Suche Infos über VPN

Hallo Leute,

es ist mir bekannt, dass einige von Euch sich mit VPN auseinandergesetzt
haben und daher ist die Liste sicher ein guter Ort diese Infos anzufragen.

Freunde von mir haben 2 Sitze und wollen diese über eine VPN Lösung
verbinden. Sie benutzen noch nicht GNU/Linux, wären aber nicht gegen
dessen Einsatz, falls die Vorteile gegenüber einer Windows-Lösung
erkennbar sind. Es wurde ihnen auch bereits eine Lösung auf der Basis
von Windows 2000 angeboten und es geht darum aufzuzeigen, dass es auch
mit GNU/Linux machbar und einfach zu administrieren ist.

Das Argument der geringeren Kosten einer GNU/Linux Lösung ist ihnen zwar
bekannt. Ich glaube aber, dass es für sie nicht das ausschlaggebende
Argument ist. Daher suche ich eher technische Argumente, weniger
wirtschaftliche oder philosophische.

Kann mir jemand Erfahrungsberichte und natürlich auch Hinweise zu
Informationsquellen zukommen lassen?

Bedanke mich im Voraus!
Patrick

salve ragazzi, ho letto e capito soltanto VPN :slight_smile: sorry, ma l'argomento
mi
interessa siccome sto mettendo in piedi una VPN con TIM. si potrebbe
avere
una traduzione, please :wink:

           Andy

Ciao Andrea,

bè la mia mail non ti aiuterà molto, perchè è solo una richiesta di
informazioni su VPN.

Faccio lo stesso una piccola traduzione veloce:

Salve ragazzi,

Datoche sono a conoscenza, che alcuni di voi si sono interessati alla
tematica VPN, indirizzo questa mia richiesta alla lista.

Alcuni amici miei hanno la seguente problematica. Hanno due sedi e
vorrebbero collegarle trammite una VPN. Loro al momento non usano
GNU/Linux ma non avrebbero alcun problema a mettere dei server con
GNU/Linux se i vantaggi sono evidenti. Hanno infatti già ottenuto
un'offerta sulla base di Windows 2000. Sarebbe perciò interessante far
vedere che con GNU/Linux è fattibile implementare una soluzione e che
questa è anche facile da amministrare.

L'argomento del risparmio di costi a loro è già chiaro, ma non penso che
sia il criterio sul quale baseranno la loro decisione! Perciò sono meno
alla ricerca di discussioni su economibilità o filosofia, ma cerco
argomenti tecnici.

Qualcuno mi può far avere rapporti di esperienze e/o fonti di
informazioni sulla realizzazione di un VPN con GNU/Linux?

Vi ringrazio!
Patrick

Grazie a Luigi di Lazzaro per la traduzione.

Io posso dire che una soluzione Linux e' fattibilissima, io
personalmente ho testato il software FreeSwan e devo dire
che la configurazione e' piuttosto semplice, chiara e con
molti esempi specifici.

Con TIM ho dovuto purtroppo ricorrere all'ausilio di un router cisco
in quanto FreeSwan supporta come minimo 3DES per encryption mentre
TIM supporta DES.

Ma tra il mio portatile Linux ed il mio firewall ho instaurato
tranquillamente
un Tunnel IPSEC con chiavi RSA, sia preshared sia recuperate attraverso
record all'interno di server DNS.

Non conosco il software di windows2000, ma direi che con Linux e
FreeSwan
la parte + complicata probabilmente e' l'amministrazione di Linux ;))

Per qualsiasi domanda sono qui

      Andy

Hallo

es gibt mittlerweile sehr viele VPN Lösungen und eine jede hat Vor- und
Nachteile. Sobald Windows Rechner ins Spiel kommen d.h. wenn man Windows
VPN Clients hat muß man auf IPSec (www.freeswan.org) oder PPTP
(http://www.poptop.org/, nicht zu empfehlen) zurückgreifen. IPSec ist
wahrscheinlich die beste Lösung, aber leider ist freeswan sehr schwer zu
administrierrn :frowning:
Es gibt mittlerweile auch andere lösungen, wie z.B. ppp over ssh,
www.openvpn.org, ... Aber leider benützen Sie Standards, die nicht mit
Windows "kompatibel" sind, also kann ein Windows Client keine direkte
Verbindung aufbauen.
Ich würde empfehlen bei jedem Sitz einen Linux Rechner aufzustellen, und
diesen als "Network To Network" Gateway zu konfigurieren. Dann merken
die Windows Rechner garnichts davon und man kann sich einfach die beste
VPN Software aussuchen.

bye
raf

Hallo Raphael,

Ich würde empfehlen bei jedem Sitz einen Linux Rechner aufzustellen, und
diesen als "Network To Network" Gateway zu konfigurieren. Dann merken
die Windows Rechner garnichts davon und man kann sich einfach die beste
VPN Software aussuchen.

Das mit dem N2N wäre sicherlich eines der besten Optionen.

Bleibt da aber zusätzlich die Möglichkeit offen evtl. eine parallele
Strategie für Leute im Ausendienst (Windows Schlepptop) zusätzlich zur
Verfügung zu stellen?

Zusatzstrategie, da ich für die Standardvernetzung der beiden Sitze
nicht unbedingt auf Windows rücksicht nehmen würde, da ja 2 GNU/Linux
Server eingesetzt würden.

Ich sammle noch ein paar Antworten und dann werde ich euch mit
spezifischere Fragen bombardieren :slight_smile:

Danke für die Hinweise!

Patrick

Bleibt da aber zusätzlich die Möglichkeit offen evtl. eine parallele
Strategie für Leute im Ausendienst (Windows Schlepptop) zusätzlich zur
Verfügung zu stellen?

Ja, mit IPSec oder PPTP schon.

Zusatzstrategie, da ich für die Standardvernetzung der beiden Sitze
nicht unbedingt auf Windows rücksicht nehmen würde, da ja 2 GNU/Linux
Server eingesetzt würden.

Aber wenn externe Windows Rechner (VPN Clients, z.B. ein Laptop, uws.)
muß man darauf rücksicht nehmen. Windows 2000 hat IPSec und PPTP Support
"out of the box", für Windows 98 gibts zusätzliche gratis Software.

bye
raf

Bleibt da aber zusätzlich die Möglichkeit offen evtl. eine parallele
Strategie für Leute im Ausendienst (Windows Schlepptop) zusätzlich zur
Verfügung zu stellen?

Ja, mit IPSec oder PPTP schon.

Aber auch parallel, da gibt es keine Konflikte, oder?

Aber wenn externe Windows Rechner (VPN Clients, z.B. ein Laptop, uws.)
muß man darauf rücksicht nehmen. Windows 2000 hat IPSec und PPTP Support
"out of the box", für Windows 98 gibts zusätzliche gratis Software.

Schätze da kommen nur Windows NT/2000/XP vor. Und wenn ein 9x/ME
auftaucht, muss man nachrüsten, das ist kein Problem.

Gibt es da gute Dokumentation zu den verschiedenen
Verschlüsselungsverfahren? Habt ihr gute Links?

mfg.
Patrick

Hallo Leute,

Hallo!

Um 2 Sitze ueber ein VPN zu verbinden, sollte man auf jeden Fall IPSec
verwenden. PPTP ist auch in seiner Version PPTPv2 ziemlich unsicher
(http://www.counterpane.com/pptpv2-paper.html), und wird seit Anfang Juni
dieses Jahres vom VPN-Konsortium (http://www.vpnc.org/) NICHT mehr in der
Liste der empfohlenen VPN-"Standards"
(http://www.vpnc.org/vpn-standards.html) gefuehrt.

GNU/Linux mit FreeS/WAN ist sicher die richtige Loesung. Auch das Anbinden
vieler Home-User (auch Dialup)- bei FreeS/WAN "RoadWarrior" genannt- ist mit
FreeS/WAN inzwischen unproblematisch.
Fuer Firmen wuerde ich allerdings empfehlen, FreeS/WAN nur mit dem
x.509-Patch (http://www.strongsec.com/freeswan/) von Andreas Steffen zu
verwenden. Im Wesentlichen operiert man eine eigene CA und stellt selbst
Zertifikate fuer die Hosts und RoadWarrior aus. Selbst grosse VPNs lassen
sich damit uebersichtlich halten.
Dazu gabs uebrigens in c't 05/02 zwei interessanten Artikel vom Autor des
Patchs, zu finden online unter:
http://www.heise.de/ct/02/05/216/
http://www.heise.de/ct/02/05/220/

Freunde von mir haben 2 Sitze und wollen diese über eine VPN Lösung
verbinden. Sie benutzen noch nicht GNU/Linux, wären aber nicht gegen
dessen Einsatz, falls die Vorteile gegenüber einer Windows-Lösung
erkennbar sind. Es wurde ihnen auch bereits eine Lösung auf der Basis
von Windows 2000 angeboten und es geht darum aufzuzeigen, dass es auch
mit GNU/Linux machbar und einfach zu administrieren ist.

Das ist es gewiss, vor allem, wenn es sich "nur" um 2 Sitze handelt. Wie das
in der Praxis gemacht wird, haengt natuerlich vor allem von der
Netzwerkstruktur und deren Anforderungen ab.

Argument ist. Daher suche ich eher technische Argumente, weniger
wirtschaftliche oder philosophische.

Abgesehen von offensichtlichen Problemen mit Security, wenn man einen
W2K-IPSec-Gateway betreibt, ist die Konfiguration allein mit der
Management-Konsole ein Mausclick-Alptraum. Jeder, der das schon mal gemacht
hat, weiss, wovon ich rede.
Fuer W2K/WXP-RoadWarrior-Anbindungen an FreeS/WAN-Gateways gibt's ein Tool
von Marcus Mueller (http://vpn.ebootis.de), welches eine einfache
Konfigurationsdatei in die benoetigten Regeln umsetzt. Damit ist auch der
Teil recht einfach abgehakt.

Kann mir jemand Erfahrungsberichte und natürlich auch Hinweise zu
Informationsquellen zukommen lassen?

Ich schicke noch einen Artikel, den ich im Rahmen eines Seminars an der Uni
mit einem Kollegen verfasst habe. Leider ist er inzwischen nicht mehr
vollkommen up-to-date, aber sicher ein guter Einstieg. Du kannst dort auch
genaueres ueber PPTP (unsicher!) nachlesen.

Uebrigens sollte man DES nicht als Verschluesselungsalgorithmus fuer IPSec
verwenden- selbst wenn's in den RFC's noch drin ist:
"Recent work in the area of cryptanalysis suggests that DES may not be
sufficiently strong for many applications. Therefore, it is very likely that
the IETF will deprecate the use of ESP DES as a mandatory cipher suite in
the near future. It will remain as an optional use protocol. Although the
IPsec working group and the IETF in general have not settled on an
alternative algorithm (taking into account concerns of security and
performance), implementers may want to heed the recommendations [...] on the
use of ESP 3DES." [Pip98]

Bedanke mich im Voraus!

gerne, wenn auch etwas spaet.

lG,

Johnny

Hallo!

es gibt mittlerweile sehr viele VPN Lösungen und eine jede hat Vor- und
Nachteile. Sobald Windows Rechner ins Spiel kommen d.h. wenn man Windows
VPN Clients hat muß man auf IPSec (www.freeswan.org) oder PPTP
(http://www.poptop.org/, nicht zu empfehlen) zurückgreifen. IPSec ist

Ja, ich mag PoPToP auch nicht besonders. PPTP ist sowieso Schrott.

wahrscheinlich die beste Lösung, aber leider ist freeswan sehr schwer zu
administrierrn :frowning:

Inwiefern, bitte? Dem kann ich nicht zustimmen :slight_smile:

Es gibt mittlerweile auch andere lösungen, wie z.B. ppp over ssh,
www.openvpn.org, ... Aber leider benützen Sie Standards, die nicht mit
Windows "kompatibel" sind, also kann ein Windows Client keine direkte
Verbindung aufbauen.

PPP over SSH gibt's schon seit ueber drei Jahren [dazu gibt's 2 verschiedene
HOWTO's, das bessere ist IMO
http://linuxselfhelp.com/HOWTO/VPN-HOWTO.html ]. Die Lösung ist für eine
Firma sicher nicht empfehlenswert, sie ist dafür bekannt, "unbeobachtet"
nicht besonders gut oder stabil zu laufen. Sicher vergleichbar mit
Transparenz / Redundanz von IPSec/FreeS/WAN auf Kernel-Ebene (KLIPS), ...
Eigentlich eher eine Bastellösung?

http://www.linuxvoodoo.com/howto/HOWTO/ppp-ssh/introduction.html

Ich würde empfehlen bei jedem Sitz einen Linux Rechner aufzustellen, und
diesen als "Network To Network" Gateway zu konfigurieren. Dann merken
die Windows Rechner garnichts davon und man kann sich einfach die beste
VPN Software aussuchen.

Genau das kann aber IPSec am besten- wenn unter Linux, dann FreeS/WAN.

lG,

Johnny

Aber auch parallel, da gibt es keine Konflikte, oder?

Mit FreeS/WAN kannst du home-Clients problemlos anbinden- du solltest dir
die c't-Links ansehen, die ich geschickt habe, die sind gute Info zu dem
Thema :slight_smile:

Schätze da kommen nur Windows NT/2000/XP vor. Und wenn ein 9x/ME
auftaucht, muss man nachrüsten, das ist kein Problem.

Gibt es da gute Dokumentation zu den verschiedenen
Verschlüsselungsverfahren? Habt ihr gute Links?

Mindestens 3DES verwenden, auf keinen Fall DES ..
FreeS/WAN unterstützt(e)- vor kurzem war's noch so- nur 3DES. Das
Entwicklerteam weigert sich beharrlich, DES zu unterstützen (der einzige
Algorithmus, der laut IPSec-RFCs zwingend implementiert werden muss).
Da hast du also nicht die Qual der Wahl :slight_smile:
3DES wird von den meisten kommerziellen Produkten unterstützt, und auch
sonst gilt FreeS/WAN als Muster in Sachen Interoperabilitaet.

lG,

Johnny

Sorry fuer die vielen Antworten auf einmal *g

nicht besonders gut oder stabil zu laufen. Sicher vergleichbar mit
Transparenz / Redundanz von IPSec/FreeS/WAN auf Kernel-Ebene (KLIPS), ...
Eigentlich eher eine Bastellösung?

Das sollte "sicher nicht vergleichbar" heissen.

Back to lurking ...

Johnny