fader
Klaatu Verrata Nectu
Hallo Leute,
seit geraumer Zeit beschaeftigt mich die Frage, ob und, wenn ja, wie man mit FreeBSD einen L2TP Server aufsetzen kann, zu dem sich Windows Clients verbinden koennen.
Da bei der Geschichte eine gewisse babylonische Sprachverwirrung herrscht, mal etwas detaillierter:
Der MS Client:
Unter Windows gibt es einen dieser Assistenten, mit dem ich VPN Verbindungen (M$ nennt das irgendwie "Verbindung ins Firmennetz" oder so aehnlich) aufbauen kann. Dabei gibt es 2 Modi:
a) PPTP - seen that, been there, done that. D.h., das habe ich schon aufgesetzt. Ist also nicht interessant. Ausserdem hat es eine schwache Verschluesselung und ist damit unsicher. (Wenn sowas zufaellig jemand braucht, ich habe produktiv erprobte Konfigurationen fuer FreeBSD dazu da).
b)L2TP - Dabei handelt es sich um L2TP (layer 2 tunneling protocol) + einem IPSec zur Absicherung. Die beiden Dinge gehoeren zusammen. Und _diese_ Sache ist nun interessant. Weil naemlich der Client bei jedem Windows integriert ist und keine zusaetzliche Installation erfordert. Ich kann jedem Windowsnutzer am Telefon erklaeren, welche Knoepfe er da druecken muss, um im Handumdrehen eine VPN Verbindung zu konfigurieren.
Der Server - FreeBSD (oder irgendein anderes BSD, oder meinetwegen auch Linux, egal)
In den ports von FreeBSD gibt es L2TP Server (sl2tpd). Ich denke ich habe da bereits halbwegs verstanden, wie man die aufsetzt. Es gibt auch noch bei netgraph entsprechende l2tp nodes. Mein Hauptproblem war Anfangs, dass ich nicht kapiert habe, dass die Unix Leute bei L2TP auch immer _nur_ L2TP meinen (korrekt) und Microsoft zwar von L2TP schreibt - im Grunde aber L2TP *plus* IPSec meint (MS speak).
Mein Problem
Ich kann IPSec in allen Spielarten aufsetzen. Ich denke, ich kann auch so einen l2tp Server nach der Anleitung zum Laufen bekommen. Was ich nicht verstehe ist, wie die beiden zusammenspielen muessen, um so einen Server hinzubekommen, der diese MS Clients bedienen kann. Die Doku der L2TP Server beschraenkt sich immer auf l2tp. Da steht nie irgendwo ein Satz dazu, nach welchen Kriterien ich den Server konfigurieren muss.
Aktueller Forschungsstand:
ng_l2tp - da ist das Protokoll implementiert
sl2tpd - der Daemon verwaltet die Session - Gegenstueck zum ppp Daemon.
ipsec - isakmpd oder racoon + kame ipsec oder fast ipsec ... aber ich weiss, wie erwaehnt da eben nicht, wie das mit dem l2tp zusammen geht.
Deshalb meine Frage: hat irgendwer sowas schonmal aufgesetzt? Weiss irgendwer, wie exakt das Zusammenspiel zwischen l2tp und ipsec bei diesem MS Zeugs funktioniert?
Um zu verhindern, dass die Antworten in die falsche Richtung laufen: Es geht mir um die Sache. Da ich keinen konkreten Anwendungsfall im Auge habe, geht es mir nicht darum, irgendwie ein VPN zu konfigurieren. Ich kenne die gaengigen Loesungen dazu alle und betreibe mehrere davon. Ich will wirklich _nur_ wissen, ob und wie ich dieses konkrete Verfahren unter FreeBSD konfiguriert bekommen kann.
PS: Gerade google ich doch nochmal und was erblickt mein Auge da ... richtig: es gibt inzwischen eine Seite mit Doku zu genau meiner Frage. Prima. Ich such danach schon seit ca. 2000. -> http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
Falls irgendwer das so praktisch im Einsatz hat, waere ich aber trotzdem noch interessiert. Deshalb lass ich meinen obigen Beitrag mal so stehen.
seit geraumer Zeit beschaeftigt mich die Frage, ob und, wenn ja, wie man mit FreeBSD einen L2TP Server aufsetzen kann, zu dem sich Windows Clients verbinden koennen.
Da bei der Geschichte eine gewisse babylonische Sprachverwirrung herrscht, mal etwas detaillierter:
Der MS Client:
Unter Windows gibt es einen dieser Assistenten, mit dem ich VPN Verbindungen (M$ nennt das irgendwie "Verbindung ins Firmennetz" oder so aehnlich) aufbauen kann. Dabei gibt es 2 Modi:
a) PPTP - seen that, been there, done that. D.h., das habe ich schon aufgesetzt. Ist also nicht interessant. Ausserdem hat es eine schwache Verschluesselung und ist damit unsicher. (Wenn sowas zufaellig jemand braucht, ich habe produktiv erprobte Konfigurationen fuer FreeBSD dazu da).
b)L2TP - Dabei handelt es sich um L2TP (layer 2 tunneling protocol) + einem IPSec zur Absicherung. Die beiden Dinge gehoeren zusammen. Und _diese_ Sache ist nun interessant. Weil naemlich der Client bei jedem Windows integriert ist und keine zusaetzliche Installation erfordert. Ich kann jedem Windowsnutzer am Telefon erklaeren, welche Knoepfe er da druecken muss, um im Handumdrehen eine VPN Verbindung zu konfigurieren.
Der Server - FreeBSD (oder irgendein anderes BSD, oder meinetwegen auch Linux, egal)
In den ports von FreeBSD gibt es L2TP Server (sl2tpd). Ich denke ich habe da bereits halbwegs verstanden, wie man die aufsetzt. Es gibt auch noch bei netgraph entsprechende l2tp nodes. Mein Hauptproblem war Anfangs, dass ich nicht kapiert habe, dass die Unix Leute bei L2TP auch immer _nur_ L2TP meinen (korrekt) und Microsoft zwar von L2TP schreibt - im Grunde aber L2TP *plus* IPSec meint (MS speak).
Mein Problem
Ich kann IPSec in allen Spielarten aufsetzen. Ich denke, ich kann auch so einen l2tp Server nach der Anleitung zum Laufen bekommen. Was ich nicht verstehe ist, wie die beiden zusammenspielen muessen, um so einen Server hinzubekommen, der diese MS Clients bedienen kann. Die Doku der L2TP Server beschraenkt sich immer auf l2tp. Da steht nie irgendwo ein Satz dazu, nach welchen Kriterien ich den Server konfigurieren muss.
Aktueller Forschungsstand:
ng_l2tp - da ist das Protokoll implementiert
sl2tpd - der Daemon verwaltet die Session - Gegenstueck zum ppp Daemon.
ipsec - isakmpd oder racoon + kame ipsec oder fast ipsec ... aber ich weiss, wie erwaehnt da eben nicht, wie das mit dem l2tp zusammen geht.
Deshalb meine Frage: hat irgendwer sowas schonmal aufgesetzt? Weiss irgendwer, wie exakt das Zusammenspiel zwischen l2tp und ipsec bei diesem MS Zeugs funktioniert?
Um zu verhindern, dass die Antworten in die falsche Richtung laufen: Es geht mir um die Sache. Da ich keinen konkreten Anwendungsfall im Auge habe, geht es mir nicht darum, irgendwie ein VPN zu konfigurieren. Ich kenne die gaengigen Loesungen dazu alle und betreibe mehrere davon. Ich will wirklich _nur_ wissen, ob und wie ich dieses konkrete Verfahren unter FreeBSD konfiguriert bekommen kann.
PS: Gerade google ich doch nochmal und was erblickt mein Auge da ... richtig: es gibt inzwischen eine Seite mit Doku zu genau meiner Frage. Prima. Ich such danach schon seit ca. 2000. -> http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
Falls irgendwer das so praktisch im Einsatz hat, waere ich aber trotzdem noch interessiert. Deshalb lass ich meinen obigen Beitrag mal so stehen.
Zuletzt bearbeitet: