Site-to-End VPN mit M0n0wall möglich?

F

Florian88

Well-Known Member
Hallo,

ich bin mal wieder auf Euren Rat angewiesen, weil ich gerade mit VPN am experimentieren bin und mir nicht sicher bin, ob das was ich vorhabe überhaupt möglich ist.

Bisher benutze ich vpnc um mich via IPSec mit einem VPN-Concentrator zu verbinden.

Ich beabsichtige zukünftig die VPN-Verbindung zum Concentrator mit einer M0n0wall aufzubauen, sodass ich beliebige Clients sicher mit dem VPN-Netzwerk verbinden kann, ohne auf den clients VPN einrichten zu müssen.

Hätte eigentlich gedacht, dass das gar nicht so schwer ist, aber die Optionen die man auf der Monowall einstellen kann machen mich stutzig, denn sie unterscheiden sich komplett von denen die ich bisher bei vpnc konfiguriert habe (IPSec gateway, IPSec ID, IPSec secret, Xauth username).

Ich habe bisher fast keine praktischen Erfahrungen mit VPN. Deshalb habe ich mich mal etwas versucht ins Thema einzulesen. Wenn ich alles richtig verstanden habe, nennt man das was ich vorhabe Site-To-End VPN.
Habe mitlerweile die Vermutung, dass das gar nicht möglich ist mit der Monowall. Aber eigentlich ist das doch die trivialste Art und Weise VPN verschlüsselungen zu realisieren. Ich meine, auf meinem OpenBSD system genügen 4 Konfigurationsparameter, kann nicht glauben dass so eine einfache Sache nicht mit einer Monowall möglich ist.

Wäre Euch dankbar wenn ihr mir entweder sagt, dass es nicht möglich ist, dann kann ich aufhören zu experimentieren oder mir nen kleinen Tipp geben könnt wie ich meinen Plan verwirklichen kann.

Viele Grüße

Florian
 
Hallo Florian,

wenn ich Dich recht verstehe, dann willst Du doch gerade nicht, dass sich jeder Client einzeln per IPSec mit dem Netz auf der anderen Seite verständigen.

Du möchtest m0n0wall als router dazwischen setzen, damit die Clients das nicht selbst machen müssen. Verstehe ich das richtig?

Dann aber bist Du nicht im Site-to-End oder Site-to-Client scenario sondern im Site-to-Site scenario. Du willst ein (internes) Netzwerk mit einem anderen verbinden, so dass nur die Verbindung zwischen Deinem m0n0wall-Rechner und dem Konzentrator auf der anderen Seite verschlüsselt ist (schau Dir mal die Diagramme dazu hier an: http://searchenterprisewan.techtarget.com/generic/0,295582,sid200_gci1323513,00.html).

Genau das kannst Du mit dem Tunnel Mode erreichen, den m0n0wall beherrscht: http://doc.m0n0.ch/handbook/ipsec.html#id11631914.

Wie genau das bei m0n0wall konfiguriert werden muss, kann ich Dir allerdings nicht sagen, weil ich keine Erfahrung mit dieser Software habe.

Viel Erfolg,
SolarCatcher
 
Hallo SolarCatcher,

danke für deine Antwort.
Ja du hast mich richtig verstanden. Ich möchte eine VPN zwischen der Monowall und dem VPN Konzentrator, sodass ich von meinem LAN aus beliebige Clients via NAT ins VPN bringen kann, ohne dass die Clients irgendwas mit VPN am Hut haben.
Sorry für meine missverständliche Ausdrucksweise oben. Ich gebe zu, dass ich es etwas umständlich formuliert habe.

Ich habe mir die Diagramme angeschaut. Also bisher war es eine Client to Site verbindung, die ich entweder mit dem Cisco VPN-Client oder vpnc aufgebaut habe. Zukünftig wäre es dann eine Site to Site Verbindung.

Du hast recht, nach meinem jetzigen Kenntnisstand müsste dies durch PPTP realisierbar sein. Ich habe diese Funktionsweise beim Lesen der Doku missverstanden. Ich dachte, PPTP bedeutet VPN-Verbindungen werden von den Clients zum Server aufgebaut und die Monowall leitet die Pakete einfach nur weiter. Sorry, mein Fehler.

Ich habe jetzt versucht PPTP zu konfigurieren, allerdings fehlen mir dort Eingabemöglichkeiten, für die Optionen, die Ich bisher in vpnc eingegeben habe.
Folgende Daten habe ich von meinem Rechenzentrum:
IPSec gateway XXXXXXXXXXXXX
IPSec ID XXXXXXXXX
IPSec secret XXXXXXXXXXX
Xauth username XXXXXXX

Bei der Konfiguration habe ich unter PPTP den Gateway eingetragen und unter shared secrets mein bisheriges IPSec secret. Wo gebe ich meinen username und die IPSec ID ein?

Von meinem RZ wird die VPN Konfigurations folgendermaßen beschrieben:
Wir verwenden einen VPN Concentrator 3030 der Firma Cisco. Dieser arbeitet nach dem Protokoll IPsec, welches den Aufbau von sicheren Internetverbindungen beschreibt. Er verschlüsselt die Daten gemäß dem Standard 3DES (168 Bit) in Hardware. Mit dem Gruppenpasswort, einem sog. Preshared Key, den alle Benutzer gemeinsam haben, wird der Zugang zum VPN-Server überprüft. Er ist verschlüsselt in der Konfigurationsdatei abgelegt. Die Anmeldung erfolgt dann wie gewohnt durch Angabe einer Radius-Kennung.
Sie bekommen eine Adresse aus den Bereich XXX.XXX.17.1-253 bzw XXX.XXX.18.1-253 (die IP-Pools können sich ändern). Das VPN Gateway hat die Adresse XXX.XXX.19.7.
Zum Vergrößern anklicken....

Also normalerweise kann ich die meine Probleme durch lesen von Doku lösen, aber im Moment bin ich mir nicht sicher ob ich die Doku richtig verstehe. Im Monowall Handbuch ist im PPTP Kapitel beschrieben wie ich den Client konfigurieren muss. Gerade dass will ich ja nicht. Ich möchte einen beliebigen Client einstöpseln, per dhcp ne adresse holen und im vpn netz sein. Bin immer noch nicht sicher ob das mit PPTP möglich ist.

Helft mir bitte auf die Sprünge.
Danke
 
Hallo Florian,

meine Erfahrugen mit IPSec beschränken sich auf OpenBSD, daher kann ich Dir zur konkreten Konfiguration von m0n0wall leider nichts sagen.

Allerdings musst Du aufpassen, dass Du die Konzepte/Begriffe nicht durcheinander bringst - sonst wird es für Dich schwer, die passende Doku zufinden bzw. anderen zu erklären, was Du machen willst: Wenn Du IPSec nutzt, nutzt Du nicht PPTP (Point-to-Point-Tunnel-Protocol). Wenn Du also irgendetwas mit PPTP konfigurierst, machst Du definitiv etwas falsch, denn bei den Angaben, die Du vom Rechenzentrum erhalten hast, geht es nur um ein IPSec VPN.

Vielleicht hilft das ja schon weiter?

SolarCatcher
 
m0n0wall unterstützt zwar prinzipell, was du machen möchtest, allerdings braucht du dafür wohl die Möglichkeit, auf der Gegenseite Einstellungen zu machen, sonst wirds wohl nichts.

Speziell XAUTH wird im Moment noch nicht von m0n0wall unterstützt, s. http://doc.m0n0.ch/handbook/ipsec.html#id11631352.

XAUTH ist eigentlich auch speziell für VPN Clients gedacht, und wird von diesem abgefragt.

Wenn du beide Seiten konfigurieren kannst, dann lässt sich so ein Site-to-Site VPN am besten mit Zertifikaten einrichten und verschlüsseln.
 
Danke für die Tipps.
Ihr habt mir beide weitergeholfen.
Das Thema Monowall habe ich jetzt erst mal abgehakt. War sowieso nur als Zwischenlösung geplant.

Aber um nochmal auf mein Problem zurück zu kommen:
Prinzipiell will ich ja eine VPN-Lösung die eigentlich für Client to Site ausgelegt ist in eine Site to Site umbiegen, ohne dass ich die Konfiguration des VPN Konzentrators auf der anderen Seite beeinflussen kann.

Ich kann mich problemlos mit meinem Laptop mit OpenBSD und vpnc verbinden. Wenn ich auf dem Alixboard OpenBSD genauso konfiguriere und noch NAT einrichte müsste sich das Ganze doch ohne besondere Schwierigkeiten einrichten lassen???
Was meint ihr dazu?

Gibt es irgendwelche besonderen Probleme die dabei auf mich zu kommen könnten? Mit OpenBSD und NAT bin ich vertraut, nur in Kombination mit VPN habe ich das noch nie gemacht.
 
Ich denke der Hauptunterschied wird sein, dass Du IPSec dann im Tunnel-Mode zwischen Deinem Gatway und dem VPN-Konzentrator laufen lassen wirst, während Du es vorher im Transport-Mode verwendet haben dürftest.

Das sollte für NAT dann gar keinen Unterschied machen, weil ja erst danach die Verbindung zum Konzentrator encrypted wird (bitte korrigiere mich einer, falls ich hier einen Denkfehler begehe).

Gruß
SolarCatcher
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben