vpn von win und linux

Erik Heinz erik at iks-jena.de
Mon Mar 5 13:53:42 CET 2001


On Sat, Feb 24, 2001 at 12:56:11PM +0100, Matthias Leonhardt wrote:
> 
> Ich habe folgende Konstellation:
> lokales Netz (192.168.10.0/24) --Masq-> gateway mit fester IP und ipsec
> <-- client mit irgendeiner ip

Masquerading und IPSEC zusammen kann Probleme machen. 
Ich habe es aber noch nicht probiert.

> ____________ipsec.conf_____________________
> config setup
>         interfaces=%defaultroute
>         klipsdebug=all
>         plutodebug=all
>         plutoload=%search
>         plutostart=%search
>         uniqueids=yes
> 
> conn %default
>         keyingtries=1
> 
> conn vpn2home
>         left=0.0.0.0
>         leftsubnet=
>         leftnexthop=
>         right=[feste externe IP]
>         rightfirewall=yes
>         rightsubnet=192.168.10.0/24
>         rightnexthop=[externer GW]
>         authby=secret
>         auto=add

Im Prinzip sollte das funktionieren. Die Connection "vpn2home" wird hier
aber nicht automatisch aktiviert. Dazu müßte noch ein "auto=start" rein
bzw. Du kannst natürlich auch von Hand starten mit:
  
  ipsec auto --up vpn2home

Mit Windows-2000 funktioniert dem Vernehmen nach die
Road-Warrior-Konfiguration mit Adresse 0.0.0.0 nicht. Selber habe ich es
noch nicht probiert, aber näheres hier:
http://www.freeswan.org/freeswan_trees/freeswan-1.8/doc/interop.html#win2k

> es wird ein ipsec0-Interface angelegt.
> Wenn ich jetzt mit w2k von außen versuche, zu connecten,
> tut sich gar nichts (no answer) - keine Syslogmeldungen und w2k
> meldet, kann nicht verbinden - obwohl ich die extip von
> außen erreichen kann.

Läuft pluto? Wenn nicht, s.o. Wenn er läuft, sollte er tonnenweise Debug-
Informationen lieferh, aus denen irgendwie ersichtlich ist, was passiert.

> Kann evtl. sein, daß der firewall auf dem Gateway was blockt?
> Normalerweise müßte doch der firewall für ipsec geöffnet werden, wenn ich
> rightfirewall=yes angebe oder?

Nein. Laut Beschreibung beeinflußt "rightfirewall" bzw. "leftfirewall"
nur die forward-Regel. Um die input- und output-Regel bzw. externe Filter
mußt Du Dich dann selber kümmern. Auch damit habe ich aber keine Erfahrung;
ich habe die Firewalls bisher immer von Hand angepaßt.

IPSEC braucht auf jeden Fall IP-Protokoll 50 (ESP) sowie für die
Schlüsselaushandlung (IKE) noch UDP Port 500.


-- 
| Erik Heinz, IKS GmbH Jena * erik at iks-jena.de * privat: erik at jena.thur.de  |
+---------------------------------------------------------------------------+


-- 
tlug Mailingliste
liste at tlug.de
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein