• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

VPN mit ipsec, es hakt bereits am Anfang

C

Cheffe123

Newbie
Hallo zusammen,

Ich möchte gern ein VPN mit einem Bekannten aufbauen, jedoch finde ich die ipsec.conf nicht. Ich nutze Fedora C4 und das ipsec-Paket ist installiert, aber weder webmin noch ich finden das .conf-File kann mir das mal jemand erläutern?

Danke

PS: wenn jemand eine bessere oder schnellere Lösung für ein VPN hat, dann bin ich dafür natürlich offen!
 
OP
C

Cheffe123

Newbie
So, nun läuft mein VPN mit Openvpn und ich bin nen Schrtt weiter.. .

Hier erstmal die Konfiguration:

Rechner A: Ist ein Server meines Bekannten (Adressraum des Netzes: 192.168.1.11 - 40)

tun0 hat 192.168.2.1
eth1 (Netzwerkinterne Karte): 192.168.1.1

Rechner B: Ist mein Server (Adressraum des Netzes: 192.168.1.41 - 80)

tun0 hat 192.168.2.5
eth1 (Netzwerkinterne Karte): 192.168.1.5


Ein ping 192.168.2.1 von Rechner B zu rechner A ist erfolgreich (und umgekehrt, aber ein ping 192.168.1.22 z.B. geht nicht.

Woran liegt das?

Danke
 
Frankie777

Frankie777

Advanced Hacker
Prüf mal die Routen.

Der Rechner muß natürlich wissen, daß es an IP 192.168.1.22 das gateway device tun0 benutzen muß.

In den OpenVPN configs kann man auch beim Verbindungsaufbau die routen einrichten lassen

Ebenso ob evt. eine Firewall blockt.
 
OP
C

Cheffe123

Newbie
naja, an den routen muss es wohl liegen fällt mir gerade auf, den ein ping -I tun0 192.168.1.22 klappt. Wie sage ich der Kiste jetzt, dass sie für alle Adressen von 192.168.1.11 - 40 das tun0 nehmen soll?

Danke

PS: Ich habe in meinem Leben noch nie eine route angelegt *schäm*
 
Frankie777

Frankie777

Advanced Hacker
z.B.
route add -net 192.168.1.0 netmask 255.255.255.0 dev ppp0

schickt Pakete für .0 bis .255 durch die Schnittstelle ppp0.

Durch Änderung der Netzmaske kannst Du den IP Adressraum noch weiter verkleinern.
 
OP
C

Cheffe123

Newbie
Danke, das hat schonmal geklappt, aber wenn ich jetzt mit einem angeschlossenen Windows-PC einen Ping mache, dann klappt das nicht... . (Also von einem Netz in das andere)
Warum geht das nicht?

DANKE
 
M

maxpowers

Member
Warum nehmt ihr auf beiden Seiten des Tunnels also Seite A und B das selbe interne Klasse C Netz (192.168.1.0/24)?
Ich hoffe ihr habt gesubnettet und auf die Maske bin ich ehrlich gespannt :)

Besser ist in dem Fall, dem einen Standort z.B. B als internes Netz 192.168.3.0/24 zu geben und dann auf den Gateways die entsprechenden Routen zu erstellen.
Auf jedem internen Client dann einfach den Standardgateway auf die VPN Router setzen und gut :)

EDIT: Ich kann nich verstehen warum Ihr nicht den Kernel integrierten IPSec Support benutzt ab dem 2.6er Kernel ist es relativ einfach einen Tunnel über IPSec im Tunnelmodus zwischen 2 Endpunkten zu realisieren...
 
Frankie777

Frankie777

Advanced Hacker
@Chefre123

Ping von wo nach wo?
Firewalls so konfiguriert, daß Pings funktionieren können?

Insbesondere bei XP Eingehende Echoanforderungen beantworten eingeschaltet.

Was sagt traceroute IPziel

@maxpowers
Er hat doch zwei verschiedene SubNets (steht weiter unten)

Bei IPSec gibt es viele Fragezeichen?
wird NAT unterstützt, Win-Implemetierung, etc.

OpenVPN funktioniert mit Unix und Win und hat viele Features...
 
framp

framp

Moderator
Teammitglied
Maxpowers hat Recht. Wenn man zwei Netze per VLAN verbinden will muessen diese zwei verschiedene Subnetzadressen haben. Ansonsten kann man nicht beim Routing unterscheiden ob sich der Partner im eigenen lokalen oder remoten Netz befindet. Diese ist eine Voraussetzung, die bei jedem VLAN erfuellt sein muss.

D.h. der eine muss z.B. 192.168.100.0/24 benutzen und der andere 192.168.200.0/24. Die momentane Konfig geht. u.U. auch mit einer entsprechend geschickten Subnetzmaske. Ich persoenlich bevorzuge aber eifache Masken, die auf Bytegrenzen liegen, also /24, Danach muss bei jedem die Route fuer das andere Netz so gesetzt werden, dass das VPN benutzt wird. Ander kommen die beiden Netze nie zusammen. :roll:

Desweiteren muss man auf die FW Rules aufpassen. tun0/tun1 muessen entsprechend fuer das gesamte Subnetz freigegeben sein. Auch auf den udp Port 1194 achten.

Edit: Habe mir mal spasseshalber angesehn, wie man die beiden Netze mit einer entsprechend gewaehlten Netzmaske trotzdem zusammenbekommt:

Netz A: 192.168.1.0/26 -> 192.168.1.0-192.168.1.31
Netz B: 192.168.1.0/26 -> 192.168.1.32-192.168.1.63

oder

Netz A: 192.168.1.0/25 -> 192.168.1.0-192.168.1.63
Netz B: 192.168.1.0/25 -> 192.168.1.64-192.168.1.127
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben