OpenVPN / Racoon / ...

Ne0n

Ne0n

professional newbie
N'Abend zusammen...

Ich versuche seit einiger Zeit einen vernünftigen Ansatz für eine VPN Site to Site Verbindung zwischen FreeBSD und einer VPN-Firewall von Juniper/Cisco/Watchguard/... zu finden.
Alles was ich bis jetzt gefunden und versucht habe hat mich nur noch mehr verwirrt.

Was ich habe:
- FreeBSD 6.0 Relase als "DSL-Router"
- IPFW
- NATD

Ich habe verschiedenste Lösungen installiert und "dran herum gespielt" (Racoon2, OpenVPN, MPD, ...) - verstehe aber nicht wie und ob welche Programme zusammenarbeiten.

Mir fehlt einfach eine Übersicht... oder eine neuere Version des Kapitels "VPNs mit IPSec" aus dem Freebsd Handbuch - denn sowohl gifconfig als auch racoon sind seit Erstellung dieser Seiten wohl grob überarbeitet worden...

Falls mir da jemand einen Tipp in Form einer URL geben könnte würde mir das schon sehr helfen!

Gruß,
Ne0n
 
Hi!

Danke für deinen Hinweis.

"Leider" laufen noch andere Dienste und Jails auf dem Server (Apache, SpamAssassin,...).

Für den Fall das ich einmal einen Server installieren möchte der lediglich diesen Zweck erfüllt wäre das aber bestimmt eine gute Alternative!

Gruß,
Ne0n
 
Ne0n schrieb:
Was ich habe:
- FreeBSD 6.0 Relase als "DSL-Router"
- IPFW
- NATD

Ich habe verschiedenste Lösungen installiert und "dran herum gespielt" (Racoon2, OpenVPN, MPD, ...) - verstehe aber nicht wie und ob welche Programme zusammenarbeiten.
Zum Vergrößern anklicken....
Ich habe ein IPSEC-VPN von Zuhause zur Arbeit.

/etc/rc.conf:
# IPSEC
gif_interfaces="gif0"
gifconfig_gif0="meine.externe.ip.addresse externe.ip.adresse.zielhost"
ifconfig_gif0="inet meine.interne.ip.adresse interne.ip.adresse.zielhost netmask 0xffffffff"
ipsec_enable="YES" # Enable IPSEC
ipsec_file="/etc/ipsec.conf" # Policy rules for IPSEC
static_routes="ipsecfirma" # Static routes for IPSEC
route_ipsecfirma="-net mein.internes.netz.0/24 interne.ip.adresse.zielhost"
racoon_enable="YES"

/etc/ipsec.conf:
# Verkehr nach X muß verschlüsselt werden
spdadd mein.internes.netz.0/24 das.interne.zielnetz.0/24 any -P out \
ipsec esp/tunnel/meine.externe.ip.adresse-externe.ip.adresse.zielhost/require;
spdadd das.interne.zielnetz.0/24 mein.internes.netz.0/24 any -P in \
ipsec esp/tunnel/externe.ip.adresse.zielhost-meine.externe.ip.adresse/require;

Dann natürlich noch die ipsec-tools (racoon) mit geeigneter Konfiguration in /usr/local/etc/racoon/.

Bei den IPFW Regeln mußt du darauf achten, dass der Traffic, der durch den Tunnel soll, NICHT auf eine divert-Regel trifft, da sich IPSEC und NAT ja nicht sonderlich gut vertragen.

HTH & Ciao.
Markus Mann
];-)
 
Als einfachste loesung wird immernoch OpenVPN beschworen was ich auch sagen muss weil bei mir laeuft es mit ueber 20tunneln tadellos. IPSEC ist auch einfach hat aber seine nachteile die ich nich weiter erlaeutern will sonst wirds zu komplex. Es gibt auch noch die GRE option. Fuer OpenVPN brauchst du wirklich nich viel und du findest sehr viel einschlaegige leckteure bei google. fuer IPSEC nimmst du die ipsec-tools. Fuer mehrere Netze empfiehlt sich noch Quagga zu installen und sich mit BGP auseinander setzten.
Auf den folgenden links findest du verschiedene beispiele zu OpenVPN und du solltest dir ausmalen koennen wie was funzt und was du machen musst.

http://www.sigsegv.cx/FreeBSD-WIN2K-IPSEC-HOWTO.html

http://kerneltrap.org/node/5018

https://www.freebsd.uwaterloo.ca/twiki/bin/view/Freebsd/OpenVpnBridge

Hab auch noch ne option gefunden die sich Poptop nimmt kann aber keine erfahrung dazu mitteilen.
http://freebsd.de-q.net/index.php/VPN_mit_Poptop
 
Danke euch beiden für eure Antworten.

Nachdem ich nun eine weitere Weile gelesen und experimentiert habe würde ich gerne max93's Lösung verwenden. Mir scheint diese Lösung - rein subjektiv - diejenige zu dein die ich leichter durchschaue.
Allerdings habe ich beim recherchieren herausgefunden, dass die Funktionen von gifconfig im Release 6 im Befehl ifconfig implementiert sind. Und tatsächlich:

Code: 
FreeBSD6# gifconfig gif0 ...
gifconfig: Command not found.

Die Doku gibt sich dürftig. Weiss von euch jemand zufällig den entsprechenden Befehl?
"ifconfig gif0 tunnel ..." ?

Besten Dank,
Ne0n
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben