VPN - auf einem Fli4l oder einem Server dahinter?

    Hallo zusammen,



    ich habe vor ein paar Tagen in der Fli4l Newsgroup eine Frage gestellt, jedoch bisher noch keine Antwort bekommen. Daher habe ich mir gedacht, ich frag mal hier nach, denn so wie ich die Communnity bisher kennengelernt habe, weiss die auf alles ne Antwort :D


    Hier mein Thread aus der Newsgroup:



    Wenn mir jemand weterhelfen könnte, wär's klasse!



    Gruß
    Boris

    Ähm jetzt muss ich erstmal fragen, welchen Kernel benutzt dein fli4l.



    Und welches VPN meinst du, das PPTP Protokoll von MS oder IPSec (ersteres ist zumindest unter einer vollwertigen LinuxDistri problemlos einrichtbar), für IPSec musst du dich erstmal schön durch einige FAQs lesen (naja das steht mir auch noch bevor, weil ich bei mir über kurz oder lang auch IPsec einrichten will, da das MS PPTP Protokoll wie bei MS üblcih nicht wirkich übermäßig sicher ist).

    TV VDR: GigaByte 965DS3, Intel C2D 2,4GHz, 1GB RAM, HD Ext, 2x TT PCI S-3200 DVB-S2, ATI Radeon HD2600, VDR 1.6.0-HDTV, Gentoo 2007.1, Kernel 2.6.24
    TV VDR: AOpen 945 GTM-VHL, Intel C2D-M 1,83GHz, 2GB RAM, HD Ext, 1x TT PCI S-3200 DVB-S2, Intel GMA950, VDR 1.6.0-HDTV, Gentoo 2007.1, Kernel 2.6.24
    VDR Server: Supermicro 370DE6, 2x Intel P3 866 MHz, 2GB RAM, TT-DVB-s Rev. 1.3, TT S1100 budget, KNC1 budget, TT S1401, 2x 500GB WD HDs, 1x 9GB U160 SCSI

    Hi,


    danke für die promte Antwort!


    Fli4l benutzt in der Version 2.1.7 Kernel 2.4.26.
    Für den Fli4l Router gibt es ein VPN Paket, das OpenVPN und CIPE unterstüzt.
    Lieber wäre mir allerdings IPSec, welches ich dann in der Servervariante betreiben würde.
    PPTP will ich aber eingentlich nicht einsetzen, aus den Gründen, die Du auch schon genannt hast...



    Gruß
    Boris

    Hi,


    Sicherheitstechnisch ist mir kein Problem mit VPN&fli bekannt, Richtige Konfiguration natürlich vorausgesetzt.
    Wir machen Filialanbindungen mit fli und cipe. Habe das seit der Version 2.0.3 mit cipe im Einsatz und noch keine größeren Probleme gehabt.
    Stelle gerade nach und nach ca. 50 Tunnel auf 2.1.6 und cipe um.


    OpenVPN auf fli lief in unseren Tests nicht so, wie wir es wollten. Deswegen weiter mit cipe.


    Gruß
    Detlef

    VDR1
    SMT-7020S zenslack
    VDR2
    SMT-7020S zenslack
    VDR3
    Zotac Zbox ID40, Sundtek DVB-S2, Cyberlink Remote
    yaVDR 0.3a testing

    Zitat

    Original von Eichbaum
    Das Gateway soll sowohl lokal (über extra NIC für einen WLAN AP), als auch über das Internet erreichbar sein. (Wichtiger ist allerdings die Absicherung des WLANs).


    Irgendwie werde ich daraus nicht schlau.
    1. Slime hat ja mal um ein paar Kästchen gebeten- das hilft vielleicht etwas weiter...
    2. Du mußt mal vor allem definieren, was Du damit erreichen willst. Absicherung WLAN, VPN- Client, VPN- Server, evtl. Paketfilter?


    Ein VPN dient dazu, über eine NICHT vertrauenswürdige Verbindung vertrauenswürdige Informationen auszutasuchen. Nicht mehr und nicht weniger.
    Erste Frage demnacht geht nach der Verbindung:
    WLAN oder Internet oder LAN oder oder oder...
    Danach die Frage der Dienste:
    VPN- Server, Client etc.
    Dann die Frage nach dynamischen oder statischen IPs ...


    Naja, schieb mal ein paar Infos nach, dann wissen wir auch, wo das GW hinsoll.

    Glotze: yaVDR (ASRock Q1900M, 4GB RAM, DD Cine S2 V6.5, ZOTAC GT630 (Rev. 2)
    Server: HP ProLiant MicroServer G8, VMware ESXi 5.5 :P

    Hallo,



    ich hab versucht, ein Skizze zu zeichnen.


    Ziel meiner Unternehmungen sollte es sein, über WLAN und/oder meinem Laptop in mein Heim-LAN (192.168.6.x) zu kommen - und dass über eine sichere Verbindung.


    Die Verbindung vom I-Net her erfolgt zwangsläufig über den Fli4l Router (mit dyndns).
    Der Accesspoint häng z.Z. an einer extra NIC im Fli4l mit eigenem Netz (192.168.10.x).



    Ich hoffe, ich konnte mich verständlich ausdrücken.



    Gruß
    Boris


    naja, ich fand' die erklärung von eichbaum eigentlich schon ziemlich verständlich ..


    das problem was mit fli4l bzw. mit dem cipe-addon besteht ist folgendes, cipe bietet im prinzip nur die möglichkeit einen tunnel zwischen zwei netzten zu bauen, d.h. z.b. auf beiden seiten ein router, der die jeweils lokalen netze via internet mit einander verbindet!
    eine verbindung von einem client-pc (deinem laptop z.b.) zum server via wlan wird üblicherweise so nicht realisiert!


    mit openvpn auf fli4l hab ich keine erfahrung .. aber da hat detlef geschrieben, das es bei ihm nicht so erfolgreich war .. :)


    ipsec via kernel 2.6 läuft ziemlich gut bei mir auch mit client software ala cisco vpn client .. der konfigurations+trail+fail-aufwand ist aber natürlich erheblich .. :)


    vielleicht hilft dir diese seite bzgl windows client etwas weiter http://vpn.ebootis.de/


    gruss
    andi

    Hi zusammen,



    bei meinen weiteren Recherchen ist mir IPCop wieder eingefallen. Dort gibt es ein IPSec gateway. Eigentlich genau das was ich suche. Nur bleibt halt die Frage, ob das VPN Gatway direkt auf der Firewall betreiben soll oder lieber dahinter auf dem Server....



    Gruß
    Boris



    PS: Es gibt sogar ein MOD von IPCop: IPFrog - vielleicht interessierts ja jemand...

    den tunnel auf dem gateway router zu terminieren hat einen entscheidenden vorteil, da dort ja normalerweise eh sschon eine "firewall" ihre dienst tut, hast du die möglichkeit, alles was aus dem tunnel kommt noch mit regeln zu belegen.

    --
    FSC Scovery xS / Celeron 533 (passiv) / 128MB / Maxtor 120GB / Vision DTV DVB-T / TT DVB-S 1.6 / debian 3.1 vdr 1.4 / vompserver + MVP

    hi,
    also ich würde auch den tunnel auf dem linux-router enden lassen.
    das hat - wie schon gesagt - den vorteil das du exakte regeln für dieses interface erstellen kannst. außerdem hast du dir dann das forwarding gespart.


    zudem ist es bedenklich wenn der tunnel hinter deiner FW enden würde... was passiert denn wenn sich jemand in den tunnel "reinhackt"?


    was genau willst du eigentlich?
    - netze koppeln (z.B. einen anderen standort mit mehreren rechnern ankoppeln)
    - einzelne rechner (roadwarrior) ankoppeln?


    für den ersten fall würde ich ipsec (freeswan, openvpn, [wie heißt das was im 2.6er kernel schon drin ist]) einsetzen
    für den roadwarrior würde ich pptp nehmen. ist allerdings etwas aufwendiger [ppp patchen, kernel patchen] wenn du noch die verstärkte verschlüsselung (mppe) einsetzen willst.

    Hi,


    @ slime
    Ich will keine netze koppeln - nur mich mit meinem Laptop übers I-Net daheim einwählen oder, wenn ich daheim bin, über meinen WLAN-AP (sicher!) ins heimische Netz.


    der_magus
    Und wie siehts mit der Sicherheit aus? Macht das nichts, das die Firewall den VPN-Dienst bereitstellt?



    Danke und Gruß
    Boris

    Hallo,
    will mal versuchen diesen Thread wieder zum Leben zu erwecken.


    Eichbaum
    Hast Du Deinen Plan schon umgesetzt? Hast Du fli4l benutzt? Welche opts?



    Will fast das ganz gleiche verwirklichen und komm irgendwie nicht weiter. Bin immer wieder unterwegs und deswegen möchte ich meinen VDR übers Internet programmieren können.


    Der Plan:
    Übers Internet ein VPN zum fli4l mit Dynds aufbauen, den VDR über WOL starten, dann vdradmin oder xxv aufrufen und den VDR programmieren. Ohne VPn funktionierts ja auch schon...




    Mfg Josef

    registered VDR-User: #1013


    Hardware: Asus A7V133 / 640 MB Ram / Athlon TB 1000 / SanDisk Ultra II 1GB / Samsung 120 GB + 160 GB/ Nec 1300 / TT 1.5 + Extension Board / TT Budget / GLCD 240x64


    Software: LinVDR 0.7 - vdr-1.4.3-2 - Kernel-2.6.18 auf CF-Card ... 384 MB LiveBuffer auf Ramdisk

    Hi Josef,



    ja, habe mein Netz wie auf dem Bild zu sehen aufgebaut.
    Allerdings nicht mehr mit Fli4l, sondern mittlerweile mit IP-Cop.
    Nachdem ich lange Jahre mit dem Fli4l zufrieden war, bin ich trotzdem zu IP-Cop gewechselt, weil es mir für "größere" aufgaben die sicherere und bessere Lösung ist. Ich kann den Cop nur weiterempfehlen!



    Gruß
    Boris

    Hallo Community!


    Ich klink mich auch mal einfach hier ein, weil ich demnächst endlich DSL habe und dann auch mal eben von Unterwegs einen Timer setzen möchte oder Ähnliches. Eben ein Roadwarrior Setup.


    Ich hatte mich schon mal etwas in die Thematik IPSec eingearbeitet, jedoch nicht sehr erfolgreich. PPTP hingegen war problemlos möglich.
    Ich würde jedoch gerne IPSec mit Zertifikaten einsetzen, weil es ein offener Standard ist.


    Kann mir Jemand ein gutes How-To empfehlen? Ich schau gleich mal beim IP-Cop vorbei, ob das vielleicht schon passt.

    Hardware: Gigabyte GA-970A-D3, AMD Athlon II X2 235e, 4GB RAM, Zotac GeForce 210 Synergy Edition 1GB, Corsair Force3 60GB SSD, Mystique SaTiX-S2 Dual, 6.4" TFT, Atric IR Einschalter Rev.5, Logitech Harmony 900, Samsung LE46A789 full HD LCD, Denon AVR-1910, USB Atmo-Light von Slime
    Software: yaVDR 0.5
    Streaming Client 1: Hauppauge MediaMVP
    Streaming Client 2: Telegant TG100 (wenn ich mal irgendwann die Zeit finde das UPnP-Plugin zu testen)

    Hi @ all,


    da es zum Thema passt, möchte ich auf das sehr interessante Projekt des ct-Magzin hinweisen.
    Es handelt sich um den ct-Debian-Server. Das besondere ist die integrierte Router-Firewall IPCop. IPCop läuft im User Mode Linux (UML) als normaler Prozess in einer Art virtuellen Maschine.
    Mit IPCop lassen sich anspruchsvolle Aufgaben wie VNP, eine echte DMZ, seperates WLAN über VPN und Traffic Shaping realiseiren, die man sonst meist erst in Highend-Routern ab 400 Euro aufwärts findet.
    Für den professionellen Einsatz mit hohen Sicherheitsanforderungen ist es nicht gedacht, aber für den Heimanwender ist es ein guter Kompromiss zwischen Sicherheit, Kosten und Komfort, der allemal mehr Sicherheit bietet als herkömmliche kombinierte Firewall/Server-Konzepte. (aus der ct 2005/4 zitiert)
    Ich selber habe dieses Konzept nach zwei Stunden Konfigurationsaufwand erfolgreich zum laufen bekommen.
    Momentan habe ich vor IPCop noch einen Fli4l-Router vorgeschaltet (wegen ISDN), was ohne Probleme funktioniert.


    Gruß MAK

    Hallo,
    das mit dem ct-Server habe ich mich auch ganz genau durchgelesen und war auch sehr begeistert. Bin leider noch nich dazu gekommen es wirklich mal auszuprobieren. Bis jetzt hat mir fli4l eigentlich immer vollkommen gereicht.


    Zitat

    Ich selber habe dieses Konzept nach zwei Stunden Konfigurationsaufwand erfolgreich zum laufen bekommen.
    Momentan habe ich vor IPCop noch einen Fli4l-Router vorgeschaltet (wegen ISDN), was ohne Probleme funktioniert.


    Das heißt, der fli4l "simuliert" dem ct-Server eine DSL-Verbindung? ;) Gute Idee, wart nämlich auch noch auf DSL und könnt ja dann gleich voll loslegen... Klappt auch vpn über einen entfernten Windows Rechner etc.



    Mfg Josef

    registered VDR-User: #1013


    Hardware: Asus A7V133 / 640 MB Ram / Athlon TB 1000 / SanDisk Ultra II 1GB / Samsung 120 GB + 160 GB/ Nec 1300 / TT 1.5 + Extension Board / TT Budget / GLCD 240x64


    Software: LinVDR 0.7 - vdr-1.4.3-2 - Kernel-2.6.18 auf CF-Card ... 384 MB LiveBuffer auf Ramdisk

    @ JosefGierl

    Zitat

    Klappt auch vpn über einen entfernten Windows Rechner etc.

    VPN habe ich noch nicht konfiguriert, ist aber eine Menge dazu in den zugehörigen ct-Heften geschrieben worden.


    Gruß MAK


    VDR - VDR mit XBMC - MythTV

    2 Mal editiert, zuletzt von MAK ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden