PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VPN Masquerading



meinereinerseiner
11.05.01, 15:26
ich möchte eine VPN zu unseren Firmennetzt aufbauen.

Netzwerk
zu Hause: 192.168.100.0/24, linuxrouter mit
192.168.100.1 und DSL (ppp0)
Firma: VPN Server über ext. IP erreichbar (195.....), int. Netzwerk 10.10.0.0.

Den Kernel hab ich schon auf VPN Masquerading gepacht.

Wie muss ich denn nun die Regeln f. ipchains setzen, damit ich entweder die VPN Verbindung vom router aus zum VPN server bekomme und alle anfragen an das 10er Netz dorthin geleitet werden, bzw. damit jeder Client im 192er Netz, per VPN Software die Verbindung selbst herstellen kann?


der tom

bertl
17.05.01, 10:41
Hi,

womit baust du denn das VPN als solches auf?
Als Ipsec-Tunnel?
Also, ich hab's mit freeswan gemacht und da hab ich dann halt die Regeln für isakmp, ESP
und eine forward-Regel der folgenden Art drinne:
# ike
ipsec -A input -b -p udp -s 0.0.0.0/0 500 -d EXT_IP 500 -i eth1 -j ACCEPT
ipsec -A output -b -p udp -s 0.0.0.0/0 500 -d EXT_IP 500 -i eth1 -j ACCEPT
#ESP
ipsec -A input -b -p 50 -s 0.0.0.0/0 -d EXT_IP -i eth1 -j ACCEPT
ipsec -A output -b -p 50 -s 0.0.0.0/0 -d EXT_IP -i eth1 -j ACCEPT
# MASQ
ipsec -A forward -b -p all -s 0.0.0.0/0 -d 0.0.0.0/0 -i eth0 -j MASQ

...wobei eth1 im I-Net liegt und eth0 im LAN

Ingo

meinereinerseiner
17.05.01, 11:36
hmm, gute frage.

ich hab hier einen Cisco VPN Client für NT mit den notwendigen Keys und der tut nur, wenn das ext. NW Device direkt in dem Client ist, also dachte ich mir,
das muss doch auch über einen linuxrouter laufen. Naja - viel ahnung von VPN hab ich nicht, wie auch immer ich sowas angehen muss?

der tom

bertl
17.05.01, 15:03
Hi Tom,

ich denke, da wirst du nur zweiter Sieger werden. Deine Cisco (..und damit auch der Client auf der NT-Kiste) tunneln und verschlüsseln über IPSec. Das Problem ist dann aber, wenn die verschlüsselten Pakete von der Windoof-Maschine zu Deinem Linux-router kommen und dort auf die offizielle IP maskiert werden, ändert sich der Header der IPSec-Päckchen und das mag wiederum der Cisco-Router in der Firma nicht.
Die Pakete wurden schließlich verändert und damit werden sie abgewiesen, weil unglaubwürdig geworden (...ist ja logisch, sonst wäre IPsec auch nicht sicher...).
Die einzige Chance die Du da wohl hast, schmeiß den Cisco-Client runter und installiere auf deinem Linux-Router FreeSwan.
Dem kannst Du beibringen, sich mit der Cisco sicher zu unterhalten (s. ,www.freeswan.org, (http://www.freeswan.org) auch die mailinglist).
Das masquerading machst du auf der Linux-Büchse, bevor die Päckchen verschlüsselt werden. Dann funzt es.

cu
Ingo

[ 17. Mai 2001: Beitrag editiert von: bertl ]

meinereinerseiner
13.07.01, 21:02
das mit dem freeswan hab ich nun mal langsam zum rennen bekommen, jedenfalls erstmal die installation.

wie muss ich das nun konfigurieren.
Was ich habe ist ein key, die öffentl. ip der gegenstelle, das gegennetz hat die 10.10.0.0 meins zu hause die 192.168.100.0.

der tom