VPN mit FreeS/WAN: Frage zum Aufbau

[sfeni]

Ist es möglich zwischen diesen 3 Netzwerken über den RootServer ein VPN aufzubauen?

Code: Select all

 ------------
| Netzwerk |   A-DSL
| 10.0.1.X |--------------
 ------------              |
                          |
 ------------              |                    -----------------
| Netzwerk |   A-DSL      |        100 MBit   |    RootServer   |
| 10.0.2.X |----------- Internet -------------| 217.217.217.217 |
 ------------              |                    -----------------
                          |
 ------------              |
| Netzwerk |   A-DSL      |
| 10.0.3.X |--------------/
 ------------

Die A-DSL Leitungen bekommen Dynamische IPs zugewiesen und sind fast 24h Online, d.h. Sie wechseln alle ca. 24 Stunden ihr IPs.
Der RootServer sollte als VPN-Server genutzt werden auf den alle verbinden sollten und dann über diesen ein gemeinsames Netzwerk bilden.
In den einzelnen Netzwerken stehen dann Linux-Gateways mit FreeS/WAN und auf dem RootServer läuft natürlich auch FreeS/WAN.

Ist das so möglich?

[captaincrunch]

Dynamische IP's gehen mit dem "Standard"-FreeSwan nicht, aber schau mal hier : http://www.freeswan.org/freeswan_trees/ ... Ttraversal

Oder halt direkt hier http://www.freeswan.ca/

[sfeni]

Hab ich das dann falsch verstanden in der Doku?!?!?!?!?

Ich finde grad den Link nicht (Hab das vorhin irgendwo gelesen), aber es müsste ja möglich sein das ganze mit einem DynDNS Dienst zu machen, oder?

ODER

Man lasst von dem dynamischen IPs aus ein Client starten, der dem Server dann die aktuelle IP mitteilt und der Server schreibt dann die Config neu. Geht das denn?

[captaincrunch]

Ich zitiere mal kurz aus der Doku zu Super-FreeSwan :

Requirements

To configure the network-to-network connection you must have:

* two Linux gateways with static IPs
* a network behind each gate. Networks must have non-overlapping IP ranges.
* Linux FreeS/WAN installed on both gateways
* tcpdump on the local gate, to test the connection

DNS hat mit der ganzen Sache herzlich wenig zu tun.

[sfeni]

Und ich poste noch nachträglich den Link, den ich gerade wieder gefunden habe...

http://dynipsec.tripod.com/dyndeu.txt

[captaincrunch]

In dem Fall weise ich mal auf den entscheidenden Satz :

Ich gehe in diesem HOWTO nur auf die entscheidenden Probleme
von dynamischen IP's für ein VPN ein, nicht auf eine Freeswan konfiguration
(dies ist unter http://www.freeswan.org zu finden).

hin. Wenn FreeSwan also nativ keine Unterstützung für's NATing hat, musst du das auf jeden Fall erstmal patchen.

[captaincrunch]

Ansonsten gibt's hier noch mehr Info : http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html

[sfeni]

Danke...
Werde mal reinschnuppern =)

[cjhbabel]

Ist es möglich zwischen diesen 3 Netzwerken über den RootServer ein VPN aufzubauen?

Wenn es nicht unbedingt FreeSwan sein muss geht es in jedem Fall mit vtun ( http://vtun.sourceforge.net ). vtun ist bei Debian dabei und die Konfiguration ist denkbar einfach. Wenn du fli4l ( http://www.fli4l.de ) als Linuxrouter benutzt gibt es auch dort ein fertiges vtun Paket.

[dodolin]

cipe geht auch mit NAT, gibt's auch als .deb und für fli4l...

[cjhbabel]

cipe geht auch mit NAT, gibt's auch als .deb und für fli4l...

Ja, weiss ich :). Allerdings ist es mit vtun wesentlich einfacher die Verwaltung zu erreichen die Sfeni haben wollte (also mit einem zentralen Server). Mit opt_cipe für fli4l geht es auch ganz ohne Server mit fester IP Adresse, es muss lediglich jeder fli4l Client einen dyndns Service benutzen.

[sfeni]

Danke schön...
werde das mal antesten =)

[silv]

tagtag ...

also erstmal .. dynamische ips un NatT sind 2 verschiedene geschichten .. wenn du auf deine gws mit der puplic dynamic ip den freeswan direkt mit draufpackst ist alles gut ..
selbst wenn er hinter nem nat steht muss nich zwangsläufig gepatched werden ..

btw .. du brauchst eigentlich garkeinen ip festen server für deine config .. check mal http://www.niemueller.de/software/perl/ipsecmonitor/

.. nettes stück code

.. das ganze mit rsakeys oder x509 certs und alles ist fein ..

.. gruß,

silv

[sfeni]

Danke Danke... Wird immer besser ;-)