1und1 Root-Ubuntu Server per VPN an Lancom

[supreme]

Hi,

wir muessen einen Ubuntu Root Server (1und1) mittels VPN an unser lokales Netz andocken, sodass die Kommunikation von und zu dem Ubuntu Server lediglich mittels internen IPs
funktioniert, nach aussen sollen auf dem Root Server lediglich SSH und eben der VPN Port offen sein.

Welche Vorgehensweise waere hier angeraten wenn wir als Linux Server Ubuntu 12.04 LTS nutzen und als Gegenstelle unseren Lancom 1711 VPN ?

Danke im Vorraus.

[MariusP]

Wer soll denn den Aufbau der VPN-Verhandlung einleiten, das Landom oder der Ubuntu-Server?
Automatisch(Immer) oder nur auf Wunsch?
Das wäre entscheidend, um zu wissen welches Tool bzw. welchen Daemon du einsetzen solltest/könntest.

Hat der Ubuntu Server eine Dynamische Ip und ist der Server hinter einem NAT?
Hat das Lancom eine Dynamische Ip und ist das LANCOM hinter einem NAT?

[supreme]

Wer soll denn den Aufbau der VPN-Verhandlung einleiten, das Landom oder der Ubuntu-Server?

Tendenziel wohl eher der Ubuntu, damit ich nicht unbedingt dort einen Server installieren muss, dachte ich zumindest.

Automatisch(Immer) oder nur auf Wunsch?

dauerhaft - also immer verbunden.

Hat der Ubuntu Server eine Dynamische Ip und ist der Server hinter einem NAT?

feste public ip - kein nat.

Hat das Lancom eine Dynamische Ip und ist das LANCOM hinter einem NAT?

feste public ip - kein nat.

Btw, danke schonmal!

[MariusP]

Ich habe es gestern testweise probiert und es geschafft zwischen meinem Ubuntu und dem Lancom mit dem Shrew-Soft Client eine VPN-Verbindung aufzubauen.
Dieser erfordert allerding ein manuelles Einwählen.
Lässt sich aber per Befehl starten:

Code: Alles auswählen

ikec -r "111.111.111.112" -a

Leider habe ich es nicht geschafft, dass die Verbindung wieder automatisch aufgebaut wird.
Vielleicht findest du ja da etwas selber herraus.

Ich schau mir mal am Wochenende an wie gut Strongswan das hinbekommt, Strongswan ist da wohl am besten zu verwenden.
http://wiki.strongswan.org/projects/strongswan/wiki/IKEv1Examples
Hier würdest du findig werden, wenn du selber suchen möchtest

Zu shrew-soft:

Code: Alles auswählen

n:version:2
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:1
n:network-frag-size:540
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:1
n:client-dns-used:0
n:client-dns-auto:1
b:auth-mutual-psk:Ymxh
n:phase1-dhgroup:14
n:phase1-keylen:128
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:128
n:phase2-pfsgroup:14
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:172.16.38.4
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:disable
s:network-frag-mode:disable
s:auth-method:mutual-psk
s:ident-client-type:fqdn
s:ident-client-data:test
s:ident-server-type:fqdn
s:ident-server-data:test
s:phase1-exchange:aggressive
s:phase1-cipher:aes
s:phase1-hash:sha1
s:phase2-transform:aes
s:phase2-hmac:auto
s:ipcomp-transform:disabled
s:policy-level:auto
s:policy-list-include:172.16.0.0 / 255.240.0.0

Mein Skript vom Lancom

Code: Alles auswählen

cd /Setup/VPN/VPN-Peers 
del *
#    Peer              SH-Time       Extranet-Address  Remote-Gw                                                        Rtg-tag  Layer             dynamic     IKE-Exchange     Rule-creation  DPD-Inact-Timeout  IKE-CFG  XAUTH   SSL-Encaps.   OCSP-Check 
#    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "VPNCLIENTVERB"  {SH-Time}  0            {Extranet-Address}  0.0.0.0          {Remote-Gw}  "172.16.38.2"                                                   {Rtg-tag}  0       {Layer}  "VPNCLIENTPARAM" {dynamic}  No         {IKE-Exchange}  Aggressive-Mode {Rule-creation}  manually      {DPD-Inact-Timeout}  0                 {IKE-CFG}  Server  {XAUTH}  Off    {SSL-Encaps.}  No           {OCSP-Check}  No
cd /
cd /Setup/VPN/Layer 
del *
#    Name              PFS-Grp   IKE-Grp   IKE-Prop-List      IPSEC-Prop-List    IKE-Key        
#    ------------------------------------------------------------------------------------------------
add  "VPNCLIENTPARAM" {PFS-Grp}  14       {IKE-Grp}  14       {IKE-Prop-List}  "IKE_PRESH_KEY"   {IPSEC-Prop-List}  "ESP_TN"          {IKE-Key}  "VPNCLIENT"
cd /

Die Skripte sind nur rudimentär( da ich es in einem geschlossenen Netz getestet habe), die richtigen Sicherheitseinstellungen müsstest du selber finden.
Wie hast du denn vorgehabt die Verbindung zu sichern?

Gruß

[supreme]

Wie das ganze gesichert wird muss noch definiert werden, ich wollte erst einmal pruefen ob das ueberhaupt funktioniert.
gibts denn erfahrungswerte ob das stabil laeuft ?

[MariusP]

Ich selber habe bisher nur kurze Tests damit gemacht um herrauszufinden ob die Verhandlung erfolgreich durchlaufen wird. Aber nicht wie sich solche Implementierungen im Alltag darstellen.
Strongswan ist aber ein sehr guter Dienst, welche in den neusten Linuximplementierungen verwendet wird.
Daher denke ich das es keine Probleme geben sollte wenn alles richtig konfiguriert ist.
Hier findest du sicher viele nette Leute die Dir helfen: http://www.strongswan.org/support.html
Ich kam leider noch nicht dazu einen Aufbau einzurichten.

Alternativ könntest du ein weiteres Lancom vor den Server hängen, obwohl ich herraushöre, dass du dies in diesem Fall nicht möchtest.

Beste Grüße
Marius