VPNRoadwarrior

Aus IpcopWiki

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

IPSec-VPN

Roadwarrior IPSec-VPN mit TauVPN

Voraussetzungen und Software (Windows)

Windows 2000 Clients sollten mindestens SP2 haben.

Windows 2000-SP4: http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp

Windows 2000 benötigt darüber hinaus noch eine Datei zum Erstellen der IPSec-Policy: http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp (oder im Windows 2000 Ressource Kit – Version 1.22 oder höher)

Windows XP-SP1 benötigt die vollständig installierten Support-Tools von der Windows-CD (CD:\support\tools).

Windows XP-SP2 benötigt ebenfalls die Support-Tools. Informationen unter: http://support.microsoft.com/default.aspx?scid=kb;en-us;838079 . Die Support-Tools: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=49AE8576-9BB9-4126-9761-BA8011FABF38

Darüber hinaus benötigen alle Windows 2000 Clients bis Windows XP-SP1 einen IPSec- NAT Patch: (siehe auch http://support.microsoft.com/kb/818043), ab XP-SP2 kann dieser weg gelassen werden.

Danach die aktuelle Software (TauVPN) von http://sourceforge.net/projects/ivpn/ herunterladen und installieren. TauVPN ist getestet mit: Windows 2000 SP2, Windows 2000 SP4, Windows XP SP1, Windows XP SP2 Installation und Konfiguration müssen mit Administrator-Rechten durchgeführt werden.

Konfiguration

Einrichtung einer neuen Verbindung mit PSK: Es ist empfehlenswert, zunächst eine Verbindung mit PSK (pre-shared key) anzulegen (zumindest, wenn man es zum erstenmal macht). Wenn diese funktioniert, sollte auf Zertifikat umgestellt werden (höhere Sicherheit). Die Folgende Anleitung gilt für eine Roadwarrior-Verbindung in das grüne Netz des IPCops. So gehts: In TauVPN auf "Add new location" klicken. Nun "Preshared key" auswählen.Dann die folgenden Felder ausfüllen:

Preshared key: Hier wird der PSK eingegeben. Keine Sonderzeichen verwenden. Zum Ausprobieren reicht eine Buchstaben/Zahlen-Kombination von 8 Stellen Länge.

Name:            Name der Verbindung, z.B. Firma
Server subnet:   Subnetz auf Serverseite (i.A. grünes Netz des IPCops) z.B.192.168.57.0/255.255.255.0
Server IP:       Die WAN IP des IPCops (rote IP - falls der IPCop hinter einem Router steht die WAN IP des Routers)
Server local IP: Grüne IP des IPCops
CA subject:      Hier muß nichts eingetragen werden. Falls ein Zertifikat importiert wird, wird dieses Feld automatisch ausgefüllt.

Damit ist die Client-Konfiguration vorerst fertig. Meistens muß noch PMTUD ausgeschaltet werden, aber das ist im Augenblick nicht nötig, denn erst sollte der Verbindungsaufbau klappen. Nun geht es weiter mit der Serverkonfiguration (IPCop)

Weitere Einstellungen und Fehlerbehebung

Wichtige Einstellungen in TauVPN:

Global Settings -> Advanced -> PMTUD: Wenn der Tunnel funktioniert, aber nur sehr kleine Datenpakete durchgehen, PMTUD ausschalten.
Global Settings -> Advanced -> Enable Oakley Log: Aktiviert das Logfile.


Hinweise zur Fehlerbehebung: Tunnel steht, aber kein Ping durch Tunnel möglich: Dies ist ein bekanntes Problem bei XP mit aktivierter Firewall. Es gibt hierfür von Microsoft einen Patch. Dieser wird aber meist gar nicht benötigt, wenn man auf die Ping-Funktionalität verzichten kann. Zum Testen des Tunnels kann man z.B. SSH verwenden (z.B. auf die grüne IP des IPCops - Port 222).

Verbindung lässt sich nicht aufbauen: Wenn es schon mal funktioniert hat, Restart Policy versuchen. Wenn es noch nie funktioniert hat: Zuerst mal mit PSK probieren, und wenn es geht auf Zertifikat umstellen. Keine Experimente mit den Advanced Settings machen, es funktioniert (normalerweise) mit den vorgegeben Einstellungen (das gilt auch für den IPCop - die ipsec.conf muß nicht von Hand geändert werden, Einstellung über GUI funktioniert normalerweise auf Anhieb).

Besonderheiten bei Verwendung eines Routers

An der TauVPN-Konfiguration muß nichts geändert werden. Mit vielen Routern funktioniert es auf Anhieb. Falls der Router kein ipsec-passthrough beherrscht, müssen die Ports 500 udp und 4500 udp zum Client weitergeleitet werden. Bei Problemen (insbesondere wenn es schon mal funktioniert hat) als erstes kontrollieren, ob der Client auch die in der Portweiterleitung eingetragene IP hat.

Serverseite

Im VPN-Menu auf dem IPCop müssen folgende Einstellungen vorgenommen werden:

Öffentliche IP oder FQDN...: Rote IP oder DNS bzw. dynamischer DNS Name.
Verzögerung bevor VPN gestartet wird: Bei Verwendung von dynamischem DNS haben sich 240 Sekunden bewährt - dennoch gibt es manchmal Probleme, wenn es zu lange dauert,
bis der Nameserver aktualisiert ist. 

Nun "Speichern" und dann "Hinzufügen anklicken. "Host-zu-Netz Virtual Private Network (RoadWarrior)" auswählen und "Hinzufügen".

Name: Ein Name für die Verbindung, z.B. Test1
Schnittstelle: RED
Lokales Subnetz: I.A. das grüne Netz, z.B. 192.168.57.0/255.255.255.0 (auf Client-Seite muss es genauso eingestellt sein!)

Dann noch den Pre-Shared Schlüssel eingeben. Mehr muß vorerst nicht konfiguriert werden. Nun kann der erste Test durchgeführt werden. Es ist empfehlenswert, zum Ausprobieren vorher auf dem IPCop externen Zugang auf Port 222 und 445 freizuschalten, damit man, falls es nicht auf Anhieb funktioniert, in das Log schauen, Änderungen machen oder die Verbindung neu starten kann. Wenn es funktioniert, sollte der externe Zugang wieder geschlossen werden.

Besonderheiten bei Verwendung eines Routers

Wenn vor dem IPCop ein Router steht, muß dieser wie folgt konfiguriert werden:

Portweiterleitung Ports 500 udp und 4500 udp auf die rote IP. ebenso ESP. Bei manchen Routern ist es das einfachste, den IPCop als "Exposed Host" (bei manchen Routern auch DMZ genannt) zu konfigurieren.

Die Konfiguration des IPCops muß etwas geändert werden:

Öffentliche IP oder FQDN...: Rote IP (nicht die WAN IP des Routers!)

Falls dynamisches DNS verwendet wird, sollte der Router die Aktualisierung übernehmen.

An der ipsec.conf sind normalerweise keine manuellen Änderungen nötig! (Ausnahme keyingtries - dies hat aber nichts mit dem Router zu tun)

Tipps und Tricks (IPCop)

In der ipsec.conf sollte folgende Änderung vorgenommen werden:

keyingtries=5

Dies verhindert, daß eine abgestürzte Verbindung nicht mehr neu aufgebaut werden kann. Achtung: Bei Änderungen im VPN GUI wird dieser Eintrag wieder auf 0 gesetzt!


Ein Anwender empfiehlt, folgende Zeilen als Cronjob auf dem Cop einzutragen:

#vpn reset
*/10 * * * * ipsecctrl S && ipsecctrl R &>/dev/null

OpenVPN

Voraussetzungen und Software

Für OpenVPN muss das Zerina-Paket heruntergeladen werden. Zusätzlich benötigt man das OpenVPN-GUI und das OpenVPN-Paket.

Installation auf dem Client

Das OpenVPN-Paket wird mitsamt seinem GUI installiert. Danach wird das GUI (sofern gewünscht) gegen eine deutsche Version im Programme-Verzeichnis ausgetauscht. (...)

Links

Persönliche Werkzeuge