vpn von win und linux
Erik Heinz
erik at iks-jena.de
Mon Mar 5 13:53:42 CET 2001
On Sat, Feb 24, 2001 at 12:56:11PM +0100, Matthias Leonhardt wrote:
>
> Ich habe folgende Konstellation:
> lokales Netz (192.168.10.0/24) --Masq-> gateway mit fester IP und ipsec
> <-- client mit irgendeiner ip
Masquerading und IPSEC zusammen kann Probleme machen.
Ich habe es aber noch nicht probiert.
> ____________ipsec.conf_____________________
> config setup
> interfaces=%defaultroute
> klipsdebug=all
> plutodebug=all
> plutoload=%search
> plutostart=%search
> uniqueids=yes
>
> conn %default
> keyingtries=1
>
> conn vpn2home
> left=0.0.0.0
> leftsubnet=
> leftnexthop=
> right=[feste externe IP]
> rightfirewall=yes
> rightsubnet=192.168.10.0/24
> rightnexthop=[externer GW]
> authby=secret
> auto=add
Im Prinzip sollte das funktionieren. Die Connection "vpn2home" wird hier
aber nicht automatisch aktiviert. Dazu müßte noch ein "auto=start" rein
bzw. Du kannst natürlich auch von Hand starten mit:
ipsec auto --up vpn2home
Mit Windows-2000 funktioniert dem Vernehmen nach die
Road-Warrior-Konfiguration mit Adresse 0.0.0.0 nicht. Selber habe ich es
noch nicht probiert, aber näheres hier:
http://www.freeswan.org/freeswan_trees/freeswan-1.8/doc/interop.html#win2k
> es wird ein ipsec0-Interface angelegt.
> Wenn ich jetzt mit w2k von außen versuche, zu connecten,
> tut sich gar nichts (no answer) - keine Syslogmeldungen und w2k
> meldet, kann nicht verbinden - obwohl ich die extip von
> außen erreichen kann.
Läuft pluto? Wenn nicht, s.o. Wenn er läuft, sollte er tonnenweise Debug-
Informationen lieferh, aus denen irgendwie ersichtlich ist, was passiert.
> Kann evtl. sein, daß der firewall auf dem Gateway was blockt?
> Normalerweise müßte doch der firewall für ipsec geöffnet werden, wenn ich
> rightfirewall=yes angebe oder?
Nein. Laut Beschreibung beeinflußt "rightfirewall" bzw. "leftfirewall"
nur die forward-Regel. Um die input- und output-Regel bzw. externe Filter
mußt Du Dich dann selber kümmern. Auch damit habe ich aber keine Erfahrung;
ich habe die Firewalls bisher immer von Hand angepaßt.
IPSEC braucht auf jeden Fall IP-Protokoll 50 (ESP) sowie für die
Schlüsselaushandlung (IKE) noch UDP Port 500.
--
| Erik Heinz, IKS GmbH Jena * erik at iks-jena.de * privat: erik at jena.thur.de |
+---------------------------------------------------------------------------+
--
tlug Mailingliste
liste at tlug.de
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein