Hallo!

Nachdem ich schon viele Anfragen bekommen habe wann mein VPN-HowTo denn nun "endlich" fertig wird - hier ist es :)

Dieses HowTo erklärt das Aufsetzen eines Virtual Private Network (VPN) mit x509 Zertifikaten zwischen Windows 2000 / XP Clients und IPCop als VPN-Gateway. Als CA kommt TinyCA zum Einsatz.


Ich hoffe einigen von euch bei der nicht ganz trivialen VPN Thematik helfen zu können und freue mich über Anregungen, Korrekturen und Verbesserungsvorschläge!


mfg
cane

Vielen Dank :)

Ich habe schon mal kurz einen Blick hinneingeschaut und muss sagen das es sich gut ließt und übersichtlich ist.

MFG.

Wer drauf verlinken möchte:

www.daniel-halbe.de/vpn.pdf


mfg
cane

sehr schön! liest sich echt gut. vor allem die einbindung win windows-clients in das vpn ist gut beschrieben.
nur schade, dass KAME nicht behandelt wird.

nur schade, dass KAME nicht behandelt wird.

Das beschriebene Szenario ist im Produktiveinsatz - auf diesem Wege ist auch das HowTo entstanden...

Prämisse war das das ganze auch von Win-Admins installiert und gewartet werden kann - deswegen war die einzig mögliche Lösung IPCop mit seinem Webfrontend in Verbindung mit WinSCP.

Die anderen IPSEC Implementierungen sind natürlich auch interessant - zumal das Freeswan Projekt offiziell eingestellt wurde.

Ein HowToo zu KAME kann aber gerne jemand anders schreiben ;)


mfg
cane

Habs auch mal in den HowTo Bereich gestellt...

Bitte stimmt auch ab wie Ihr das HowTo findet.

Bin am Feedback interessiert...

mfg
cane

Hey cane,

habs kurz überflogen und finde es recht gut,
wie es im Detail dann aussieht werde ich Dir nächste Woche verraten,
denn dann werde ich ein entferntes Gebäude per WLAN ans Firmennetz anbinden (müssen).

Ggf. werde ich Dich dann mit weiteren Fragen stressen, wenn es nicht so will, wie ich mir das vorstelle :D

Aber Danke schonmal für die Mühe, das Howto zu erstellen.
Das pdf liegt jetz bei uns im Doku-Verzeichnis aufm Filer :)

Gruss
Sascha

Ggf. werde ich Dich dann mit weiteren Fragen stressen, wenn es nicht so will, wie ich mir das vorstelle

No problem :)

mfg
cane

Ich versuche gerade mich mit deinem Howto zu einem laufendem IPSEC Gateway
zu bringen. Bin gerade bei der ipsec.conf angelangt und wuenschte mir gerade
dein Howto waere auch als asci datei verfuegbar um mir die ipsec.conf rauszukopieren.

Trotzdem danke fuer dein Howto. Wenn es denn laeuft werde ich uebergluecklich
sein alle noetigen Infos an einer zentralen uebersichtlichen Stelle gefunden zuhaben ;)

bei der 1.4er ipcop Version passt das Howto nicht mehr ganz - vieles ist jetzt klickbar :ugly: aber dennoch erleichtert es das Verstehen der ganzen VPN Geschichte ungemein ...

@Ersteller:
Das ist das erste mir jemals untergekommene PDF, das mit Acrobat 4 nicht gelesen werden kann.
Wäre es möglich eine Acrobat 4 Version bereitzustellen?
Ich nehme an du hast das Teil verschlüsselt, denn unter MorphOS mit decrypt-Zusatz für APDF kann ich es lesen.

@Ersteller:
Das ist das erste mir jemals untergekommene PDF, das mit Acrobat 4 nicht gelesen werden kann.
Wäre es möglich eine Acrobat 4 Version bereitzustellen?
Ich nehme an du hast das Teil verschlüsselt, denn unter MorphOS mit decrypt-Zusatz für APDF kann ich es lesen.

acrobatshaize...

xpdf liest es einwandfrei..oO

@Ersteller:
Das ist das erste mir jemals untergekommene PDF, das mit Acrobat 4 nicht gelesen werden kann.
Wäre es möglich eine Acrobat 4 Version bereitzustellen?
Ich nehme an du hast das Teil verschlüsselt, denn unter MorphOS mit decrypt-Zusatz für APDF kann ich es lesen.

Natürlich sind Änderungen am Dokument selber unerwünscht ;)

Wenn meine Website in der nächsten Zeit aktualisiert wird werde ich alle erstellten Papers in verschiedenen Formaten zur Verfügung stellen...

Wird aber noch ein Weilchen dauern bis ich Urlaub nehmen kann :ugly:

mfg
cane

Ich versuche mich auch an dem HOWTO, das ich bisher sehr gut finde.
An einer Stelle hab ich aber ein Problem.
Seite 9 bei der Erstellung der Zertifikate gibt es die Unterpunkte "Exportieren des CA Zertifikats" und "Exportieren des IPCop Schlüssels".
Beide Unterpunkte enthalten den gleichen Text, was mich etwas verrwirrt.


Ralf

ich finde es auch sehr klasse geschrieben (hab natürlich auch abgestimmt ;) )
kann natürlich sein das ich etwas falsch verstanden habe, oder das es schon oft gefragt wurde, aber wie kann ich mich übers Internet per VPN mit nem kumpel verbinden?

also was ich eigentlich wissen möchte ist: brauche ich dafür denn nicht ne statische IP? damit sich die gateways immer wieder im VPN finden?

kann mich da vieleicht nochmal jemand aufklähren? :rolleyes:

also was ich eigentlich wissen möchte ist: brauche ich dafür denn nicht ne statische IP? damit sich die gateways immer wieder im VPN finden?

dafür gibt es Dienste wie www.dyndns.org

Ich muß leider nochmal nachfassen, da ich noch keine Antwort bekommen habe.
Da inzwischen so viele abgestimmt haben, wurde das HowTo auch von vielen gelesen. Sicher kann mir dann jemand sagen, ob ich auf Seite 9 etwas falsch lese oder ob der doppelte Texteintrag korrekt ist.
Ich komme nämlich an dieser Stelle nicht weiter.

Seite 9 bei der Erstellung der Zertifikate gibt es die Unterpunkte "Exportieren des CA Zertifikats" und "Exportieren des IPCop Schlüssels".
Beide Unterpunkte enthalten den gleichen Text.

Ralf

Ich muß leider nochmal nachfassen, da ich noch keine Antwort bekommen habe.

Ich kümmer mich im Laufe des Tages um Deine Frage.

mfg
cane

gibt es denn n alternative zu tinyca!! bekomme tinyca auf meiner distribution nicht zum laufen...

gibt es denn n alternative zu tinyca!! bekomme tinyca auf meiner distribution nicht zum laufen...

Du kannst jede CA wie z.B. OpenCA benutzen oder alternativ die Zertifikate von Hand erstellen.

Wo liegt den das Problem bei der Installation und welche Distribution setzt Du ein?

mfg
cane

habe die ****** suse 9.2! tinyca ist nur bis 9.1 mit dabei. aber zum glück hatte ich noch ne 9.0 und habe die aufn n anderen rechner installiert!

da ich dein howto durcharbeite, wollte ich halt das nehmen was du auch genommen hast. denn es gibt ja sooo viele komplikationen... :)

naja, und openca, ..., werde ich mich mal am wochenende versuchen auf 9.2 zu installieren:)

ich habe auch kein CA prog unter yast gefunden, das ich einfach so installieren könnte. bin da nämlich nich so der profi mit "./configure make, make install" bla ...

ich werde jetzt erstmal weiter machen in deinem howto:9


ps: in kapitel 6 vorletzer punkt ist doppelt!!

Hier gibts ein .rpm für SuSE 9.1 - sollte auch bei Dir funktionieren:
http://tinyca.sm-zone.net/index_ger.html

Das HowTO wird wenn ich mal wieder Zeit haben sollte nochmal überarbeitet - Danke für Die Korrektur...

mfg
cane