FAQ/VPN

Aus IpcopWiki

< FAQ
Wechseln zu: Navigation, Suche

Der Inhalt dieser Seite ist veraltet! Bitte helfen Sie mit, den Inhalt zu erneuern und entfernen Sie dann diesen Baustein. Der Grund für den Baustein finden Sie auf der Diskussionsseite.

Inhaltsverzeichnis


Was ist ein VPN?

Ein VPN ist ein Virtuelles Privates Netzwerk.

Es ist eine Möglichkeit, Computern die nicht physikalisch direkt mit demselben Netzwerk verbunden sind, vorzugaukeln, daß sie es wären. Die Grundidee ist, daß Sie zwei sehr weit voneinander entfernte IPCops haben, die jedoch wie ein Netzwerk verbunden sein sollen.

Der Datenverkehr über ein VPN wird komplett verschlüsselt, daher ist es sehr sicher.

Eine sehr gute VPN-Dokumentation findet man hier: IPCopVPNHowto
zum Seitenanfang
zum Inhaltsverzeichnis


Warum sollte ich ein VPN wollen?

Mit einem VPN können Sie andere Maschinen über das Internet ansprechen, als befänden diese sich im gleichen LAN wie Sie. Der Datenverkehr über das Internet ist verschlüsselt.
zum Seitenanfang
zum Inhaltsverzeichnis


Ich habe die FAQ gelesen, ebenso das Handbuch, aber mein VPN verbindet sich immer noch nicht. Was nun?

Es gibt zwei Quellen für Hilfe bei ipsec, das VPN des IPCop. Die erste Wahl ist natürlich die IPCop Mailing-Liste. SuperFreeS/WAN ist ebenfalls ein Open Source Projekt. Besuchen Sie dessen Webseite für weitere Informationen.

Sie bekommen in vielen Fällen eine komplette Lösung Ihres Problems. Melden Sie sich auf Ihrem IPCop als root an und versuchen Sie folgenden Befehl:

ipsec barf > /tmp/problem.txt 

Dies wird alles über IPsec in die Datei "/tmp/problem.txt" schreiben.

Benutzen Sie SCP oder PSCP auf einer anderen Maschine, um diese Datei zu kopieren und sie an eine Mail anzuhängen. Es wäre möglich, daß Sie das auf beiden Seiten Ihres VPN tun müssen.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie sollte ich das VPN zwischen zwei IPCop-Servern einbinden?

Schauen Sie sich das VPN HowTo unter http://www.ipcop.org/1.2.0/en/vpn/html/ an.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie konfiguriere ich das VPN darauf, selbständig zu starten?

Das in IPCop eingebaute VPN starten automatisch, wenn beide Enden der Verbindung verfügbar sind.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie leite ich PPTP an einen internen MS VPN Server weiter (vor Version 1.3.0)?

Die PPTP-Software von Microsoft ist eher fehlerbehaftet und unsicher; Sie sollten darauf achten, daß alle verfügbaren Service-Packs und Hotfixes auf allen Computern installiert wurden, bevor Sie diese Sache angehen.

Leiten Sie den Port 1723 über die Web-Oberfläche des IPCop auf die IP-Adresse Ihres PPTP-Servers weiter.

Dann melden Sie sich auf der Kommandozeile der Firewall an und starten:

ipfwd --masq 47 & (eg ipfwd --masq 10.0.0.2 47 & )

Um die zweite Änderung dauerhaft zu machen, fügen Sie den ipfwd-Befehl an das Ende der Datei "/etc/rc.d/rc.network" an.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie leite ich PPTP an einen internen MS VPN Server weiter (Version 1.3.0 und neuer)?

Leiten Sie den Port tcp/1723 über die Web-Oberfläche des IPCop auf die IP-Adresse Ihres PPTP-Servers weiter. Dann leiten Sie, ebenfalls über die Web-Oberfläche, das GRE-Protokoll an Ihren PPTP-Server weiter. Das war's!
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich mich mit einem Microsoft PPTP Remote Server?

Noch nicht beantwortet, vorgeschlagene Frage
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich mich mit einem Microsoft IPSec Server?

Schauen Sie unter http://jixen.tripod.com/ nach
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich mich mit einem Win2K (XP) Client auf den IPCop?

Es gibt ein recht kompliziertes HOWTO auf VPN.EBOOTIS.DE, aber Darren Critchley hat den IPCopVPNHowto-Seiten eine detailierte Erklärung zum Verbinden auf einen Win2K (oder XP) Client hinzugefügt.
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich einen IPsec Client hinter einem IPCop mit einem IPSec Remote Server?

Um einen IPSEC-Client mit ip masq laufen zu lassen, müssen Sie IPSec Passtrough auf dem IPCop aktivieren. Benutzen Sie Ihren Browser um sich auf dem IPCop als "admin" anzumelden und gehen Sie zur VPN-Seite. Aktivieren Sie IPSec Passthrough in der Rubrik "Globale Einstellungen".
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich mich mit einem Nortel Remote Server?

Marcus Loeken schlug nach einer Internet-Recherche die folgende Lösung vor. RickNSD schrieb eine interessante Antwort (die Frage drehte sich um die Benutzung eines D-Link Routers), verlinkt auf diese D-Link Webseite...

Ich habe gerade ebenfalls mein Nortel Contivity 4.6 w/ D-link 764 (802.11 a & b) Problem gelöst. Ich benutzte die Lösung speziell für den Contivity Client unter http://support.dlink.com/faq/view.asp?prod_id=1153&question=DI-614+

Zwei Dinge habe ich anders gemacht:

  1. Ich musste sicherstellen, daß der EACfilt Treiber an jede Netzwerkkarte, die den Contivity Client benutzt, gebunden ist.
  2. Um zu vermeiden, nur 1 Client als Virtuellen Server zu benutzen, habe ich direkte Firewall-Einträge erstellt:

(Von links nach rechts; Quelle - Ziel)

Allow VPN -9550 WAN,(IP-Bereich des Contivity-Switches) LAN,* UDP,9550 
Allow VPN -9550 WAN,(IP-Bereich des Contivity-Switches) LAN,* TCP,9550 
Allow VPN -1723 WAN, ,(IP-Bereich des Contivity-Switches) LAN,* TCP,1723 
Allow VPN -1723 LAN,* WAN, ,(IP-Bereich des Contivity-Switches) TCP,1723 
Allow VPN -500 LAN,* WAN, ,(IP-Bereich des Contivity-Switches) UDP,500 
Allow VPN -500 WAN, ,(IP-Bereich des Contivity-Switches) LAN,* UDP,500 

Ich habe alle anderen Anweisungen der D-Link Seite befolgt. Der Contivity Client hatte 'disable keepalives' aktiviert und mit Gruppen-Authentifizierung.

Meine VPN Verbindungsdateien weisen jetzt keine Probleme mehr aus (es trat immer ein SMC barricade 7004AWBR auf).

Ich hoffe, das hilft jemandem weiter.

Also hat Marcus einige Ports in den Portweiterleitungs-Bereich dieses IPCop (Version 1.2.0) eingefügt, sodaß es nun folgendermaßen aussieht:

UDP DEFAULT IP 500 192.168.63.100 500 
UDP DEFAULT IP 9550 192.168.63.100 9550 
TCP DEFAULT IP 9550 192.168.63.100 9550 
TCP DEFAULT IP 1723 192.168.63.100 1723 

192.168.63.100 ist die IP seines Laptops. Und er sagt "Jetzt funktioniert's!!! Ich kann mit dem Nortel Contivity Client Ver. 4.7 verbinden!"

Danke Marcus :)

-- EricOberlander - 05. Mai 2003
zum Seitenanfang
zum Inhaltsverzeichnis


Wie verbinde ich mich mit einem Checkpoint Securemote Remote Server?

Dies hat mit SecureClient NG Feature Pack 3 HF 1 (build 53515) funktioniert. Versuche mit Feature Pack 2 waren nicht erfolgreich.

Benutzen Sie Ihren Browser um sich auf dem IPCop als "admin" anzumelden und gehen Sie zur VPN-Seite. Setzen Sie die lokale VPN IP auf die des Computers, auf dem der SecureClient läuft und klicken Sie auf aktivieren. Speichern Sie Ihre Änderungen.

Auf der Portweiterleitungs-Seite fügen Sie bitte folgende Regel hinzu:

Protokoll: UDP 
Quell-Port: 2746 
Ziel-Port: 2746 
Ziel-IP: (Ihr SecureClient PC) 

Für verbesserte Sicherheit setzen Sie die Quell-IP auf die Adresse des VPN-Gateway. Diese kann durch Verbindungsversuche bestimmt werden, vor der Freischaltung der obigen Portweiterleitung. Ihre Firewall-Logdatei zeigt mehrere Verbindungsversuche vom VPN-Gateway zum Port 2746 Ihrer ROTEN Schnittstelle.

Danke an Dag Christensen - 01. Juli 2003
zum Seitenanfang
zum Inhaltsverzeichnis


Persönliche Werkzeuge