This page (revision-3) was last changed on 17-Jan-2008 16:55 by PeterHormanns 

This page was created on 03-Oct-2006 21:29 by UnknownAuthor

Only authorized users are allowed to rename pages.

Only authorized users are allowed to delete pages.

Page revision history

Version Date Modified Size Author Changes ... Change note
3 17-Jan-2008 16:55 4 KB PeterHormanns to previous Tagging
2 13-Nov-2006 15:53 4 KB MarkusMonderkamp to previous | to last für JSPWiki mit Thomas' und Peter's Filter
1 03-Oct-2006 21:29 4 KB UnknownAuthor to last

Page References

Incoming links Outgoing links
VPNsUnterLinux
VPNsUnterLinux

Version management

Difference between version and

View first change

= Virtual Private Network =

Obwohl ich bisher IPSec als VPN-Lösung bevorzugt habe, gibt es
Fälle,
wo dieses nicht gut einsetzbar ist. Das Problem, das bei mir den
Ausschlag gab, mich mit anderen Protokollen zu beschäftigen, war,
daß
es unmöglich ist, eine IPSec-Verbindung aufzubauen, wenn eine der
beiden Seiten hinter einem "masquerading router" steht. Hierfür
müsste der Router speziell angepasst werden. Auch PPTP funktioniert

hier nach meiner Erfahrung nicht.

Natürlich könnte man argumentieren, daß man eben den Router richtig
einrichten sollte. Leider geht das nicht immer. In meinem Fall habe
ich voller Entsetzen festegestellt, dass E-Plus beim
Internet-Zugang
per GPRS dem Rechner eine private Adresse aus dem Bereich 10.x.x.x
zuteilt. Diese wird dann offensichtlich irgendwo maskiert, bevor
sie
ins Internet geschickt wird. Eine eigene IP-Adresse für jedes
WAPpende GPRS-Handy war den Herrschaften wohl zu viel. Wer dann
seinen Laptop benutzen und damit GPRS richtig ausnutzen will,
schaut
dabei in die Röhre...

Was ich benötigte, war ein Protokoll, das über eine einzelne TCP-
oder UDP-Verbindung läuft (also keinen eigenen Pakettyp wie GRE
oder
sowas benutzt). Nebenbei wäre es auch noch schön, wenn die Daten
komprimiert werden würden (sowas ist bei der GPRS-üblichen
Volumenabrechnung keine schlechte Idee).

Eine TCP-Verbindung als Basis kann grosse Probleme mit der Latenz
bekommen, wenn einzelne Datenpakete verschwinden (TCPueberTCP). UDP
ist da als
verbindungsloses Protokoll auf jeden Fall besser, und auch die von
mir zu überwindende Firewall routet UDP-"Verbindungen" richtig.

'''Folgende (Debian-) Pakete habe ich mir angeschaut:'''

== IPSec ==

Benutzt als einzige Lösung kein separates Interface, sondern
verschlüsselt das normale Interface, wenn der bestimmte Host
angesprochen wird. Das macht das Routing und die Firewall IMHO eher

komplizierter als einfacher.

Die Konfiguration - besonders mit zwei Dial-Up-Rechnern - ist nicht
trivial.

Es finden sich auch Windows-Clients (bei 2000/XP serienmäßig
dabei).

== PPTP ==

Soll prinzipiell unsicher sein, deshalb bin ich davon abgekommen.
Benutzt spezielle GRE-Pakete, ist daher nur bedingt durch Firewalls
zu bekommen.

Es finden sich ab Win98 auch Windows-Clients.

== vtun ==

Sieht sehr gut aus, obwohl ich nicht feststellen konnte, wie gross
die Nutzerbasis ist. Vor allem kann man genau die Dinge alle
einstellen und auswählen, die ich brauche: TCP/UDP als Basis,
Komprimierung, Kryptographie, etc. Obwohl es prinzipiell nach der
Dokumentation gut aussieht, habe ich mich (bisher) noch nicht näher

hiermit beschäftigt.

Homepage: http://vtun.sourceforge.net

das howto ist mies...

http://www.linuxwiki.de/vtun

== tunnelv ==

In der Anleitung ist immer die Rede davon, dass es nur mit dem
Beta-Kernel 2.1.x und nciht mit 2.0.x läuft?!? Wenn es inzwischen
keiner für nötig gehalten hat, das zu ändern, scheint das Paket
nicht
so oft benutzt zu werden bzw. sehr alt zu sein.

Als Basis dient eine TCP-Verbindung, Kompression ist nicht möglich,
die Verschlüsselung scheint gut zu sein.

== OpenVPN ==

Dieses Paket ist nur in der Debian-Sarge Distribution enthalten und
hängt natürlich prompt von einer neueren libc6 ab, so dass ich
zuerst
ein wenig vorsichtig war. Dennoch habe ich es getestet. Es läuft
über
UDP und unterstützt auch Kompression.

Es "horcht" für jede potentielle Verbindung auf einem eigenen Port.
Dadurch ist es schlecht geeignet, wenn man "richtig viele"
Verbindungen bekommen will (bzw. es fehlt noch eine Art
Eingangs-Verteiler).

== HTTP-Tunnel ==

Daneben gibt es noch ein paar Debian-Pakete, die dazu dienen,
Tunnel
über HTTP-Verbindungen, ggf. auch über Proxys, zu routen. Wer also
nicht nur einen störrischen Router hat wie ich, sondern auch noch
eine störrische Firewall, kann sich dort auch noch umschauen. Für
mich kamen diese Pakete nicht in Frage, da sie wahrscheinlich die
Datenmenge riesig aufblähen. Ausserdem ist TCPueberTCP keine gute
Idee.
<<
[{Tag VPN}]
This page (revision-3) was last changed on 17-Jan-2008 16:55 by PeterHormanns  Top