VPN mit Freeswan

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

VPN mit Freeswan

Post by Anonymous » 2002-08-29 18:03

Hat jemand erfolgreich ein VPN auf Freeswan-Basis zu seinem Root-Server aufgesetzt?

Mir will das nicht gelingen (duplicate-packet-Fehler) und suche einen Diskussionspartner.

hpd
Posts: 4
Joined: 2002-09-09 11:38

Erfolgreiche Freeswan Installation

Post by hpd » 2002-09-09 11:42

Hallo,

ich habe nach längerem Probieren jetzt eine Konfiguration mit Freeswan am Laufen. Wie kann ich weiterhelfen?

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: VPN mit Freeswan

Post by floschi » 2002-09-09 12:24

Hi !

Interessantes Thema.

Könnt ihr vielleicht ein kleines HowTo posten, wenn's funzzt?

THX

Olfi ;)

hpd
Posts: 4
Joined: 2002-09-09 11:38

Re: VPN mit Freeswan

Post by hpd » 2002-09-09 12:51

Hallo,

das mit dem "kurzen" Howto wird schwer....
die wesentlichen Schritte waren:
- neue Kernel-Sources installieren
- FreeSwan Paket laden und installieren
- FreeSwan-Patches im Kernel-Source machen
- Kernel übersetzen und installieren
- FreeSwan Ã?bersetzen und installieren
- tief durchatmen und mit neuem Kernel booten
- erste FreeSwan Konfiguration bauen und dann testen bis alles stimmt
- RSA Schlüssel erzeugen und verteilen
- Firewall anpassen für neue Interfaces und neue Regeln
- FreeSwan Startskript so anpassen, dass es Puretec-Routen versteht
- FreeSwan Startskript ändern, damit es zu SuSEFirewall2 passt
und jetzt läuft meine Konfiguration zu einem zweiten Linux mit FreeSwan....
noch offen:
Anpassung an X.509-Zertifikate
Einbindung von XP-Clients
Einige Wochen Betriebserfahrung....
Dann kann ich mit ein HowTo vorstellen. Bis dahin gerne Auskunft hier oder per Mail...

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: VPN mit Freeswan

Post by floschi » 2002-09-09 13:10

Hi!

THX erstmal, als Einstieg dürfte das reichen.

Mal schauen, ob ich mir das antue ;)

Gruß

Olfi

Anonymous

Re: Erfolgreiche Freeswan Installation

Post by Anonymous » 2002-09-10 10:21

hpd wrote:[...] ich habe nach längerem Probieren jetzt eine Konfiguration mit Freeswan am Laufen. Wie kann ich weiterhelfen?
Auch meine Konfiguratin geht inzwischen. Allerdings musste ich das _updown-Script anpassen (was mir nicht so gut gefällt).

Ursache für das Problem ist der ungewöhnliche Netzwerk-Setup meines Root-Servers.
Dabei ist eth0 (wie ein Peer-to-Peer-Interface) mit einer Hostmaske (255.255.255.255)
konfiguriert. Damit der Gateway erreicht werden kann, hat man eine Device-Route auf eth0
mit dem Gateway als Ziel aufgesetzt.

Dieser Setup führt dazu, dass ipsec seine Routen nicht setzen kann:

Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: SIOCADDRT: Network is unreachable
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: /usr/local/lib/ipsec/_updown: `route add -net 192.168.3.2 netmask 255.255.255.255 dev ipsec0 gw 217.160.129.1' failed
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: /usr/local/lib/ipsec/_updown: (incorrect or missing nexthop setting??)
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client command exited with status 7

Gelöst habe ich das dadurch, dass ich im _updown-Script ein anders Route-Kommando
eingetragen habe, mit der Adresse von eth0 als Gateway. So geht's. Schöner wäre natürlich
eine Lösung ohne diese Manipulation.

Wie sieht das bei dir aus?

Gruß PE

hpd
Posts: 4
Joined: 2002-09-09 11:38

Re: VPN mit Freeswan

Post by hpd » 2002-09-10 12:09

Meine Lösung ist sehr ähnlich:
Im IPSEC-script in /etc/rc.d habe ich hinzugefügt:
route add -net 217.160.132.1 netmask 255.255.255.255 dev ipsec0
Damit funktionieren die später ausgeführten route-commands von IPSEC
Da es eine spezifische Route auf den Puretec-Router ist, stört es im restlichen Umfeld m.E. nicht weiter.
im _updown habe ich nur das Starten meiner Firewall eingetragen, das SuSEfirewall2-script funktioniert im VPN-Ast erst richtig, wenn das IPSEC-Interface eingetragen ist.

Das "seltsame" Netzwerk-Setup der Rootserver hat schon Vorteile:
es wird nur eine IP-Adresse je root-server verbraucht statt eines kompletten Subnets mit mindestens vier Adressen.
Gleichzeitig bleiben die Broadcasts auf einen Server beschränkt.
Trickreich aber nicht dumm.....

Anonymous

VPN; CIPE, OpenSSL vs. Freeswan

Post by Anonymous » 2002-10-03 19:30

ich möchte ein VPN zwischen meinem LAN und einem RootServer bei 1&1 aufsetzen. In den Docs sind drei Alternative aufgeführt:

1) CIPE
2) Freeswan
3) OpenSSL

Welche dieser Alternative sollte man unter welchen Umständen benutzen (in Hinsicht auf Sicherheitniveau, Installations-/Wartungs-Aufwand etc.)?

Dankbar für jede Idee!

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: VPN mit Freeswan

Post by rootmaster » 2002-10-03 23:51

es gibts übrigens ein webmin-modul für die configuration ;) ist zwar noch beta, aber läuft schon ganz gut....

http://www.niemueller.de/webmin/modules/freeswan/

"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

Anonymous

Re: VPN mit Freeswan

Post by Anonymous » 2003-01-04 17:55

hpd wrote:Meine Lösung ist sehr ähnlich:
Im IPSEC-script in /etc/rc.d habe ich hinzugefügt:
route add -net 217.160.132.1 netmask 255.255.255.255 dev ipsec0
Danke, das geht prima.
Am Besten ist die route jedoch direkt in der ipsec.conf aufgehoben,
da sie sonst beim reload des kernel-moduls immer verloren geht.
So wird die route immer wieder neu gesetzt, wenn ipsec restartet wird.

Gruesse
Kay

Code: Select all

config setup
        ...        
        # Close down old connection when new one using same ID shows up.
        uniqueids=yes
        # add router address, cause default-router is not inside subnet-declaration
        prepluto="route add -net 217.160.91.1 netmask 255.255.255.255 dev ipsec0"


chris2000
Posts: 54
Joined: 2002-08-21 21:33

NAT

Post by chris2000 » 2003-01-04 19:14

Dazu habe ich auch noch eine Frage. Zwischen Client1 und Client2 soll ein VPN aufgebaut werden. Auf den Router hat man dabei keinen Zugriff.

Code: Select all

                                                    
  client1    ----  Router   -----> Internet  <------   client2
(priv. IP!!)
Also ihr seht: Das Problem ist, dass Client 1 eine private IP hat.
Der Router verändert sie (NAT) in eine öffentliche.

Damit funktioniert IPSec dann aber nicht mehr. Was für Alternativen gibt es oder wie würdet ihr das machen.

Gruß,
Christian

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: NAT

Post by nyxus » 2003-01-05 00:02

chris2000 wrote: Also ihr seht: Das Problem ist, dass Client 1 eine private IP hat.
Der Router verändert sie (NAT) in eine öffentliche.

Damit funktioniert IPSec dann aber nicht mehr. Was für Alternativen gibt es oder wie würdet ihr das machen.
IPSec kann schon noch funktionieren, wenn ihr nur ESP benutzt. Oder auf IPSec über UDP ausweichen (sofern unterstützt).


Gruß, Nyx

hpd
Posts: 4
Joined: 2002-09-09 11:38

IPSEC und NAT

Post by hpd » 2003-01-05 09:46

Hallo,

IPsec wurde entwickelt um die Kommunikation über IP sicherer zu machen. Dazu gehört, dass die Absenderadresse nicht gefälscht werden kann. Dies wird durch Einschließen der IP-Adressen in die Prüfsumme erreicht im AH (Authentication-Header). Daher geht kein NAT.
Verwendet man nur ESP, wird nur der Inhalt verschlüsselt. Im Standard steht, dass dies nicht sinnvoll ist und ESP nicht allein eingesetzt werden sollte, daher machen fast alle Implementierungen automatisch AH, wenn sie ESP machen.

Mögliche Alternativen:
1 - IPSEC im Tunnelmodus auf dem Router aufsetzen -> Sicherheit erst ab dem Router, aber keine Probleme, da hier schon die öffentliche Adresse im Paket steht
2 - PPTP verwenden (funktioniert über NAT hinweg)
3 - spezielle Versionen von NAT verwenden, bei denen der Client bereits die öffentliche Adresse vom NAT genannt bekommt und diese für IPSEC verwendet. Die Daten zwischen Client und NAT-Router werden in einem eigenen Tunnel übertragen. (Gibt es meines Wissens bisher nur als Testimplemetierung von Universitäten und nicht als Produkt??)
4 - NAT vermeiden :wink:

Gruß
Hans Peter

chris2000
Posts: 54
Joined: 2002-08-21 21:33

Re: NAT

Post by chris2000 » 2003-01-05 14:39

Hallo,
danke für deine Antwort.
Nyxus wrote: IPSec kann schon noch funktionieren, wenn ihr nur ESP benutzt. Oder auf IPSec über UDP ausweichen (sofern unterstützt).
1. Müsste der Router IPSec über UDP unterstützen?
2. Was ist der Nachteil von ESP?

Gruß,
Christian

chris2000
Posts: 54
Joined: 2002-08-21 21:33

Re: IPSEC und NAT

Post by chris2000 » 2003-01-05 14:44

Hallo,
hpd wrote:Dazu gehört, dass die Absenderadresse nicht gefälscht werden kann. Dies wird durch Einschließen der IP-Adressen in die Prüfsumme erreicht im AH (Authentication-Header). Daher geht kein NAT.
Ja, soweit hab ich's verstanden.
Verwendet man nur ESP, wird nur der Inhalt verschlüsselt. Im Standard steht, dass dies nicht sinnvoll ist und ESP nicht allein eingesetzt werden sollte, daher machen fast alle Implementierungen automatisch AH, wenn sie ESP machen.
Das heißt man könnte AH auch deaktivieren, wenn man ESP einsetzt.
1 - IPSEC im Tunnelmodus auf dem Router aufsetzen -> Sicherheit erst ab dem Router, aber keine Probleme, da hier schon die öffentliche Adresse im Paket steht
Wie gesagt, man hat keinen Zugriff auf den Router und kann an ihm nichts verändern.
2 - PPTP verwenden (funktioniert über NAT hinweg)
Das müsste der Router dann aber auch unterstützen, oder?
3 - spezielle Versionen von NAT verwenden, bei denen der Client bereits die öffentliche Adresse vom NAT genannt bekommt und diese für IPSEC verwendet.
Ich kenne die öffentliche Adresse, d.h. ich könnte sie in einer Konfigurationsdatei eingeben. Der NAT-Router selbst kann sie dem Client nicht nennen.
Die Daten zwischen Client und NAT-Router werden in einem eigenen Tunnel übertragen. (Gibt es meines Wissens bisher nur als Testimplemetierung von Universitäten und nicht als Produkt??)
Wie gesagt, kann am Router nichts ändern.
4 - NAT vermeiden :wink:
Kann ich auch nicht.

Gruß,
Christian