Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

VPN mit ipsec, es hakt bereits am Anfang

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Cheffe123
Newbie
Newbie
Beiträge: 17
Registriert: 2. Mai 2005, 19:19

VPN mit ipsec, es hakt bereits am Anfang

Beitrag von Cheffe123 »

Hallo zusammen,

Ich möchte gern ein VPN mit einem Bekannten aufbauen, jedoch finde ich die ipsec.conf nicht. Ich nutze Fedora C4 und das ipsec-Paket ist installiert, aber weder webmin noch ich finden das .conf-File kann mir das mal jemand erläutern?

Danke

PS: wenn jemand eine bessere oder schnellere Lösung für ein VPN hat, dann bin ich dafür natürlich offen!
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4327
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

OpenVPN - wesentlich leichter zu konfigurieren und sehr gut dokumentiert - allerdings english
Cheffe123
Newbie
Newbie
Beiträge: 17
Registriert: 2. Mai 2005, 19:19

Beitrag von Cheffe123 »

So, nun läuft mein VPN mit Openvpn und ich bin nen Schrtt weiter.. .

Hier erstmal die Konfiguration:

Rechner A: Ist ein Server meines Bekannten (Adressraum des Netzes: 192.168.1.11 - 40)

tun0 hat 192.168.2.1
eth1 (Netzwerkinterne Karte): 192.168.1.1

Rechner B: Ist mein Server (Adressraum des Netzes: 192.168.1.41 - 80)

tun0 hat 192.168.2.5
eth1 (Netzwerkinterne Karte): 192.168.1.5


Ein ping 192.168.2.1 von Rechner B zu rechner A ist erfolgreich (und umgekehrt, aber ein ping 192.168.1.22 z.B. geht nicht.

Woran liegt das?

Danke
Benutzeravatar
Frankie777
Advanced Hacker
Advanced Hacker
Beiträge: 916
Registriert: 30. Apr 2005, 23:22

Beitrag von Frankie777 »

Prüf mal die Routen.

Der Rechner muß natürlich wissen, daß es an IP 192.168.1.22 das gateway device tun0 benutzen muß.

In den OpenVPN configs kann man auch beim Verbindungsaufbau die routen einrichten lassen

Ebenso ob evt. eine Firewall blockt.
Cheffe123
Newbie
Newbie
Beiträge: 17
Registriert: 2. Mai 2005, 19:19

Beitrag von Cheffe123 »

naja, an den routen muss es wohl liegen fällt mir gerade auf, den ein ping -I tun0 192.168.1.22 klappt. Wie sage ich der Kiste jetzt, dass sie für alle Adressen von 192.168.1.11 - 40 das tun0 nehmen soll?

Danke

PS: Ich habe in meinem Leben noch nie eine route angelegt *schäm*
Benutzeravatar
Frankie777
Advanced Hacker
Advanced Hacker
Beiträge: 916
Registriert: 30. Apr 2005, 23:22

Beitrag von Frankie777 »

z.B.
route add -net 192.168.1.0 netmask 255.255.255.0 dev ppp0

schickt Pakete für .0 bis .255 durch die Schnittstelle ppp0.

Durch Änderung der Netzmaske kannst Du den IP Adressraum noch weiter verkleinern.
Cheffe123
Newbie
Newbie
Beiträge: 17
Registriert: 2. Mai 2005, 19:19

Beitrag von Cheffe123 »

Danke, das hat schonmal geklappt, aber wenn ich jetzt mit einem angeschlossenen Windows-PC einen Ping mache, dann klappt das nicht... . (Also von einem Netz in das andere)
Warum geht das nicht?

DANKE
Benutzeravatar
maxpowers
Member
Member
Beiträge: 71
Registriert: 20. Apr 2004, 12:32
Wohnort: Xanten

Beitrag von maxpowers »

Warum nehmt ihr auf beiden Seiten des Tunnels also Seite A und B das selbe interne Klasse C Netz (192.168.1.0/24)?
Ich hoffe ihr habt gesubnettet und auf die Maske bin ich ehrlich gespannt :)

Besser ist in dem Fall, dem einen Standort z.B. B als internes Netz 192.168.3.0/24 zu geben und dann auf den Gateways die entsprechenden Routen zu erstellen.
Auf jedem internen Client dann einfach den Standardgateway auf die VPN Router setzen und gut :)

EDIT: Ich kann nich verstehen warum Ihr nicht den Kernel integrierten IPSec Support benutzt ab dem 2.6er Kernel ist es relativ einfach einen Tunnel über IPSec im Tunnelmodus zwischen 2 Endpunkten zu realisieren...
carpe - diem
Benutzeravatar
Frankie777
Advanced Hacker
Advanced Hacker
Beiträge: 916
Registriert: 30. Apr 2005, 23:22

Beitrag von Frankie777 »

@Chefre123

Ping von wo nach wo?
Firewalls so konfiguriert, daß Pings funktionieren können?

Insbesondere bei XP Eingehende Echoanforderungen beantworten eingeschaltet.

Was sagt traceroute IPziel

@maxpowers
Er hat doch zwei verschiedene SubNets (steht weiter unten)

Bei IPSec gibt es viele Fragezeichen?
wird NAT unterstützt, Win-Implemetierung, etc.

OpenVPN funktioniert mit Unix und Win und hat viele Features...
Benutzeravatar
framp
Moderator
Moderator
Beiträge: 4327
Registriert: 6. Jun 2004, 20:57
Wohnort: bei Stuttgart
Kontaktdaten:

Beitrag von framp »

Maxpowers hat Recht. Wenn man zwei Netze per VLAN verbinden will muessen diese zwei verschiedene Subnetzadressen haben. Ansonsten kann man nicht beim Routing unterscheiden ob sich der Partner im eigenen lokalen oder remoten Netz befindet. Diese ist eine Voraussetzung, die bei jedem VLAN erfuellt sein muss.

D.h. der eine muss z.B. 192.168.100.0/24 benutzen und der andere 192.168.200.0/24. Die momentane Konfig geht. u.U. auch mit einer entsprechend geschickten Subnetzmaske. Ich persoenlich bevorzuge aber eifache Masken, die auf Bytegrenzen liegen, also /24, Danach muss bei jedem die Route fuer das andere Netz so gesetzt werden, dass das VPN benutzt wird. Ander kommen die beiden Netze nie zusammen. :roll:

Desweiteren muss man auf die FW Rules aufpassen. tun0/tun1 muessen entsprechend fuer das gesamte Subnetz freigegeben sein. Auch auf den udp Port 1194 achten.

Edit: Habe mir mal spasseshalber angesehn, wie man die beiden Netze mit einer entsprechend gewaehlten Netzmaske trotzdem zusammenbekommt:

Netz A: 192.168.1.0/26 -> 192.168.1.0-192.168.1.31
Netz B: 192.168.1.0/26 -> 192.168.1.32-192.168.1.63

oder

Netz A: 192.168.1.0/25 -> 192.168.1.0-192.168.1.63
Netz B: 192.168.1.0/25 -> 192.168.1.64-192.168.1.127
Antworten