vpnc und rootserver

[sebbus]

Hallo,

ich würde gerne meinen Rootserver über vpnc ins Uni-interne VPN einbinden, um mit meinem Rootserver Rechner zu erreichen, die man nur erreichen kann, wenn man Teil des Uni-Netzes ist.

Nun meine Frage: Sollte ich auf meinem Server vpnc installieren und mich ins VPN einklinken, ist der Server dann trotzdem noch unter $IP zu erreichen, unter der er vorher erreichbar war? Also hat er dann sozusagen 2 IPs? (die alte und die Uni-IP?).

Da ich bisher wenig mit routing gemacht habe, was werde ich wohl in der Routing-Tabelle eintragen müssen, damit der Server auch weiß, wann er wohin seine Packete schicken muss?

Was haltet ihr allgemein von der Idee?

MfG, Sebastian

[nyxus]

Erstmal fragst Du in der Uni ob Du das überhaupt darfst ...

Die Version die ich mal hatte war sehr rudimentär, da die ganzen "EzVPN-Vorzüge" nicht umgesetzt wurden. Wenn ich mich recht erinnere mußte der Kernel mit Tunnel-Support installiert sein. Das Routing mußte per Hand (oder Script) nach dem Aufbau der Verbindung angepaßt werden.
Eine zweite IP bekommst Du dabei vom VPN-Gateway zugewiesen.


BTW: Wenn die Uni Dir das erlaubt stellt sie Dir auch den Original-Cisco-Client zur Verfügung. Mit dem ist das alles etwas einfacher gewesen.

[sebbus]

Erstmal fragst Du in der Uni ob Du das überhaupt darfst ...

Wenn ich das nicht dürfte, hätte ich keine Zugangsdaten :)
Und mit dem Laptop geh ich ja auch rein.

Die Version die ich mal hatte war sehr rudimentär, da die ganzen "EzVPN-Vorzüge" nicht umgesetzt wurden. Wenn ich mich recht erinnere mußte der Kernel mit Tunnel-Support installiert sein. Das Routing mußte per Hand (oder Script) nach dem Aufbau der Verbindung angepaßt werden.

Ja, das stimmt. Ich weiß aber aus eigener Erfahrung, dass es mit dem vpnc geht.

Eine zweite IP bekommst Du dabei vom VPN-Gateway zugewiesen.

Ok, das habe ich mir gedacht. Das heisst also, die alte IP bleibt trotzdem erhalten, richtig? Werden die routing-Tabellen dann automatisch angepasst (alles, was ins Uni-Netz gehen soll, geht über vpn, alles andere geht über $static_ip), oder muss ich da nacharbeiten!?

BTW: Wenn die Uni Dir das erlaubt stellt sie Dir auch den Original-Cisco-Client zur Verfügung. Mit dem ist das alles etwas einfacher gewesen.

Ich wollte nun eigentlich nicht über Vor- und Nachteile des vpnc und des cisco reden (ich könnte diesen auch nehmen), auf meinem Debian-System macht es sich aber besser (aufgrund der Wartbarkeit), den vpnc über aptitude zu installieren anstatt den cisco per make install, und dabei einen selbstgebauten Kernel ins System zu pflegen. Der vpnc kommt nämlich mit dem Standardkernel aus (zumindest bei mir ;) ).

[oxygen]

Das hängt von vpnc/Cisco Profil ab. Bei meiner Uni gibts z.B. extern, wlan und Full Tunnel. Wenn man extern verwendet, werden nur die Uni IPs über die VPN Verbindung geroutet.

[duergner]

Den Cisco willst du nicht verwenden, da der sich ja in den IP Stack einnistet und leider bei mir immer Problem mit dem nur partiellen routen von Packen ins VPN macht. Mit vpnc sollte das kein Problem sein.

[nyxus]

Wenn ich das nicht dürfte, hätte ich keine Zugangsdaten :)
Und mit dem Laptop geh ich ja auch rein.

Und die wissen auch, daß Du quasi vorhast den PSK "öffentlich" im Internet abzulegen?

Ok, das habe ich mir gedacht. Das heisst also, die alte IP bleibt trotzdem erhalten, richtig? Werden die routing-Tabellen dann automatisch angepasst (alles, was ins Uni-Netz gehen soll, geht über vpn, alles andere geht über $static_ip), oder muss ich da nacharbeiten!?

Das wurde mit einem Script gesetzt. Ob das dabei war erinnere ich mich jetzt nicht genau, meine es aber.

und leider bei mir immer Problem mit dem nur partiellen routen von Packen ins VPN macht.

Meinst Du das Verhalten normalerweise den gesamten Traffic durch den Tunnel zu senden? Das ist ein Feature.

[duergner]

Das sollte man eigentlich durch einen Schalter im Config File abstellen können. Der scheint aber nicht zu gehn. Und außerdem geht es leider mit dem Cisco Client auch nicht, dass man z.B. noch einen OpenVPN Tunnel durch den IPSec Tunnel schickt. :lol: