Hi joblack,
ich will ja nichts sagen, aber XAUTH zur Sicherung zu verwenden ist mehr als fragwürdeig, denn XAUTH erlaubt es jedem, der den Gruppen-Key kennt, sich als Server auszugeben und kann dann als Man-In-The-Middle Username und Paßwort quasi im Klartext mitlesen... Und der Gruppenkey ist i.A. öffentlich verfügbar...
Wenn du Sicherheit willst, dann solltest du auf Zertifikate wechseln, die du im Falle eines Falles einfach zurückziehen kannst. Außerdem kannst du sie in einem verschlüsselten Container auf dem Laptop lagern, so daß der Dieb in erstmal ein Paßwort eingeben muß, um das Zertifikat zu entschlüsseln...
Gruß
Backslash
VPN Verbindung mit Linux und Mac und Windows VPN Client
Moderator: Lancom-Systems Moderatoren
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Man kann durchaus für jeden User einen eigenen PSK verwenden. Dann kann man nur die Kommunikation von dem User mitlesen den Diebe sowieso schon abgegriffen haben. Den Zugang kann man dann schnellstmöglich sperren bzw. löschen. Des weiteren könnte man XAUTH sicherlich auch mit Zertifikaten verwenden.backslash hat geschrieben:Hi joblack,
ich will ja nichts sagen, aber XAUTH zur Sicherung zu verwenden ist mehr als fragwürdeig, denn XAUTH erlaubt es jedem, der den Gruppen-Key kennt, sich als Server auszugeben und kann dann als Man-In-The-Middle Username und Paßwort quasi im Klartext mitlesen... Und der Gruppenkey ist i.A. öffentlich verfügbar...
Wenn du Sicherheit willst, dann solltest du auf Zertifikate wechseln, die du im Falle eines Falles einfach zurückziehen kannst. Außerdem kannst du sie in einem verschlüsselten Container auf dem Laptop lagern, so daß der Dieb in erstmal ein Paßwort eingeben muß, um das Zertifikat zu entschlüsseln...
Gruß
Backslash
Ich werde die Zertifikatsoption genauer rechercherchieren. Trotzdem wäre es sinnvoll wenn man die gewünschten Konfigurationen auf dem LANCOM relativ einfach einstellen könnte. Und das kommt mir bei den LANCOM Routern immer extraschwer vor.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Hi joblack,
XAUTH ist eine gruselige Krücke um eine VPN-Einwahl mit einem RADIUS-Server authentifizieren zu können und man sollte unter Sicherheitsgesichtpunkten einen gaaaanz großen Bogen darum machen...
Gruß
Backslash
dann brauchst du auch kein XAUTH...Man kann durchaus für jeden User einen eigenen PSK verwenden.
In dem Moment, in dem du ein geshartes Zertifikat verwendest, bist du (fast) wieder am Ausgangspunkt (außer daß der MITM etwas schwieriger wird). Aber wenn du schon Zertifikate nutzt, dann kannst du auch gleich jedem User ein Eigenes geben - wodurch dann XAUTH auch wieder überflüssig wird...Man kann durchaus für jeden User einen eigenen PSK verwenden. (...) Des weiteren könnte man XAUTH sicherlich auch mit Zertifikaten verwenden.
XAUTH ist eine gruselige Krücke um eine VPN-Einwahl mit einem RADIUS-Server authentifizieren zu können und man sollte unter Sicherheitsgesichtpunkten einen gaaaanz großen Bogen darum machen...
Gruß
Backslash
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Hi Marius,
ich habe es jetzt für den Road Warrier Case hinbekommen zu verbinden. Leider funktioniert das Split Tunnelling noch nicht.
Ich möchte die Netze 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 über das VPN laufen lassen. Alles weitere soll ganz normal über die Internetverbindung des Road Warriors laufen.
In der ipsec.conf habe ich
rightsubnet=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
leftfirewall=yes
auto=add
eingetragen und auf dem Lancom Router sind die entsprechenden Regeln für die SAs eingetragen. Strongswan nimmt aber nur das erste Netz und trägt es in das IPtables Routing ein. In den Logs ist nichts auffälliges
Nach der manpage von ipsec.conf sollten mehrere Netze ohne Probleme einzutragen gehen.
Hast Du eine Idee?
ich habe es jetzt für den Road Warrier Case hinbekommen zu verbinden. Leider funktioniert das Split Tunnelling noch nicht.
Ich möchte die Netze 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 über das VPN laufen lassen. Alles weitere soll ganz normal über die Internetverbindung des Road Warriors laufen.
In der ipsec.conf habe ich
rightsubnet=10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
leftfirewall=yes
auto=add
eingetragen und auf dem Lancom Router sind die entsprechenden Regeln für die SAs eingetragen. Strongswan nimmt aber nur das erste Netz und trägt es in das IPtables Routing ein. In den Logs ist nichts auffälliges
Nach der manpage von ipsec.conf sollten mehrere Netze ohne Probleme einzutragen gehen.
Hast Du eine Idee?
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Hi,
Hast du dir https://wiki.strongswan.org/projects/st ... -Tunneling angeschaut?
Verwendest du denn nun IKEv1 oder IKEv2?
Gruß
Hast du dir https://wiki.strongswan.org/projects/st ... -Tunneling angeschaut?
Verwendest du denn nun IKEv1 oder IKEv2?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Läuft jetzt. Man muss für jedes Netz eine eigene Verbindung aufbauen. Die Informationen in dem obrigen Hyperlink waren nicht so sinnvoll.MariusP hat geschrieben:Hi,
Hast du dir https://wiki.strongswan.org/projects/st ... -Tunneling angeschaut?
Verwendest du denn nun IKEv1 oder IKEv2?
Gruß
Genauer beschrieben ist das unter
https://wiki.strongswan.org/projects/st ... ets-per-SA
Geht übrigens mit Strongswan auch auf dem Mac ...
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Hi,
Wie schon gesagt es gibt keinen Fall in dem ich nicht zur Verwendung von IKEv2 statt IKEv1 raten würde.
Gut, dass es dennoch geklappt hat.
Gruß
Wie schon gesagt es gibt keinen Fall in dem ich nicht zur Verwendung von IKEv2 statt IKEv1 raten würde.
Gut, dass es dennoch geklappt hat.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Danke für Deine Hilfe. IKEv2 ist als nächstes dran. Aber ich bin froh dass es erst mal mit der bestehenden Config geht.MariusP hat geschrieben:Hi,
Wie schon gesagt es gibt keinen Fall in dem ich nicht zur Verwendung von IKEv2 statt IKEv1 raten würde.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Hi,
Hast du dir von der Config auf beiden Seiten schon Backup erstellt?
Gruß
Hast du dir von der Config auf beiden Seiten schon Backup erstellt?
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Klar. Warum fragst Du?MariusP hat geschrieben:Hi,
Hast du dir von der Config auf beiden Seiten schon Backup erstellt?
Gruß
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Allgemeine Informatikerparanoia, nichts spezielles.
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: VPN Verbindung mit Linux und Mac und Windows VPN Client
Jetzt weiss ich wie es geht. Wenn ich Zeit und/oder Lust habe schreibe ich vieleicht mal eine Anleitung.MariusP hat geschrieben:Allgemeine Informatikerparanoia, nichts spezielles.