VPN howto

PatrickBaer

Well-Known Member
Servus,

ich suche sowas wie ein Quick & Dirty Tutorial zum Thema "Windows Client und OpenBSD Firewall"

Wer kennt was?
 
Also googeln kann ich wohl, aber vielleicht hat ja jemand ein Tutorial parat das gut ist und ich nicht erst zwischen hundert anderen rausfischen muss?
 
Hm ja, wird spannend werden. OpenVPN lacht mich aktuell am meisten an.

Wie siehts denn in Sachen Sicherheit aus? So ne nackige Firewall hinzustellen und sich dann mit einer schlechten Software alles verhunzen is a ned toll!
 
Was genau meinst du mit Sicherheit?
OpenVPN ist - um's mal einfach zu sagen - wirklich privat weder ausspähbar noch anfällig für Eindringlinge. Die virtuellen Interfaces sind mit einem Paketfilter sehr gut absicherbar und OpenVPN wird sehr häufig und für die verschiedensten Zwecke verwendet. Du findest also Support und bist nicht der Erste, der das Setup hat/testet.

Es gibt aber auch viele schlankere, schneller konfigurierbare VPNs, die in diversen Situationen vielleicht sinnvoller sind. Tinc ist zum Beispiel ein Protokoll, das auch abseits von Freifunk Verwendung findet und auch von n2n weiß ich, dass es produktiv in Verwendung ist. Durch Projekte, wie OpenWRT und andere Routerplatformen haben sich um die kleineren Projekte aktive Entwicklercommunites gebildet, die immer wieder neue Konzepte für P2P-Alternativen zu OpenVPN und Co schaffen. Bei diesen Projekten ist der Einstieg bzw. die Konfiguration meines Erachtens etwas einfacher.

Es lohnt sich auch mal etwas anderes, als OpenVPN und IPsec/swan zu probieren.
 
Naja, lass es mich mal so ausdrücken:

Ich hab ein Netzwerk, daß ich so gut es geht schützen muß (hab eh schon Probleme, das Ersetzen einer Watchguard durch OpenBSD und pf zu rechtfertigen).

Und jetzt soll eben ein VPN her, um eine Handvoll User mit Windows und OSX Clients von zuhause aus arbeiten zu lassen. Das wichtigste ist also erstmal Sicherheit und danach gleich Benutzerfreundlichkeit.
 
Würd ein ovpn Gateway einrichten und dann per nat oder nur ipforwarding das ganze ins Netz lassen. Natürlich noch ne pf dazwischen.
Jedem User dann noch ein eigenes crt+key (mit sicherer passphrase versteht sich).
Könntest auch noch portknocking einrichten, um den ovpn daemon noch bissl mehr abzuschirmen. (Nur frage mich nicht, wie man das einrichtet. ^^)

Kannst ja mal deine Frage ins openvpn Forum (Link oben) posten. Die sind da glaub kompetenter als meine Wenigkeit. ;)
 
Mit dem Windows-eigenen IPSec habe ich mir die Zähne ausgebissen...

Spendiere den Heimarbeitern eine Fritzbox z.B. 7170 die kann IPSec mit OpenBSD. ;)
http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?portal=VPN
man isakpmd.conf (5)
Machen und gut -- meine Konfiguration.

Wenn Du einen VPN-Client suchst, kann ich Dir http://www.thegreenbow.de/ ans Herz legen.
Basiert auf OpenBSD-Code. :) Du kannst Dir eine Konfiguration damit erstellen und Sie auf Deine OpenBSD-Kiste übertragen und ein bisschen anpassen.

Neuerdings ist ipsec.conf(5) eine Konfigurationshilfe bzw. Alternative für die isakmpd.conf(5).
 
Hmmmm, hört sich alles ganz lustig an.

Aber wie mach ich es mit Leuten die sowohl von hier als auch von zuhause aus arbeiten? IPSEC routet ja alles und immer durch den Tunnel, oder verstehe ich da jetzt was falsch?
 
Also ich würde als Faustregel sagen: ipsec für Standort-Standort-Kopplung und OpenVPN für mobile Clients. Ipsec hat p.E. den Nachteil, daß es nicht über einen http/s-Proxy funktioniert. Außerdem läßt sich das Routing via OpenVPN viel viel einfacher machen. OpenVPN bietet obendrein noch den Vorteil, daß Du auch Authentifizierung nicht nur über Zertifikate machen kannst, sondern zum Beispiel auch gegen einen LDAP (p.E. ADS). Und unterm Strich ist die config bei OpenVPN auch recht einfach. Ahso, und ned vergessen: einen OpenVPN-Client gibt es mittlerweile für ziemlich viele Betriebssysteme - selbst für Windoof Mobile.
 
bei IPSEC besteht eine vorher definierte Vereinbarung, welche Netze geroutet werden sollen. Wenn also dein VPN-Client einen Tunnel hat, welcher in das Netz 192.168.42.0/23 führt,...... dann wird dein Client den Tunnel auch benutzen wenn er Ziele in 192.168.42.0/23 z.B. anpingen möchte.
Es ist also vor allem eine Frage als welche IP diverse URLs aufgelöst werden.
Clever ist es, wenn der VPN Client so eingestellt werden kann, dass er bei Verbindungsaufbau einen bestimmten DNS Server setzt.


Hmmmm, hört sich alles ganz lustig an.

Aber wie mach ich es mit Leuten die sowohl von hier als auch von zuhause aus arbeiten? IPSEC routet ja alles und immer durch den Tunnel, oder verstehe ich da jetzt was falsch?
 
Zurück
Oben