Hallo,

ich möchte jetzt über die Weihnachtstage ein WLAN einrichten. Um gleich auch noch was zu lernen will ich es über Freeswan oder IPsec (2.6 Implementierung) absichern.

Sollte dann so aussehen:


LAN

||
eth0
WLAN Gateway
eth1
||
AP


Jetzt stellt sich nur die Frage ob ich dazu Freeswan bzw Super Freeswan oder OpenVPN oder gleich die IPSec Implementierung des neues 2.6 Kernels verwenden soll.

Ich habe bis jetzt noch keine Erfahrungen mit VPN Systemen. Was mir aber bei Freeswan sehr gut gefällt, ist die Tatsache, dass Freeswan virtuelle Geräte verwendet (ipsec0,...)

Das bringt sicher einige Vorteile im Bezug auf die Firewall (Iptables).

Hat jemand schon mit der IPSec Implementierung von 2.6 gearbeitet?
Wird die IPSec Implementierung in einiger Zeit zum meist verbreiteten Standard?




Würde mich über Ratschläge, Tipps,... sehr freuen. Links zu HowTos sind immer willkommen.

Auch ja hat jemand schon mit der isakmpd Linux Portierung gearbeitet?

Ich hab zwar keine Ahnung von dem Thema, aber ich glaube die aktuelle iX (01/2004) beschäftigt sich mit dem Thema:


IPSec
FreeS/WAN-Alternative im 2.6er Kernel (S. 54)

Vielleicht hilft dir das ja weiter.

Igge

ja danke das hab ich schon gelesen

Wenn Du dich näher damit beschäftigen willst kaufe Dir "VPN mit Linux" von Ralf Spenneberg. Probekapitel gibts auf Ralfs Server (http://www.spenneberg.net/VPN-Book/)

Wenn Du mit Windows Clients arbeiten willst scheidet OpenVP aus.

Superfreeswan ist recht einfach zu konfigurieren ich hatte nach ein paar Wochen alles am laufen;)

Es gibt auch spezielle Distris für Deine Belange. Ich bewege mich öfter auf http://www.ipcop-forum.de

mfg
cane

Hast Du denn schon den 2.6er im Einsatz? Wenn ja, würd ich FreeS/WAN mit den 2.6er Kernelmodulen benutzen, ansonsten eben das FreeS/WAN Kernelmodul. Wenn Du X.509 oder NAT-Traversal benötigst, dann SuperFreeS/WAN, bzw. OpenS/WAN (=SuperFreeS/WAN ab Version 2.0).

Mit Windows funktionieren sie alle, aber die Windows-Konfig ist mit PGPnet viel einfacher als mit den mitgelieferten Windowstools (hab ich mir sagen lassen).

Mit Windows funktionieren sie alle,

Open VPN auch???

mfg
cane

Ja nee, ich meinte alle FreeS/WAN-"Versionen":

-1.9er stable
-2.0er stable
-SuperFreeS/WAN
-OpenS/WAN
-2.0er mit 2.6er Kernel Modul

Original geschrieben von ThorstenHirsch
Mit Windows funktionieren sie alle, aber die Windows-Konfig ist mit PGPnet viel einfacher als mit den mitgelieferten Windowstools (hab ich mir sagen lassen).

Momentan ist es sicherlich einfacher FreeS/WAN zu konfigurieren. Hier existiert wesentlich mehr Dokumentation. Mit der neuen Implementierung und den IKE Daemonen racoon und isakmpd haben die meisten noch nicht allzuviel Erfahrung. Jedoch lässt sich FreeS/WAN ab der Version 2.0 auch auf der nativen IPsec Implementierung des 2.6 Kernels einsetzen.

Alle IPsec Varianten funktionieren mit Windows. Die Konfiguration auf Windows ist aber teilweise sehr kompliziert. Hier hilft das ipsec Werkzeug von vpn.ebootis.de.

Das Kapitel zum racoon/isakmpd auf Linux 2.6 des oben genannten Buches ist übrigens auf meiner Homepage als PDF online gestellt.
http://www.spenneberg.com/VPN-Book/575.html


Gruß,

Ralf

Danke für die Antworten ;)

Ich hab mir jetzt das Buch von Ralf Spenneberg gekauft.

Ich arbeite mit Linux 2.6 und würde racoon und x509 Zert. verwenden.

Sinnvoll?

Hallo

Es ist sicherlich sinnvoll sich mit nur einem Werkzeug zu beschäftigen. Welches Du allerdings verwendest ist vollkommen Dir überlassen. Der Einsatz von Zertifikaten ist immer anzuraten.

Gruß,

Ralf

Hallo,

ich habe jetzt die Certifikate gemacht, setkey und racoon versucht zu konfigurieren.



cat /etc/setkey.conf
#!/usr/sbin/setkey -f
#
# Loesche die SAD und SPD

flush;
spdflush;


-----
cat /etc/racoon/racoon.conf
path certificate "/ca/ca";

remote anonymous {
exchange_mode main;
generate_policy on;
passive on;
certificate_type x509 "server_cert.pem" "server_req.pem";
my_identifier asn1dn;
peers_identifier asn1dn;
proposal {
encyption_algorithm 3des;
hash-algorithm md5;
authentication_method rsasing;
dh_group modp1024;
}
}

sainfo anonymous {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmcac_md5;
compression_algorithm deflate;
}




Der Startvorgang von racoon sieht wie folgt aus:
racoon -F
Foreground mode.
2004-01-30 23:14:23: INFO: main.c:174:main(): @(#)racoon 20001216 20001216 sakane@kame.net
2004-01-30 23:14:23: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.6l 04 Nov 2003 (http://www.openssl.org/)
2004-01-30 23:14:23: ERROR: cftoken.l:445:yyerror(): /etc/racoon/racoon.conf:11: "e" parse error
2004-01-30 23:14:23: ERROR: cfparse.y:1334:cfparse(): fatal parse failure (1 errors)
racoon: failed to parse configuration file.


Aus der Fehlermeldung werde ich nicht wirklich schlau :confused:
Die Option -d liefert nicht mehr Informationen

Original geschrieben von waterproof
encyption_algorithm 3des;
2004-01-30 23:14:23: ERROR: cftoken.l:445:yyerror(): /etc/racoon/racoon.conf:11: "e" parse
Es sollte auf Zeile 11 in racoon.conf:

encryption_algoritm 3des;
sein und nicht

encyption_algoritm 3des;


Gruß,

Ralf

Danke, Ralf!

Jetzt hab ich verstanden, was die Fehlermeldung heist.

Hab noch einige Fehler gefunden :rolleyes: (peinlich)

racoon startet jetzt ohne Probleme :)

Open VPN auch???


jo gibts auch unter windows

ab version 1.5

Gruß Temp

Ich habe jetzt auf einem Windows Client die Zertifikate importiert und mit Vpn tool von ebootis die ipsec Verbindung versucht aufzubauen.


ipsec lässt sich auf dem Windows Client starten.

Dann funktionieren aber keine Verbindungen von dem Client mehr.

ping auf den Vpn Gateway:
IP-Sicherheit wird verhandelt.
ca 100 mal dann hab ich ping gestoppt

auf dem Vpn Gateway tauchen
ISAKMP Identity Protection (Main Mode) Short Frame Pakete auf. Sonst nichts interessantes.

Da scheint irgendwas noch nicht hinzuhauen. Wenn der Client nur "IP-Security wird verhandelt" ausgibt, schlägt dies wohl fehl. Normalerweise sollte nach einiger Zeit der Tunnel stehen. Was sagen die Protokolle auf Linux-Seite?

Logs auf dem Vpn Gateway schauen so aus:


2004-02-01 13:04:01 racoon: INFO: isakmp.c:893:isakmp_ph1begin_r(): respond new phase 1 negotiation: 192.168.2.1[500]<=>192.168.2.10[500]

2004-02-01 13:04:01 racoon: INFO: isakmp.c:898:isakmp_ph1begin_r(): begin Identity Protection mode.

2004-02-01 13:04:01 racoon: INFO: vendorid.c:128:check_vendorid(): received Vendor ID: MS NT5 ISAKMPOAKLEY

2004-02-01 13:04:01 racoon: ERROR: isakmp_inf.c:774:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.

2004-02-01 13:05:01 racoon: ERROR: isakmp.c:1441:isakmp_ph1resend(): phase1 negotiation failed due to time up. c3f977480386c0f8:e67498d2ebee62bb

2004-02-01 13:05:47 racoon: ERROR: isakmp.c:465:isakmp_main(): unknown Informational exchange received.

Nicht sehr vielsagend.
Der Client versucht zumindest den Tunnel aufzubauen, aber die Phase 1 schlägt fehl. Du könntest racoon mit einem höheren Debuglevel starten oder unter Windows das Debug-Log (Oakley-Log) aktivieren.

Gruß,

Ralf