Virtual Private Network #
Obwohl ich bisher IPSec als VPN-Lösung bevorzugt habe, gibt es Fälle, wo dieses nicht gut einsetzbar ist. Das Problem, das bei mir den Ausschlag gab, mich mit anderen Protokollen zu beschäftigen, war, daß es unmöglich ist, eine IPSec-Verbindung aufzubauen, wenn eine der beiden Seiten hinter einem "masquerading router" steht. Hierfür müsste der Router speziell angepasst werden. Auch PPTP funktioniert
hier nach meiner Erfahrung nicht.
Natürlich könnte man argumentieren, daß man eben den Router richtig einrichten sollte. Leider geht das nicht immer. In meinem Fall habe ich voller Entsetzen festegestellt, dass E-Plus beim Internet-Zugang per GPRS dem Rechner eine private Adresse aus dem Bereich 10.x.x.x zuteilt. Diese wird dann offensichtlich irgendwo maskiert, bevor sie ins Internet geschickt wird. Eine eigene IP-Adresse für jedes WAPpende GPRS-Handy war den Herrschaften wohl zu viel. Wer dann seinen Laptop benutzen und damit GPRS richtig ausnutzen will, schaut dabei in die Röhre...
Was ich benötigte, war ein Protokoll, das über eine einzelne TCP- oder UDP-Verbindung läuft (also keinen eigenen Pakettyp wie GRE oder sowas benutzt). Nebenbei wäre es auch noch schön, wenn die Daten komprimiert werden würden (sowas ist bei der GPRS-üblichen Volumenabrechnung keine schlechte Idee).
Eine TCP-Verbindung als Basis kann grosse Probleme mit der Latenz bekommen, wenn einzelne Datenpakete verschwinden (TCPueberTCP). UDP ist da als verbindungsloses Protokoll auf jeden Fall besser, und auch die von
mir zu überwindende Firewall routet UDP-"Verbindungen" richtig.
Folgende (Debian-) Pakete habe ich mir angeschaut:
- Download und Sourcen https://github.com/syncany/syncany/releases
- Download und Sourcen https://github.com/syncany/syncany/releases
IPSec #
Benutzt als einzige Lösung kein separates Interface, sondern verschlüsselt das normale Interface, wenn der bestimmte Host
angesprochen wird. Das macht das Routing und die Firewall IMHO eher
komplizierter als einfacher.
Die Konfiguration - besonders mit zwei Dial-Up-Rechnern - ist nicht trivial.
Es finden sich auch Windows-Clients (bei 2000/XP serienmäßig dabei).
PPTP #
Soll prinzipiell unsicher sein, deshalb bin ich davon abgekommen. Benutzt spezielle GRE-Pakete, ist daher nur bedingt durch Firewalls zu bekommen.
Es finden sich ab Win98 auch Windows-Clients.
vtun #
Sieht sehr gut aus, obwohl ich nicht feststellen konnte, wie gross die Nutzerbasis ist. Vor allem kann man genau die Dinge alle einstellen und auswählen, die ich brauche: TCP/UDP als Basis, Komprimierung, Kryptographie, etc. Obwohl es prinzipiell nach der Dokumentation gut aussieht, habe ich mich (bisher) noch nicht näher
hiermit beschäftigt.
Homepage: http://vtun.sourceforge.net
das howto ist mies...
tunnelv #
In der Anleitung ist immer die Rede davon, dass es nur mit dem Beta-Kernel 2.1.x und nciht mit 2.0.x läuft?!? Wenn es inzwischen keiner für nötig gehalten hat, das zu ändern, scheint das Paket nicht so oft benutzt zu werden bzw. sehr alt zu sein.
Als Basis dient eine TCP-Verbindung, Kompression ist nicht möglich, die Verschlüsselung scheint gut zu sein.
OpenVPN #
Dieses Paket ist nur in der Debian-Sarge Distribution enthalten und hängt natürlich prompt von einer neueren libc6 ab, so dass ich zuerst ein wenig vorsichtig war. Dennoch habe ich es getestet. Es läuft über UDP und unterstützt auch Kompression.
Es "horcht" für jede potentielle Verbindung auf einem eigenen Port. Dadurch ist es schlecht geeignet, wenn man "richtig viele" Verbindungen bekommen will (bzw. es fehlt noch eine Art Eingangs-Verteiler).
HTTP-Tunnel #
Daneben gibt es noch ein paar Debian-Pakete, die dazu dienen, Tunnel über HTTP-Verbindungen, ggf. auch über Proxys, zu routen. Wer also nicht nur einen störrischen Router hat wie ich, sondern auch noch eine störrische Firewall, kann sich dort auch noch umschauen. Für mich kamen diese Pakete nicht in Frage, da sie wahrscheinlich die Datenmenge riesig aufblähen. Ausserdem ist TCPueberTCP keine gute Idee.