FreeBSD als VPN Server

C

CRAZyBUg

Der Mann vom Mond
Hi, ich plane mein Fbsd als VPN Server einzurichten, um damit von überall sicher auf die Daten meiner anderen Rechner zugreifen zu können. Welche Programme brauch ich dazu bzw. liefern die ports von fbsd das direkt mit ?

Meine suche hier im forum war leider erfolglos, da die frage vpn diesbezüglich nochnicht kam. Zudem sind meine Englisch kenntnisse nicht soooo gut um den zusammenhang zum mpd zu verstehen (was auch immer das ist...).

Es wäre schön wenn jemand eine Website mit der Erklärung eines VPN-Server Aufbaus kennt.
 
hallo crazybug,

nutze persöhnlich freebsd+mpd! ist total einfach einzurichten; habe selber einfach nach freebsd mpd vpn example gegooglet und diverse beispielconfs gefunden.

Da mpd eigentlich nur mit dem netgraph modules des kernels arbeitet, haben die sich auch etwas mit der man-page zurückgehalten.

installation über ports und konfiguration liegt unter /usr/local/etc/mpd/

mpd.conf
default:
load vpn_0

vpn_standard:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 80 180
set ipcp yes vjcomp
set ipcp dns 192.168.168.2 # DNS Server der dem Client übermittelt werden soll
set ipcp nbns 192.168.168.1 # WINS Server der ....
set bundle enable crypt-reqd
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40 # die verschiedenen
set ccp yes mpp-e128 # verschlüsselungs
set ccp yes mpp-stateless # arten
set link mtu 1460

vpn_0:
new -i ng0 vpn_0 vpn_0 # neues device erstellen
set ipcp ranges 192.168.170.2/32 192.168.170.100/24 # IP Adresse des Servers (ich) IP Adressbereich der Clients
load vpn_standard # standard werte von oben laden
Zum Vergrößern anklicken....

gebe zu, dass sieht alles ziemlich umständlich aus!
mit vpn_standard definiere ich erstmal alle std. Eigenschaften, die für alle VPN Schnittstellen gelten sollen!
vpn_0 wäre hier die einzig definierte VPN Schnittstelle, mit einem Adressebereich von 192.168.170.0-254 für die Clients und 192.168.170.2 für mich(server)! ob es da überschneidungen geben kann (server .2 und client .2) kann ich nicht sagen, da ich jedem nutzer ne eindeutige ip zuordne!

Die Benutzer muss du dann extra noch in der mpd.secret eintragen.
Format ist aehnlich wie beim Linux PPP:
<user> <pass> [<ip>]
also zB:
ich geheim 192.168.170.5

würde bedeuten benutzer ich mit passwort geheim würde nach anmeldung die ip .5 bekommen.
Achso Benutzer müssen nicht unter unix existieren!


Ich hoffe das hilft dir erstmal als Einstieg; wenne noch fragen haben solltest meld' dich ...
 
Original geschrieben von CRAZyBUg
Welche Programme brauch ich dazu bzw. liefern die ports von fbsd das direkt mit ?
Zum Vergrößern anklicken....

vpnd 1.1.0 und openvpn 1.5.0 z. B., beide zu finden in /usr/ports/security. Kapitel 10.10 im FreeBSD-Handbuch gibt auch ein paar Basisinformationen als ersten Einstieg in die Thematik.
 
Zuletzt bearbeitet:
Wow, vielen Dank für die schnellen antworten, werde mich dransetzen sobald gnome2 fertig compiled ist *hust* läuft schon seit 32h *grins*


Vielen Dank.
 
hallo CRAZyBUg,
hast du dein vpn laufen ? ich moechter auf einem freebsd 4.9
mit fester ip einen vpn server laufen lassen, und mit einem
windows clienten ueber das internet eine verbindung zum netz
hinter dem freebsd aufbauen, das klassische beispiel fuer die dialin
verbindung im urlaub :) hast du inzwischen deine von loesung
laufen ? habe nach ein wenigg googeln keine BSD/server/statisch
Windows/client/dynamisch loesung gefunden.

gruss stefan
 
Hi da!

Was ich im prinzip noch interessanter fände ist ein setup für Ipsec mit dynamischen Aderessen! Ich benutze hier Openvpn was ganz gut ist.....

Ich hab gelesen das es wohl Setupds für IPSec mit 2,3 Dynamischen Adressen auf beiden seiten gibt! Die passen scripte haben die Leute leider nicht rausgerückt!
Hat einer von euch das oder weiss wie und ist bereit uns "Dämlichen" anderen in den Besitz dieses Wissens zu bringen?

cu
 
Ich habe auch schon mal nach ein Lösung für dynamische IPs mit IPSec gesucht. Das ist nun mal die einzig wirklich gute Lösung. Aber da wird es echt dünn. Ich weiss, dass es geht und hatte auch ein paar Bsp. (alle schlecht). Wir können hier ja mal nen gemeinschaftlichen Versuch starten das für dynamische IPs zu machen. Da wär ich auf JEDEN Fall sehr interessiert dran!

Gruß, incmc
 
Original geschrieben von incmc
Ich habe auch schon mal nach ein Lösung für dynamische IPs mit IPSec gesucht. Das ist nun mal die einzig wirklich gute Lösung. Aber da wird es echt dünn. Ich weiss, dass es geht und hatte auch ein paar Bsp. (alle schlecht). Wir können hier ja mal nen gemeinschaftlichen Versuch starten das für dynamische IPs zu machen. Da wär ich auf JEDEN Fall sehr interessiert dran!

Gruß, incmc
Zum Vergrößern anklicken....

neee also ich find, ipsec ist nicht unbedingt die einzig gute loesung. openvpn funktioniert auch ganz gut.
also wir haben bei uns isakmpd/ssh sentinel und openvpn am laufen. und ich muss irgendwie sagen, dass die openvpn sache wesentlich einfacher zum laufen zu bringen war (was fuer mich bedeutet, simpler == einfacher zu verstehen == weniger fehler von admin == "sicherer").
und in umgebungen wo man ipsec benutzen MUSS, hat man in der regel ja auch statische IP's ;)

just my 0.02
 
@kith

OK, in solchen Bereichen hat man sicher auf feste IPs. Openvpn hab ich mir auch mal angeguckt und war echt interessiert. Nur all diese Alternativen sind halt nicht so erprobt wie ipsec und könnten daher aufgrund des jungen Alters (wie openvpn) noch Fehler enthalten.
Mpd verwendet glaube ich PPTP von MS oder irre ich mich da jetzt total? Das hat ja nun wirklich Lücken. OK, für privat alles nicht so schlimm... ich weiss z.B jetzt auch gerade nicht wie stark die Verschlüsselungen von openvpn gegenüber IPsec ist.

Klär mich mal einer auf :-) ist schon ne Weile her...

Gruß, incmc
 
@incmc
also vpn ansich ist generell eine _relativ_ junge technologie (finde ich).

ipsec ist ein protokoll und laesst sich imho irgendwie nicht mit openvpn, das ja eine software ist, vergleichen (btw. die ipsec rfc's sollen so undeutlich formuliert sein, dass es inplementationen verschiedener hersteller geben soll, die inkompatibel zueinander sind... soviel zu "ipsec ist erprobt").
wenn man nun openvpn mit isakmpd/racoon/freeswan/bla vergleicht, schneidet es moeglicherweise gar nicht sooo schlecht ab.
mpd kenn ich leider (zum glueck?) nicht...
grundsaetzlich ist die verschluesslungsstaerke bei ipsec wie auch openvpn so hoch wie deine schluessel lang sind ;).

also eigentlich will ich ja mit diesem ganzen "blablaichbinsoklug"-text nur sagen, dass man evt. mit simpler software echt besser dran ist als mit hyperkrasskomplextoll-software.

5:20... ich geh ins bett
 
hi,

also ich habe einen freebsd router mit mpd und pf.
Wie soll ich denn nun vorgehen um einen vpn server aufzubauen?

Im Internet gibt es zahlreiche Configs aber keine behandelt irgendwie den Fall, dass der Router sich noch einwaehlt per mpd.

MFG

CAT
 
cat1510 schrieb:
Im Internet gibt es zahlreiche Configs aber keine behandelt irgendwie den Fall, dass der Router sich noch einwaehlt per mpd.
Zum Vergrößern anklicken....
Das macht ja auch nix. Deshalb sollte sich die Konfiguration auch nicht sonderlich unterscheiden. Oder meinst du mit "einwählen" gleichzeitig auch eine dynamische IP? Das verträgt sich mit IPSEC nicht so gut, dann solltest du gezielt nach OpenVPN-Anleitungen suchen.

Ansonsten wäre es interessant zu wissen, wie weit dich http://wiki.bsdforen.de/index.php/IPSEC-VPN bringt.

Ciao.
Markus Mann
];-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben