= VPN mit SSH =

Zum Aufbau eines VirtualPrivateNetwork kann auch ssh benutzt
werden. Diese Lösung ist einfach und schnell und man benötigt
lediglich zwei Linux-Maschinen, auf denen SSH installiert ist.

== Vorteil ==

Ein Vorteil ist wohl der leichte und schnelle Aufbau der
Netzwerkverbindung. Da ich das jedoch noch nicht persönlich
ausprobiert habe, rufe ich die Leser dieses Wikis auf,
weitergehende Erfahrungen hier einzutragen!

== Nachteil ==

Dieser Tunnel hat jedoch einen entscheidenden Nachteil: Er setzt
auf dem bestehenden SSH-Protokoll auf, das auf einer TCP-Verbindung
basiert. Das bedeutet, daß TCP-typisch (und im Gegensatz z.B. zum
UDP-Protokoll) sowohl der vollständige Erhalt als auch die
Reihenfolge der Pakete bei der Übertragung garantiert wird. Falls
also mal ein einzelnes Paket in den Wirren des Internet verloren
geht, steht das gesamte VPN so lange, bis die beiden SSH-Programme
sich wieder synchronisiert haben. Wenn wir ein verbindungsloses
Protokoll (wie GRE beim VPNmitPPTP oder ESP bei VPNmitIPSec)
benutzen, bewirkt ein verschwundenes Datenpaket nur, daß genau
dieses eine Datenpaket weg ist. Das darüberliegende Protokoll, das
das VPN benutzt, kann sich dann wie üblich überlegen, ob es das
Paket neu haben will (z.B. bei TCP) oder verwirft (z.B. bei
Streamingdaten). Andere Datenpakete und Verbindungen über das VPN
werden so lange jedoch nicht gebremst.

Inzwischen habe ich die Seite
http://sites.inka.de/sites/bigred/devel/tcp-tcp.html gefunden, auf
der noch schöner erklärt ist, warum nicht nur UDP über TCP, sondern
viel schlimmer noch TCP über TCP ein grosses Problem ist.

Ein weiterer Nachteil ist, daß man auf Plattformen angewiesen ist,
die ssh unterstützen, d.h. ein Aufbau mit einer
Windows-Gegenstation könnte problematisch werden. Ggf. würde ich es
jedoch mal mit dem freien Windows-SSH-Programm PuTTY versuchen.

== Installation ==
Da ich bisher noch keine Erfahrungen mit ssh-Tunneln gesammelt
habe, bitte ich den geneigten Wiki-Leser, diese nachzutragen... --
ThomasBayen

== Example ==
folgendes Beispiel erstellt einen Tunnel und funktioniert ohne
Probleme
{{{<pre>>>
HOME=/home/tuser
HOST=192.168.1.50
GATEWAY=217.18.187.9
# generat a key for authentication
ssh-keygen -t dsa
scp $HOME/.ssh/id.dsa.pub $GATEWAY:$HOME/.ssh/authorized_keys
# open tunneling
ssh -2 -g -N -L 23:$HOST:23 $GATEWAY $* 2>/dev/null &
<<}}}</pre>
-- UweSchimon <uwe@mailpost.de>

== <<Beispiel2 ==

Ich habe über VPN ssh-Zugang zu Kleopatra. Caesar befindet sich im selben Netz wie Kleopatra, aber ich kann Caesar nicht direkt erreichen.

Also starte ich auf Kleopatra:
{{{
kleopatra:~# ssh -L <VPN-IP-Adresse von Kleopatra>:8080:caesar:8080 caesar
}}}

Dann kann ich mit
http://kleopatra:8080/ auf den Webserver auf Caesar (Port 8080) zugreifen.

--PeterHormanns

== Links ==
* [http://alinux.washcoll.edu/docs/sshtunnel/ssh.txt Kurzes Howto]
* [http://www.stunnel.org/examples/pppvpn_robertk_de.html
Ausführlich mit stunnel]
* [http://www.heise.de/newsticker/meldung/69122 OpenSSH auf dem Weg
zum vollwertigen VPN]
* [http://www.openssh.org]
--PeterHormanns

[{Tag Ssh VPN}]