VPN oder was änhliches gesucht

[drbunsen]

Hi,

ich habe folgendes Problem. Ich habe mehre Rechner (derzeit vier), die jeder an seinem eigenem DSL Anschluss hängt. Diese Rechner müssen sich übers Internet zu einem Netzwerk (192.168.x.x) zusammen schliessen. Weder hängen andere PCs an den DSL-Anschlüssen, noch müssen die vier PC auf ein externes Netz zugreifen, sie sollen SELBER ein Gründen. Zur verfügung steht natürlich nen RootServer.
Daher halte ich VPN für ziemlich überdimensioniert. Ich stelle mir eher sowas wie nen DFÃ?-Server (nur halt übers Internet). Hat da jemand eine Idee?

Ich schäue VPN, da ich die VPN-Installation ehrlich gesagt für viel zu kompliziert halte. Wenn mich da jemand vom Gegenteil überzeugen kann, soll es mir natürlich auch recht sein ;).

[mutombo]

VPN is schon der richtige weg denke ich.
also entscheiden wäre erstmal was für ein OS bei den clients verwendet wird.
ich persönlich verwende gerne tinc, weil es einfacher zu installieren ist und ohne größere systemeingriffe funktioniert. läuft leider nicht unter windows, d.h. benötigt man einen linuxrouter auf dem tinc läuft.
es gibt auch einen linux-vpnserver(poptop meine ich heißt der), mit dem windows clients zusammenarbeiten.

[drbunsen]

Also, die Clients sind Win 2000 u. XP.
Ich glaube aber nicht, das die clients da Problem sind, ich gehe mal davon aus da gibt es ein paar gute, bzw. windows hat ja VPN(Client) ja schon intigriert.
Wichtig wäre für mich das der Server auf meinem Rootie relativ leicht aufzusetzten ist. Hat da jemand ne leichtes HowTo, oder vielleicht nen leichten Server?

[phil]

vpn und leicht sind wohl zwei Dinge die nicht ganz zusammenpaßen. poptop ist imho die einzige lösung für pptp server unter linux. siehe: http://www.poptop.org . Bei Debian gibt es auch Poptop als Paket in stable/testing/unstable -> apt-get install pptpd. Schwierig muß wohl sein, daß es mit der Verschlüsselung funktioniert (muß man den pppd patchen und was weiß nicht noch alles). Wollte das schon länger mal probieren bin aber leider noch nicht dazu gekommen. Mit der URL solltest Du aber auf jedenfall weiter kommen. Alternative ist noch ipsec, aber wie das funktioniert und wie gut die Windows Clients das beherrschen weiß ich nicht.

Gruß von der Insel
Phil

[drbunsen]

Hi,

ich danke erstmal für die Hilfe (der Hinweis auf PoPToP war sehr hilfreich), aber so schwer war das nicht, jedenfalls nicht mit SUSE.
Ich hab nämlich in Yast nen Paket dafür gefunden. Installiert, noch eine Conf von PoPTop.org kopiert, und weitere Benutzer eingerichtet.

FERTIG, war ne Sache von 10 Minuten.

[drbunsen]

Schade, war leider doch nicht zufriedenstellen die Lösung.

Ich hab VPN wunderbar hingekriegt, nur können die Leute die sich einloggen nicht untereinander kommunizieren. Ist ja auch klar, da es sich jeweils um ein einzelnes Netzwerk handelt (ppp0,ppp1,ppp2,...). Die Client kriegen alle IPs aus dem selben Subnet.

Kann mir da einer helfen?

[mutombo]

du mußt ein internes routing für deine devices erzeugen.
wie das genau geht weiß ich leider auch nicht, guck mal unter:
http://pptpclient.sourceforge.net/routing.phtml
is ziemlich ausführlich.

[dodolin]

Also PPTP hat inhärente Sicherheitsschwächen "by Design". -> Würde ich nicht empfehlen. CIPE, OpenVPN, FreeS/WAN, IPSec und Co. existieren...

[captaincrunch]

Also PPTP hat inhärente Sicherheitsschwächen "by Design".

Nähere Infos dazu hier :
http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/

[drbunsen]

Also PPTP hat inhärente Sicherheitsschwächen "by Design". -> Würde ich nicht empfehlen. CIPE, OpenVPN, FreeS/WAN, IPSec und Co. existieren...

Danke für den Hinweis, war mir eigentlich klar, ist ja auch nen Microsoft Protokoll ;). Ne aber mal im Ernst, die Sicherheit ist mir aus zwei Gründen erstmal völlig egal:
1. Die Daten die über das Netz laufen sind super unverständlich (kein reiner Text), absolut uninteresant und voll allem absolut wertlos. (Wer die haben will, bitte nicht hacken, einfach per PM nach ner Kopie fragen ;))
2. Der Server wird wirklich nur dann aktiviert wenn ich den mal brauche, und alle Connections werden soforts ausgefüllt.

[tyberius prime]

hinzu kommt, dass Freeswan unter Debian nur mit Kernel-Patch
(oder mit speziell zum kernel kompiliertem Modul, was im Endeffekt kaum weniger aufwand macht) läuft.

[captaincrunch]

Du brauchst bei fast jeder (Standard-) Distri den Kernelpatch, um FreeSwan nutzen zu können. Wenn du "Sicherheit" brauchst, fährst du damit aber noch mit am besten.

[tyberius prime]

jup.
und jetzt, wo mir das debian-how-to.de erzählt hat, wo ich die konfiguration des momentanen kernels finde (=den den CaptainCrunchs Skript freundlicherweise installiert hat), wird das auch was :-).

[captaincrunch]

... wobei der Standardkernel sehr viel komplett unnötigen Schrunz enthält. Wenn du noch ein bisschen Zeit hast, kannst du auf mein nächstes Hoto, das sich ausschließlich mit dem Bauen eines optimierten Kernels befasst warten.

[tyberius prime]

wenn ich bis dahin diese !§$%# freeswan am laufen hab, bau ich gerne nochmal nen neuen kernel und beta-teste dein howto.

Ich fühl mich bischen wie Sisyphus,
sobald ich ein Problem gelöst hab, taucht das nächste auf...

Momenanes Highligh: Pluto will den private RSA-Key nicht finden obwohl er mit
: RSA gatekey.key "meineKeyphrase" in der ipsec.secrets steht... und das einlesen der Datei keinen Fehler in einem Log produziert, den ich bislang gefunden hätte und eigentlich seit version 1.96 funktionieren sollte (versuche 2.0 auf debian/unstable zum laufen zu bewegen).

Problem -1 war übrigens, dass das Pluto-start-skript Pulto statt in /usr/lib/ipsec in /usr/libexec/ipsec gesucht hat... zumindesten mein Debian kenn kein /usr/libexec...

anyhow, ich geb's für heute auf...,
TP