Hi,
wir muessen einen Ubuntu Root Server (1und1) mittels VPN an unser lokales Netz andocken, sodass die Kommunikation von und zu dem Ubuntu Server lediglich mittels internen IPs
funktioniert, nach aussen sollen auf dem Root Server lediglich SSH und eben der VPN Port offen sein.
Welche Vorgehensweise waere hier angeraten wenn wir als Linux Server Ubuntu 12.04 LTS nutzen und als Gegenstelle unseren Lancom 1711 VPN ?
Danke im Vorraus.
1und1 Root-Ubuntu Server per VPN an Lancom
Moderator: Lancom-Systems Moderatoren
Re: 1und1 Root-Ubuntu Server per VPN an Lancom
Wer soll denn den Aufbau der VPN-Verhandlung einleiten, das Landom oder der Ubuntu-Server?
Automatisch(Immer) oder nur auf Wunsch?
Das wäre entscheidend, um zu wissen welches Tool bzw. welchen Daemon du einsetzen solltest/könntest.
Hat der Ubuntu Server eine Dynamische Ip und ist der Server hinter einem NAT?
Hat das Lancom eine Dynamische Ip und ist das LANCOM hinter einem NAT?
Automatisch(Immer) oder nur auf Wunsch?
Das wäre entscheidend, um zu wissen welches Tool bzw. welchen Daemon du einsetzen solltest/könntest.
Hat der Ubuntu Server eine Dynamische Ip und ist der Server hinter einem NAT?
Hat das Lancom eine Dynamische Ip und ist das LANCOM hinter einem NAT?
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 1und1 Root-Ubuntu Server per VPN an Lancom
Tendenziel wohl eher der Ubuntu, damit ich nicht unbedingt dort einen Server installieren muss, dachte ich zumindest.Wer soll denn den Aufbau der VPN-Verhandlung einleiten, das Landom oder der Ubuntu-Server?
dauerhaft - also immer verbunden.Automatisch(Immer) oder nur auf Wunsch?
feste public ip - kein nat.Hat der Ubuntu Server eine Dynamische Ip und ist der Server hinter einem NAT?
feste public ip - kein nat.Hat das Lancom eine Dynamische Ip und ist das LANCOM hinter einem NAT?
Btw, danke schonmal!
Re: 1und1 Root-Ubuntu Server per VPN an Lancom
Ich habe es gestern testweise probiert und es geschafft zwischen meinem Ubuntu und dem Lancom mit dem Shrew-Soft Client eine VPN-Verbindung aufzubauen.
Dieser erfordert allerding ein manuelles Einwählen.
Lässt sich aber per Befehl starten:
Leider habe ich es nicht geschafft, dass die Verbindung wieder automatisch aufgebaut wird.
Vielleicht findest du ja da etwas selber herraus.
Ich schau mir mal am Wochenende an wie gut Strongswan das hinbekommt, Strongswan ist da wohl am besten zu verwenden.
http://wiki.strongswan.org/projects/strongswan/wiki/IKEv1Examples
Hier würdest du findig werden, wenn du selber suchen möchtest
Zu shrew-soft:
Mein Skript vom Lancom
Die Skripte sind nur rudimentär( da ich es in einem geschlossenen Netz getestet habe), die richtigen Sicherheitseinstellungen müsstest du selber finden.
Wie hast du denn vorgehabt die Verbindung zu sichern?
Gruß
Dieser erfordert allerding ein manuelles Einwählen.
Lässt sich aber per Befehl starten:
Code: Alles auswählen
ikec -r "111.111.111.112" -a
Vielleicht findest du ja da etwas selber herraus.
Ich schau mir mal am Wochenende an wie gut Strongswan das hinbekommt, Strongswan ist da wohl am besten zu verwenden.
http://wiki.strongswan.org/projects/strongswan/wiki/IKEv1Examples
Hier würdest du findig werden, wenn du selber suchen möchtest
Zu shrew-soft:
Code: Alles auswählen
n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:client-dns-used:0
n:client-dns-auto:1
b:auth-mutual-psk:Ymxh
n:phase1-dhgroup:14
n:phase1-keylen:128
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:128
n:phase2-pfsgroup:14
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:172.16.38.4
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:disable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-client-data:test
s:ident-server-type:fqdn
s:ident-server-data:test
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:aes
s:phase2-hmac:auto
s:ipcomp-transform:disabled
s:policy-level:auto
s:policy-list-include:172.16.0.0 / 255.240.0.0
Code: Alles auswählen
cd /Setup/VPN/VPN-Peers
del *
# Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG XAUTH SSL-Encaps. OCSP-Check
# ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "VPNCLIENTVERB" {SH-Time} 0 {Extranet-Address} 0.0.0.0 {Remote-Gw} "172.16.38.2" {Rtg-tag} 0 {Layer} "VPNCLIENTPARAM" {dynamic} No {IKE-Exchange} Aggressive-Mode {Rule-creation} manually {DPD-Inact-Timeout} 0 {IKE-CFG} Server {XAUTH} Off {SSL-Encaps.} No {OCSP-Check} No
cd /
cd /Setup/VPN/Layer
del *
# Name PFS-Grp IKE-Grp IKE-Prop-List IPSEC-Prop-List IKE-Key
# ------------------------------------------------------------------------------------------------
add "VPNCLIENTPARAM" {PFS-Grp} 14 {IKE-Grp} 14 {IKE-Prop-List} "IKE_PRESH_KEY" {IPSEC-Prop-List} "ESP_TN" {IKE-Key} "VPNCLIENT"
cd /
Wie hast du denn vorgehabt die Verbindung zu sichern?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: 1und1 Root-Ubuntu Server per VPN an Lancom
Wie das ganze gesichert wird muss noch definiert werden, ich wollte erst einmal pruefen ob das ueberhaupt funktioniert.
gibts denn erfahrungswerte ob das stabil laeuft ?
gibts denn erfahrungswerte ob das stabil laeuft ?
Re: 1und1 Root-Ubuntu Server per VPN an Lancom
Ich selber habe bisher nur kurze Tests damit gemacht um herrauszufinden ob die Verhandlung erfolgreich durchlaufen wird. Aber nicht wie sich solche Implementierungen im Alltag darstellen.
Strongswan ist aber ein sehr guter Dienst, welche in den neusten Linuximplementierungen verwendet wird.
Daher denke ich das es keine Probleme geben sollte wenn alles richtig konfiguriert ist.
Hier findest du sicher viele nette Leute die Dir helfen: http://www.strongswan.org/support.html
Ich kam leider noch nicht dazu einen Aufbau einzurichten.
Alternativ könntest du ein weiteres Lancom vor den Server hängen, obwohl ich herraushöre, dass du dies in diesem Fall nicht möchtest.
Beste Grüße
Marius
Strongswan ist aber ein sehr guter Dienst, welche in den neusten Linuximplementierungen verwendet wird.
Daher denke ich das es keine Probleme geben sollte wenn alles richtig konfiguriert ist.
Hier findest du sicher viele nette Leute die Dir helfen: http://www.strongswan.org/support.html
Ich kam leider noch nicht dazu einen Aufbau einzurichten.
Alternativ könntest du ein weiteres Lancom vor den Server hängen, obwohl ich herraushöre, dass du dies in diesem Fall nicht möchtest.
Beste Grüße
Marius
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.