VPN mit Freeswan

[Anonymous]

Hat jemand erfolgreich ein VPN auf Freeswan-Basis zu seinem Root-Server aufgesetzt?

Mir will das nicht gelingen (duplicate-packet-Fehler) und suche einen Diskussionspartner.

[hpd]

Hallo,

ich habe nach längerem Probieren jetzt eine Konfiguration mit Freeswan am Laufen. Wie kann ich weiterhelfen?

[floschi]

Hi !

Interessantes Thema.

Könnt ihr vielleicht ein kleines HowTo posten, wenn's funzzt?

THX

Olfi ;)

[hpd]

Hallo,

das mit dem "kurzen" Howto wird schwer....
die wesentlichen Schritte waren:
- neue Kernel-Sources installieren
- FreeSwan Paket laden und installieren
- FreeSwan-Patches im Kernel-Source machen
- Kernel übersetzen und installieren
- FreeSwan Ã?bersetzen und installieren
- tief durchatmen und mit neuem Kernel booten
- erste FreeSwan Konfiguration bauen und dann testen bis alles stimmt
- RSA Schlüssel erzeugen und verteilen
- Firewall anpassen für neue Interfaces und neue Regeln
- FreeSwan Startskript so anpassen, dass es Puretec-Routen versteht
- FreeSwan Startskript ändern, damit es zu SuSEFirewall2 passt
und jetzt läuft meine Konfiguration zu einem zweiten Linux mit FreeSwan....
noch offen:
Anpassung an X.509-Zertifikate
Einbindung von XP-Clients
Einige Wochen Betriebserfahrung....
Dann kann ich mit ein HowTo vorstellen. Bis dahin gerne Auskunft hier oder per Mail...

[floschi]

Hi!

THX erstmal, als Einstieg dürfte das reichen.

Mal schauen, ob ich mir das antue ;)

Gruß

Olfi

[Anonymous]

[...] ich habe nach längerem Probieren jetzt eine Konfiguration mit Freeswan am Laufen. Wie kann ich weiterhelfen?

Auch meine Konfiguratin geht inzwischen. Allerdings musste ich das _updown-Script anpassen (was mir nicht so gut gefällt).

Ursache für das Problem ist der ungewöhnliche Netzwerk-Setup meines Root-Servers.
Dabei ist eth0 (wie ein Peer-to-Peer-Interface) mit einer Hostmaske (255.255.255.255)
konfiguriert. Damit der Gateway erreicht werden kann, hat man eine Device-Route auf eth0
mit dem Gateway als Ziel aufgesetzt.

Dieser Setup führt dazu, dass ipsec seine Routen nicht setzen kann:

Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: SIOCADDRT: Network is unreachable
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: /usr/local/lib/ipsec/_updown: `route add -net 192.168.3.2 netmask 255.255.255.255 dev ipsec0 gw 217.160.129.1' failed
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client output: /usr/local/lib/ipsec/_updown: (incorrect or missing nexthop setting??)
Aug 29 10:39:22 p15103099 Pluto[13509]: "chochma-malkut" #4: route-client command exited with status 7

Gelöst habe ich das dadurch, dass ich im _updown-Script ein anders Route-Kommando
eingetragen habe, mit der Adresse von eth0 als Gateway. So geht's. Schöner wäre natürlich
eine Lösung ohne diese Manipulation.

Wie sieht das bei dir aus?

Gruß PE

[hpd]

Meine Lösung ist sehr ähnlich:
Im IPSEC-script in /etc/rc.d habe ich hinzugefügt:
route add -net 217.160.132.1 netmask 255.255.255.255 dev ipsec0
Damit funktionieren die später ausgeführten route-commands von IPSEC
Da es eine spezifische Route auf den Puretec-Router ist, stört es im restlichen Umfeld m.E. nicht weiter.
im _updown habe ich nur das Starten meiner Firewall eingetragen, das SuSEfirewall2-script funktioniert im VPN-Ast erst richtig, wenn das IPSEC-Interface eingetragen ist.

Das "seltsame" Netzwerk-Setup der Rootserver hat schon Vorteile:
es wird nur eine IP-Adresse je root-server verbraucht statt eines kompletten Subnets mit mindestens vier Adressen.
Gleichzeitig bleiben die Broadcasts auf einen Server beschränkt.
Trickreich aber nicht dumm.....

[Anonymous]

ich möchte ein VPN zwischen meinem LAN und einem RootServer bei 1&1 aufsetzen. In den Docs sind drei Alternative aufgeführt:

1) CIPE
2) Freeswan
3) OpenSSL

Welche dieser Alternative sollte man unter welchen Umständen benutzen (in Hinsicht auf Sicherheitniveau, Installations-/Wartungs-Aufwand etc.)?

Dankbar für jede Idee!

[rootmaster]

es gibts übrigens ein webmin-modul für die configuration ;) ist zwar noch beta, aber läuft schon ganz gut....

http://www.niemueller.de/webmin/modules/freeswan/

"back to the roots"

[Anonymous]

Meine Lösung ist sehr ähnlich:
Im IPSEC-script in /etc/rc.d habe ich hinzugefügt:
route add -net 217.160.132.1 netmask 255.255.255.255 dev ipsec0

Danke, das geht prima.
Am Besten ist die route jedoch direkt in der ipsec.conf aufgehoben,
da sie sonst beim reload des kernel-moduls immer verloren geht.
So wird die route immer wieder neu gesetzt, wenn ipsec restartet wird.

Gruesse
Kay

Code: Select all

config setup
        ...        
        # Close down old connection when new one using same ID shows up.
        uniqueids=yes
        # add router address, cause default-router is not inside subnet-declaration
        prepluto="route add -net 217.160.91.1 netmask 255.255.255.255 dev ipsec0"

[chris2000]

Dazu habe ich auch noch eine Frage. Zwischen Client1 und Client2 soll ein VPN aufgebaut werden. Auf den Router hat man dabei keinen Zugriff.

Code: Select all

                                                    
  client1    ----  Router   -----> Internet  <------   client2
(priv. IP!!)

Also ihr seht: Das Problem ist, dass Client 1 eine private IP hat.
Der Router verändert sie (NAT) in eine öffentliche.

Damit funktioniert IPSec dann aber nicht mehr. Was für Alternativen gibt es oder wie würdet ihr das machen.

Gruß,
Christian

[nyxus]

Also ihr seht: Das Problem ist, dass Client 1 eine private IP hat.
Der Router verändert sie (NAT) in eine öffentliche.

Damit funktioniert IPSec dann aber nicht mehr. Was für Alternativen gibt es oder wie würdet ihr das machen.

IPSec kann schon noch funktionieren, wenn ihr nur ESP benutzt. Oder auf IPSec über UDP ausweichen (sofern unterstützt).


Gruß, Nyx

[hpd]

Hallo,

IPsec wurde entwickelt um die Kommunikation über IP sicherer zu machen. Dazu gehört, dass die Absenderadresse nicht gefälscht werden kann. Dies wird durch Einschließen der IP-Adressen in die Prüfsumme erreicht im AH (Authentication-Header). Daher geht kein NAT.
Verwendet man nur ESP, wird nur der Inhalt verschlüsselt. Im Standard steht, dass dies nicht sinnvoll ist und ESP nicht allein eingesetzt werden sollte, daher machen fast alle Implementierungen automatisch AH, wenn sie ESP machen.

Mögliche Alternativen:
1 - IPSEC im Tunnelmodus auf dem Router aufsetzen -> Sicherheit erst ab dem Router, aber keine Probleme, da hier schon die öffentliche Adresse im Paket steht
2 - PPTP verwenden (funktioniert über NAT hinweg)
3 - spezielle Versionen von NAT verwenden, bei denen der Client bereits die öffentliche Adresse vom NAT genannt bekommt und diese für IPSEC verwendet. Die Daten zwischen Client und NAT-Router werden in einem eigenen Tunnel übertragen. (Gibt es meines Wissens bisher nur als Testimplemetierung von Universitäten und nicht als Produkt??)
4 - NAT vermeiden

Gruß
Hans Peter

[chris2000]

Hallo,
danke für deine Antwort.

IPSec kann schon noch funktionieren, wenn ihr nur ESP benutzt. Oder auf IPSec über UDP ausweichen (sofern unterstützt).

1. Müsste der Router IPSec über UDP unterstützen?
2. Was ist der Nachteil von ESP?

Gruß,
Christian

[chris2000]

Hallo,

Dazu gehört, dass die Absenderadresse nicht gefälscht werden kann. Dies wird durch Einschließen der IP-Adressen in die Prüfsumme erreicht im AH (Authentication-Header). Daher geht kein NAT.

Ja, soweit hab ich's verstanden.

Verwendet man nur ESP, wird nur der Inhalt verschlüsselt. Im Standard steht, dass dies nicht sinnvoll ist und ESP nicht allein eingesetzt werden sollte, daher machen fast alle Implementierungen automatisch AH, wenn sie ESP machen.

Das heißt man könnte AH auch deaktivieren, wenn man ESP einsetzt.

1 - IPSEC im Tunnelmodus auf dem Router aufsetzen -> Sicherheit erst ab dem Router, aber keine Probleme, da hier schon die öffentliche Adresse im Paket steht

Wie gesagt, man hat keinen Zugriff auf den Router und kann an ihm nichts verändern.

2 - PPTP verwenden (funktioniert über NAT hinweg)

Das müsste der Router dann aber auch unterstützen, oder?

3 - spezielle Versionen von NAT verwenden, bei denen der Client bereits die öffentliche Adresse vom NAT genannt bekommt und diese für IPSEC verwendet.

Ich kenne die öffentliche Adresse, d.h. ich könnte sie in einer Konfigurationsdatei eingeben. Der NAT-Router selbst kann sie dem Client nicht nennen.

Die Daten zwischen Client und NAT-Router werden in einem eigenen Tunnel übertragen. (Gibt es meines Wissens bisher nur als Testimplemetierung von Universitäten und nicht als Produkt??)

Wie gesagt, kann am Router nichts ändern.

4 - NAT vermeiden

Kann ich auch nicht.

Gruß,
Christian