutend einfacher und schneller aufzusetzen und tut Yep. Eduard. -- Immerhin meint die Filmförderungsanstalt, im Jahr 2002 seien 59 Millionen CD-Rohlinge von 5,9 Millionen Nutzern mit Filmen bespielt worden, im Durchschnitt also zwölf Rohlinge pro Anwender. -- http://www.heise.de/newsticker/data/see-08.04.03-000/
Re: VPN
* Andreas Vögele: Gibt es irgendwo eine aktuelle Dokumentation, in der erklärt wird, wie man einen Firewall unter Linux 2.6.8, d.h. dem Standardkernel von Sarge, konfiguriert, wenn man die Pakete ipsec-tools und racoon verwendet? Die HOWTOs, die ich gefunden habe, beschreiben nur, wie man einen IPsec-Tunnel aufbaut, vernachlässigen den Paketfilter aber komplett. Funktioniert das Filtern von IPsec mit Linux 2.6.8 überhaupt vernünftig oder benötigt man einen neueren Kernel? Was du machen kannst ist mit iptables -t mangle -A PREROUTING -p esp -j MARK --set-mark 1 die ESP-Pakete (oder AH) markieren und dann auf diese ganz normal deine Filterregeln anwenden. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Friedemann Schorer wrote: Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. Nein, reicht leider nicht. Das Setup ist so: Der Server läuft ganz normal als Kernel, die IPCop-Firewall hingegen als UML-Kernel. Ich kann mich zwar auf dem IPCop einloogen via ssh, komme von dort aber nicht weiter - die UML-Umgebung hat keinen SSH-Client an Bord oder so - ist auf das nötigste abgespeckt halt. Doch, das geht dennoch. Man kann kann über SSH auch Verbindungen weiterleiten. siehe manpage ssh, Optionen -L und ggf. -R. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Ingo Juergensmann schrieb: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Joerg Zimmermann wrote: Hi, Ingo Juergensmann schrieb: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. Das würde ich auch gerne wissen. Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
On Mon, Oct 24, 2005 at 01:41:12AM +0200, Joerg Zimmermann wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. - keine Verbindungen zwischen zwei Roadwarriors moeglich - Probleme mit IPSec und NAT bzw. Firewalls - keine automatische Erkennung des Wechsels einer dynamischen IP - manchmal seltsame Seiteneffekte (so konnte exim4 bei mir ueber den IPsec Tunnel keine Mails mehr zuverlaessig zustellen) OpenVPN hingegen ist bedeutend einfacher und schneller aufzusetzen und tut hervorragend gut. IPsec ist wie mit ner Dicken Berta auf Kolibris zu schiessen -- Ciao...//Fon: 0381-2744150 Ingo \X/ SIP: [EMAIL PROTECTED] gpg pubkey: http://www.juergensmann.de/ij/public_key.asc signature.asc Description: Digital signature
VPN
Hi zusammen, sag mal, ich habe meiner Mutter einen c't-Server in den Keller gestellt, als DSL-Router und Firewall. Nun würde ich diesen Rechner gerne via VPN administrieren können und das ganze natürlich am besten ohne Mithörer. Ergo bei Heise einen netten Artikel gefunden (http://www.heise.de/security/artikel/38014) und auf dem Server die vorhandene IPSec-Installation angepaßt und gestartet. Ergebnis: Der Server hat ein Inferface ipsec0 und meldet keine Fehler beim IPSec-Start in /var/log/messages. Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: - snip - inuit:/home/frschorer# /etc/init.d/racoon start Loading IPSEC/crypto modules... insmod: error inserting '/lib/modules/2.6.12-1-k7/kernel/crypto/crc32c.ko': -1 Unknown symbol in module insmod: error inserting '/lib/modules/2.6.12-1-k7/kernel/net/ipv6/ipcomp6.ko': -1 Unknown symbol in module IPSEC/crypto modules loaded. Starting IKE (ISAKMP/Oakley) server: racoon: failed to parse configuration file. racoon-tool: racoon did not start. - snip - Config ist nicht angefaßt bisher. Allerdings fürchte ich, daß die Symbols durch die Config auch nicht beeinflußt werden. Standard-Debiankernel übrigens. Wie komme ich hier weiter? Friedemann -- Highspeed-Freiheit. Bei GMX supergünstig, z.B. GMX DSL_Cityflat, DSL-Flatrate für nur 4,99 Euro/Monat* http://www.gmx.net/de/go/dsl -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) -- Ciao...//Fon: 0381-2744150 Ingo \X/ SIP: [EMAIL PROTECTED] gpg pubkey: http://www.juergensmann.de/ij/public_key.asc signature.asc Description: Digital signature
Re: VPN
On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: sag mal, ich habe meiner Mutter einen c't-Server in den Keller gestellt, als DSL-Router und Firewall. Nun würde ich diesen Rechner gerne via VPN administrieren können und das ganze natürlich am besten ohne Mithörer. Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Dirk Salva schrieb: Warum so viel Umstand? Eine ssh-Verbindung reicht zur Administrierung vollkommen aus, und für die GUI reicht VNC, wenn Deine Mutter Dir mal was vorführen soll. Nein, reicht leider nicht. Das Setup ist so: Der Server läuft ganz normal als Kernel, die IPCop-Firewall hingegen als UML-Kernel. Ich kann mich zwar auf dem IPCop einloogen via ssh, komme von dort aber nicht weiter - die UML-Umgebung hat keinen SSH-Client an Bord oder so - ist auf das nötigste abgespeckt halt. Friedemann
Re: VPN
am 22.10.2005, um 18:31:24 +0200 mailte Ingo Juergensmann folgendes: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und Mach es Dir noch einfacher und nimm einfach SSH. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Internet Fallback + VPN...
Morgen, ich hoffe Ihr könnt mir bei folgendem Problem weiterhelfen. Firmen intern setzen wir hauptsächlich Linux als Firewall, Proxy, Mailserver etc. ein. Dies gilt auch für die Anbindung der Fillialen via Freeswan 2.x, jetzt geht es darum eine Fallback Lösung in den Fillialen bereitzustellen und zwar mit einer günstigen ADSLLeitung. Die Fillialen sind zur Zeit über eine 2 Mbit Standleitung angebunden, die bisherige Fallbacklösung lief über ISDN, ist jedoch im Ernstfall nicht mehr aussreichend. Meine Probleme sind die folgenden: 1) Generell das realisieren einer Fallbacklösung unter Linux, so das der Internetzugang umgeschaltet wird und auch nachher wieder zurück, wenn die 2Mbit Leitung wieder da ist. 2) Umschalten der VPN-Verbindung von Filliale - Hauptstelle mit möglichst geringer Ausfallzeit. Da im Freeswan Hauptstelle die feste IP der Fillialen hinterlegt, muss ich wahrscheinlich alle VPN-Verbindungenumkonfigurieren. Stichwort: X.509 vielleicht??? 3) und was ich sonst noch so vergessen haben könnte :-). Für Informationen, Linksoder Tipps wäre ich sehr dankbar, da das Projekt bis Mitte Oktober realisiert sein muss :-(. Vielleicht hat ja schon jemand ähnlich realisiert. Vielen Dank. Mit freundlichen Grüssen S.Drees
Re: Internet Fallback + VPN...
Am Donnerstag, 1. September 2005 08:06 schrieb Drees Stefan: Morgen, ich hoffe Ihr könnt mir bei folgendem Problem weiterhelfen. Firmen intern setzen wir hauptsächlich Linux als Firewall, Proxy, Mailserver etc. ein. Dies gilt auch für die Anbindung der Fillialen via Freeswan 2.x, jetzt geht es darum eine Fallback Lösung in den Fillialen bereitzustellen und zwar mit einer günstigen ADSL Leitung. Die Fillialen sind zur Zeit über eine 2 Mbit Standleitung angebunden, die bisherige Fallbacklösung lief über ISDN, ist jedoch im Ernstfall nicht mehr aussreichend. Yepp. Verständlich. Meine Probleme sind die folgenden: 1) Generell das realisieren einer Fallbacklösung unter Linux, so das der Internetzugang umgeschaltet wird und auch nachher wieder zurück, wenn die 2Mbit Leitung wieder da ist. Ich habe sowas mit mehreren verschiedenen Leitungen gemacht, allerdings auf die einfache Tour. Ich lasse ein cron gesteuertes Perl script laufen, das einen Verbindungsaufbau von Filliale zum Zentralen Server versucht, z.B. mit ping oder fping. Geht es nicht mit Methode A (Standardleitung) ist was faul und das script schaltet um. Ich benutze ICMP Ping pakete, Du kannst sicher auch einen Dienst nehmen und mit connect einen Verbindungsversuch unternehmen. 2) Umschalten der VPN-Verbindung von Filliale - Hauptstelle mit möglichst geringer Ausfallzeit. Da im Freeswan Hauptstelle die feste IP der Fillialen hinterlegt, muss ich wahrscheinlich alle VPN-Verbindungen umkonfigurieren. Stichwort: X.509 vielleicht??? Ich habe OpenVPN verwendet, ist flexibler. OpenVPN lässt sich, da es nicht an einer IP Adresse hängt, sehr simpel umswitchen. Die Ausfallzeit hängt direkt von der Crontab Zeiteinstellung des Überwachungsscriptes ab. 3) und was ich sonst noch so vergessen haben könnte :-). mein primitves Script hängt hinter Für Informationen, Links oder Tipps wäre ich sehr dankbar, da das Projekt bis Mitte Oktober realisiert sein muss :-(. Vielleicht hat ja schon jemand ähnlich realisiert. Vielleicht hilft Dir mein Ansatz. Läuft hier mit 7 Aussenfillialen reibungslos. Jürgen Sauer -- Jürgen Sauer - AutomatiX GmbH, +49-4209-4699, [EMAIL PROTECTED] Das Linux Systemhaus - Service - Support - Server - Lösungen http://www.automatix.de OpenOffice erhalten Sie hier kostenfrei http://de.openoffice.org/ -- openvpn-check #!/usr/bin/perl # Als 10.0.0.3 trägt man den Fernen Endpunkt hinter der 2-Mbit Leitung ein @PING=(/bin/ping, -q, -c, 1, -t, 5, 10.0.0.3); @OPENVPN=(/etc/init.d/openvpn, start); # STDOUT STDERR umbiegen, siehe perldoc -f open open my $oldout, STDOUT or die Can't dup STDOUT: $!; open OLDERR, , \*STDERR or die Can't dup STDERR: $!; open STDOUT, '', /dev/null or die Can't redirect STDOUT: $!; open STDERR, STDOUT or die Can't dup STDOUT: $!; select STDERR; $| = 1; # make unbuffered select STDOUT; $| = 1; # make unbuffered # Testen, ob OK if(system(@PING)) { print $oldout OpenVPN/Fernwartung ist down, Reinitialisiere\n; # Netzverbindung hat versagt. system(killall, -q, -6, openvpn); sleep 1; system(killall, -q, -9, openvpn); sleep 1; system(@OPENVPN); exit 1; } else { # print $oldout OpenVPN/Fernwartung ist OK\n; exit 0; } exit 0; pgprHltKXASxV.pgp Description: PGP signature
AW: Internet Fallback + VPN...
Hört sich gut an, aber wieso benötigt Openswan keine IP-Adressen??? Das ganze könnte ich mir nur bei Verwendung von Zertifikaten vorstellen. Könntest du das Script hier bereitstellen oder mir zu mailen? Vielen Dank. -Ursprüngliche Nachricht- Von: Juergen Sauer [mailto:[EMAIL PROTECTED] Gesendet: Donnerstag, 1. September 2005 09:04 An: debian-user-german@lists.debian.org Cc: Drees Stefan Betreff: Re: Internet Fallback + VPN... Am Donnerstag, 1. September 2005 08:06 schrieb Drees Stefan: Morgen, ich hoffe Ihr könnt mir bei folgendem Problem weiterhelfen. Firmen intern setzen wir hauptsächlich Linux als Firewall, Proxy, Mailserver etc. ein. Dies gilt auch für die Anbindung der Fillialen via Freeswan 2.x, jetzt geht es darum eine Fallback Lösung in den Fillialen bereitzustellen und zwar mit einer günstigen ADSL Leitung. Die Fillialen sind zur Zeit über eine 2 Mbit Standleitung angebunden, die bisherige Fallbacklösung lief über ISDN, ist jedoch im Ernstfall nicht mehr aussreichend. Yepp. Verständlich. Meine Probleme sind die folgenden: 1) Generell das realisieren einer Fallbacklösung unter Linux, so das der Internetzugang umgeschaltet wird und auch nachher wieder zurück, wenn die 2Mbit Leitung wieder da ist. Ich habe sowas mit mehreren verschiedenen Leitungen gemacht, allerdings auf die einfache Tour. Ich lasse ein cron gesteuertes Perl script laufen, das einen Verbindungsaufbau von Filliale zum Zentralen Server versucht, z.B. mit ping oder fping. Geht es nicht mit Methode A (Standardleitung) ist was faul und das script schaltet um. Ich benutze ICMP Ping pakete, Du kannst sicher auch einen Dienst nehmen und mit connect einen Verbindungsversuch unternehmen. 2) Umschalten der VPN-Verbindung von Filliale - Hauptstelle mit möglichst geringer Ausfallzeit. Da im Freeswan Hauptstelle die feste IP der Fillialen hinterlegt, muss ich wahrscheinlich alle VPN-Verbindungen umkonfigurieren. Stichwort: X.509 vielleicht??? Ich habe OpenVPN verwendet, ist flexibler. OpenVPN lässt sich, da es nicht an einer IP Adresse hängt, sehr simpel umswitchen. Die Ausfallzeit hängt direkt von der Crontab Zeiteinstellung des Überwachungsscriptes ab. 3) und was ich sonst noch so vergessen haben könnte :-). mein primitves Script hängt hinter Für Informationen, Links oder Tipps wäre ich sehr dankbar, da das Projekt bis Mitte Oktober realisiert sein muss :-(. Vielleicht hat ja schon jemand ähnlich realisiert. Vielleicht hilft Dir mein Ansatz. Läuft hier mit 7 Aussenfillialen reibungslos. Jürgen Sauer -- Jürgen Sauer - AutomatiX GmbH, +49-4209-4699, [EMAIL PROTECTED] Das Linux Systemhaus - Service - Support - Server - Lösungen http://www.automatix.de OpenOffice erhalten Sie hier kostenfrei http://de.openoffice.org/ -- openvpn-check #!/usr/bin/perl # Als 10.0.0.3 trägt man den Fernen Endpunkt hinter der 2-Mbit Leitung ein @PING=(/bin/ping, -q, -c, 1, -t, 5, 10.0.0.3); @OPENVPN=(/etc/init.d/openvpn, start); # STDOUT STDERR umbiegen, siehe perldoc -f open open my $oldout, STDOUT or die Can't dup STDOUT: $!; open OLDERR, , \*STDERR or die Can't dup STDERR: $!; open STDOUT, '', /dev/null or die Can't redirect STDOUT: $!; open STDERR, STDOUT or die Can't dup STDOUT: $!; select STDERR; $| = 1; # make unbuffered select STDOUT; $| = 1; # make unbuffered # Testen, ob OK if(system(@PING)) { print $oldout OpenVPN/Fernwartung ist down, Reinitialisiere\n; # Netzverbindung hat versagt. system(killall, -q, -6, openvpn); sleep 1; system(killall, -q, -9, openvpn); sleep 1; system(@OPENVPN); exit 1; } else { # print $oldout OpenVPN/Fernwartung ist OK\n; exit 0; } exit 0;
Re: Broadcast zwischen zwei Netzen routen (VPN)
Das geht schon, wenn Du mit IP-Adressen arbeitest und/oder einen WINS nutzt. Wenn Du auf beiden Seiten des Tunnels relativ viele Wixdosen hast, so würden diese Dir mit deren rumgeplärre aka Broadcast die Leitung dicht machen - willst Du vermutlich eher nicht. Auf der Netz A Seite habe ich sieben und der Netz B Seite drei Rechner mit Windoof, weswegen ich auch nicht zu viel Verkehr erwarte. Könnte mir denn einer sagen wie dafür ein route Befehl aussieht da bis jetzt alle Versuche meinerseits fehlgeschlagen sind sowas einzutragen. Netz A hat einen Win2003 Server der als Domaincontroler eingerichtet ist, An Netz B versuche ich mich mit einem SAMBA-Server der bis jetzt als WINS fungierte. Ansonsten suchst Du eine Brigde. Aber, wie gesagt, ich glaube nicht, daß Du die wirklich suchst... Andreas Ne, bin froh dass ich den Teil so ans laufen bekommen habe, wollte auch die beiden IP-Bereiche lassen, ist für mich einfacher als mit Subnetzen zu arbeiten. (Bin ja eigentlich Chemiestundent, hab nur gerade Semesterferien und sah es als interessanten Versuch an mich mehr mit Debian und Netzwerken zu beschäftigen :) ) Nochmal danke! Grüße Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Broadcast zwischen zwei Netzen routen (VPN)
am 09.08.2005, um 9:43:00 +0200 mailte Michael Windelen folgendes: Das geht schon, wenn Du mit IP-Adressen arbeitest und/oder einen WINS nutzt. Wenn Du auf beiden Seiten des Tunnels relativ viele Wixdosen hast, so würden diese Dir mit deren rumgeplärre aka Broadcast die Leitung dicht machen - willst Du vermutlich eher nicht. Könnte mir denn einer sagen wie dafür ein route Befehl aussieht da bis jetzt alle Versuche meinerseits fehlgeschlagen sind sowas einzutragen. Broadcast endet am Router. Netz A hat einen Win2003 Server der als Domaincontroler eingerichtet ist, An Netz B versuche ich mich mit einem SAMBA-Server der bis jetzt als WINS fungierte. Wenn der WINS in beiden Netzen steht (2 Netzkarten) und beiden Netzen als WINS bekannt ist, sollte es gehen. Schau mal auf der SAMBA-Homepage, da gibt es einige Doku zum Thema WINS und Browsing. (Bin ja eigentlich Chemiestundent, hab nur gerade Semesterferien und sah es als interessanten Versuch an mich mehr mit Debian und Netzwerken zu beschäftigen :) ) Wie gesagt, broadcasting endet am Router. Ist erst mal so. Es gibt Mittel und Wege, das zu überwinden, habe ich aber keine praktischen Erfahrungen. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Broadcast zwischen zwei Netzen routen (VPN)
Broadcast endet am Router. Auch wenn es über ein VPN (incl. verschlüsselt) geht, oder ist meine Routingtabelle schon Router genug? Ginge sonst sowas wie route add -host 192.168.1.255 netmask 255.255.255.255 192.168.12.255 bzw. genau anders herum? Oder verholzwege ich mich da gerade total? Werde wohl gleich nochwas mehr über TCP/IP lesen müssen. Wenn der WINS in beiden Netzen steht (2 Netzkarten) und beiden Netzen als WINS bekannt ist, sollte es gehen. Schau mal auf der SAMBA-Homepage, da gibt es einige Doku zum Thema WINS und Browsing. Danke werde die direkt mal anschauen Wie gesagt, broadcasting endet am Router. Ist erst mal so. Es gibt Mittel und Wege, das zu überwinden, habe ich aber keine praktischen Erfahrungen. Trotzdem schonmal danke für die Infos. :) Andreas Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Broadcast zwischen zwei Netzen routen (VPN)
am 09.08.2005, um 10:22:58 +0200 mailte Michael Windelen folgendes: Broadcast endet am Router. Auch wenn es über ein VPN (incl. verschlüsselt) geht, oder ist meine Routingtabelle schon Router genug? Ja. Weil - der Router weiß ja, welche Netze wo sind. Ansonsten brauchst Du IMHO eine Bridge. Ginge sonst sowas wie route add -host 192.168.1.255 netmask 255.255.255.255 192.168.12.255 bzw. genau anders herum? Oder verholzwege ich mich da gerade total? IMHO ja. Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Broadcast zwischen zwei Netzen routen (VPN)
Hallo ich hatte da schonmal ne längere Diskussion mit nem Kumpel betreffs Cups browsing via Broadcasts bzw. dem Magicpaket für WakeOnLan. Diese Programme benutzen wohl alles diese Broadcasts - wie anscheinend auch windows/samba. Bridges und Hubs leiten die Broadcasts ja weiter. Der Router - der verschiedene Netzsegmente ineinander routet - ist dann halt ein Ende eines subnetzes - und der Broadcast endet dort im Subnetz. Beim cups konnte man anscheinend das Browsing via Broadcast doch hinbekommen, wenn man anstelle den Broadcast auf das netz 192.168.12.0/24, die Broadcastadresse direkt auf die IP des routers bzw. Ziels z.b. 192.168.12.2/32 . ob das aber stimmt ... weiß ich nicht. ansonsten bleibt nur die Variante mit den WINS - Denn die Variante, daß Interface zu bridgen, schickt ansonten sämtlichen Netzwerk Traffic über den VPN tunnel - was beide Netze sehr bremmsen wird. Oder du benutzt anstelle eines Netzwerktunnel bei allen clients (im kleineren Netz) einzeln einen vpn-tunnel zum Server des größeren Netzes. andere Lösungen weiß ich momentan auch nicht. gruß Rico Michael Windelen schrieb: Hallo, hab' mal wieder ein Problem. Nachdem ich es nun geschafft habe zwei Netze übers Internet per OpenVPN miteinander zu verbinden (ping funktioniert und ich kann zB. Webseiten des jeweils anderen Netzes aufrufen), habe ich nun festgestellt dass ich nicht die Dateifreigabe unter Windows nutzen kann, da das geliebte :/ Windows wohl anscheinend Broadcast braucht. :( Leider kapiere ich nicht so wirklich wie ich die Broadcastinformationen routen kann, bzw. wie ich die Route-konfiguration in die Config-Datei von OpenVPN rein bekomme. Infos: Beide Server sind Debian Sarge 2.6er Kernel. Netz A 192.168.12.0 (OpenVPN Client 10.12.1.2, 192.168.12.2 bzw. Gateway 192.168.12.1) Netz B 192.168.1.0 (OpenVPN Server 10.12.1.1, 192.168.1.2 bzw. Gateway 192.168.1.1) Würde mich sehr über Hilfe freuen da ich selbst mit Manpages und google leider nicht weiterkomme. Grüße und gute Nacht :) Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Broadcast zwischen zwei Netzen routen (VPN)
Hallo, hab' mal wieder ein Problem. Nachdem ich es nun geschafft habe zwei Netze übers Internet per OpenVPN miteinander zu verbinden (ping funktioniert und ich kann zB. Webseiten des jeweils anderen Netzes aufrufen), habe ich nun festgestellt dass ich nicht die Dateifreigabe unter Windows nutzen kann, da das geliebte :/ Windows wohl anscheinend Broadcast braucht. :( Leider kapiere ich nicht so wirklich wie ich die Broadcastinformationen routen kann, bzw. wie ich die Route-konfiguration in die Config-Datei von OpenVPN rein bekomme. Infos: Beide Server sind Debian Sarge 2.6er Kernel. Netz A 192.168.12.0 (OpenVPN Client 10.12.1.2, 192.168.12.2 bzw. Gateway 192.168.12.1) Netz B 192.168.1.0 (OpenVPN Server 10.12.1.1, 192.168.1.2 bzw. Gateway 192.168.1.1) Würde mich sehr über Hilfe freuen da ich selbst mit Manpages und google leider nicht weiterkomme. Grüße und gute Nacht :) Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Broadcast zwischen zwei Netzen routen (VPN)
am 09.08.2005, um 1:21:58 +0200 mailte Michael Windelen folgendes: jeweils anderen Netzes aufrufen), habe ich nun festgestellt dass ich nicht die Dateifreigabe unter Windows nutzen kann, da das geliebte :/ Windows wohl anscheinend Broadcast braucht. :( Leider kapiere ich nicht so wirklich Das geht schon, wenn Du mit IP-Adressen arbeitest und/oder einen WINS nutzt. Wenn Du auf beiden Seiten des Tunnels relativ viele Wixdosen hast, so würden diese Dir mit deren rumgeplärre aka Broadcast die Leitung dicht machen - willst Du vermutlich eher nicht. Ansonsten suchst Du eine Brigde. Aber, wie gesagt, ich glaube nicht, daß Du die wirklich suchst... Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Heynitz: 035242/47212, D1: 0160/7141639 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Verbindung zu einem Lancom Router
On Tue, Jul 05, 2005 at 11:17:51PM +0200, Frank Dietrich wrote: hat hier jemand einen VPN Router von Lancom im Einsatz und schon einmal einen VPN Zugang von einem sarge PC aus eingerichtet? Ich habe auch einen LANCOM-Router im Einsatz, der mehrere VPN-Verbindungen aufrechterhält. Allerdings zu anderen LANCOMs, und diese Verbindungen hat der Freund eingerichtet, der auf die Idee der Vernetzung kam. Ich würde auch gerne eine ebensolche Verbindung zu einer nicht-LANCOM-Gegenstelle aufbauen (Debian Sarge) und mich freuen, wenn Du mir Deine Erkenntnisse mitteilen würdest (hier oder gerne per Mail). Eine VPN Verbindung zwischen zwei Lancom-Routern einzurichten geht mittels Lancom Software sehr simple. Für Leute die mit Windows Na ja, soo simpel ist das IMHO auch wieder nicht. ciao, Dirk -- | Akkuschrauber Kaufberatung and AEG GSM stuff | | Visit my homepage: http://www.nutrimatic.ping.de/ | | FIDO: Dirk Salva 2:244/6305.10 Internet: dsalvaATgmx.de | |The Ruhrgebiet, best place to live in Germany! | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN Verbindung zu einem Lancom Router
Hallo an euch, hat hier jemand einen VPN Router von Lancom im Einsatz und schon einmal einen VPN Zugang von einem sarge PC aus eingerichtet? Eine VPN Verbindung zwischen zwei Lancom-Routern einzurichten geht mittels Lancom Software sehr simple. Für Leute die mit Windows unterwegs einen Zugang brauchen gibt es einen Software- Client mit dem eine VPN Verbindung eingerichtet werden kann. Nun möcht ich gern eine VPN Verbindung (mit IPSEC) von zuhaus ins Büro einrichten. Und könnt etwas Hilfe gebrauchen. Bin in Sachen debian und IPSEC absoluter Anfänger. Gibt es empfehlenswerte Seiten, die einem auch gleich noch Tipps geben wo ich nachschauen kann warum es nicht geht. Danke Frank -- 21 is only half the truth
Re: VPN Config für mehrere Rechner
Hallo Am Donnerstag, den 12.05.2005, 09:33 +0200 schrieb Goran Ristic: Hallo, Joel! ... (*) Ich halte es allerdings nicht für optimal. Jeder Client bekommt sein eigenes Cert, mit den entsprechenden Infos darin. Hat den Vorteil, dass einmal angemeldete Clients immer wieder die gleiche IP bekommen können. Erspart dynamic DNS. Denn wenn client-to-client aktiviert ist, will man ja nicht anhand der IP auf andere Clients zugreifen... Wie werde die Clients in der Config eingetregen? Bei ipsec kann ich dazu Files auslesen lassen. In der Doku zu Openvpn finde ich dazu kaum Hinweise wie mehrere Clients entsprechend eingebungen werden können. cu rene
Re: VPN Config für mehrere Rechner
Hallo Mailinglist, hat keiner mehr als einen Rechner als Roadwarrior am laufen und mag seine Erfahrungen preisgeben? Hallo Ulf Sorry laut der Docu und co z.B. wikipedia ist deine Aussage nicht richtig. -schnitt - Für den IT-Sicherheitsverantwortlichen ist der Dienst relativ einfach und sicher einzurichten, da lediglich ein TCP- oder UDP-Port pro Verbindung in der Firewall geöffnet werden muss. Die Verbindung kommt dann nur nach erfolgreichem Handshake zustande. In der aktuellen Version 2.0 (erschienen am 17. April 2005) ist es nun auch möglich über einen einzigen Port theoretisch unbegrenzt viele Clientverbindungen zuzulassen. -schnitt ende - Gruss Rene Am Dienstag, den 10.05.2005, 23:28 +0200 schrieb Ulf Volmer: On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de
Re: VPN Config für mehrere Rechner
On Wed, May 11, 2005 at 05:12:27PM +0200, [EMAIL PROTECTED] wrote: hat keiner mehr als einen Rechner als Roadwarrior am laufen und mag seine Erfahrungen preisgeben? Welche Erfahrungen? OpenVPN funktioniert und ist schnell und einfach konfiguriert. Aber das ist ja bereits erzählt worden. Wenn konkrete Fragen anstehen, wird dir sicher geholfen. In der aktuellen Version 2.0 (erschienen am 17. April 2005) ist es nun auch möglich über einen einzigen Port theoretisch unbegrenzt viele Clientverbindungen zuzulassen. Ich muß gestehen, daß ich den Schenk auf v2.0 gemacht habe, ohne mich hinreichend ins Changelog vertieft zu haben. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
On Wed, 11 May 2005 00:42:02 +0200 Ulf Volmer [EMAIL PROTECTED] wrote: On Tue, May 10, 2005 at 11:33:25PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: [OpenVPN] 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. ich dachte, es läuft alles über den selben Port, da openvpn 2.0 multi- Verbindungen-fähig ist. und man kann sich mit dem selben ssl-Key mehrmals anmelden. Joel
Re: VPN Config für mehrere Rechner
On Wed, May 11, 2005 at 09:03:10PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. ich dachte, es läuft alles über den selben Port, da openvpn 2.0 multi- Verbindungen-fähig ist. und man kann sich mit dem selben ssl-Key mehrmals anmelden. Ich bin da wohl nicht auf dem neusten Stand. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
VPN Config für mehrere Rechner
Hallo Debianers und Co, eine nicht Debian spezifische Frage die die Netzplanung für VPNs betrifft... Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? Danke und Gruss Rene -- [EMAIL PROTECTED] [EMAIL PROTECTED]
Re: VPN Config für mehrere Rechner
On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. cu ulf -- Ulf Volmer [EMAIL PROTECTED] +49-2271-837590 www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN Config für mehrere Rechner
On Tue, 10 May 2005 23:28:26 +0200 Ulf Volmer [EMAIL PROTECTED] wrote: On Tue, May 10, 2005 at 07:44:56PM +0200, [EMAIL PROTECTED] wrote: Ich suche nach verschiedenen Lösungsansätzen bei Openvpn zur Benutzung mehrerer Rechner. Einige Rechner sollen PKIs benutzen und andere eben Zertifikate. Bei den meisten Beispielen wird leider nur von einem Rechner ausgegangen. Wie könnte (sollte) der Übersicht halber das Konfigfile aufgebaut sein, wenn z.B. 15 VPN Verbindung verwaltet werden sollen? Gibt es dazu Erfahrungen oder Vorschläge? 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Joel
Re: VPN Config für mehrere Rechner
On Tue, May 10, 2005 at 11:33:25PM +0200, Joel HATSCH wrote: Ulf Volmer [EMAIL PROTECTED] wrote: [OpenVPN] 15 Verbindungen, 15 Configfiles, 15 tun/tap- Devices, 15 udp- Ports. Ansonsten sind keine Probleme zu erwarten. bin mir nicht sicher, ob das bei OpenVPN 2.0 immer noch gilt. Das ist imho Konzept- bedingt. Jede verschlüsselte Verbindung benötigt ein Device und einen Port. Mir sind bei v2.0 da keine Neuerungen bekannt. cu ulf -- Ulf Volmer [EMAIL PROTECTED] www.u-v.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)