= Virtual Private Network =

Obwohl ich bisher IPSec als VPN-Lösung bevorzugt habe, gibt es
Fälle, 
wo dieses nicht gut einsetzbar ist. Das Problem, das bei mir den
Ausschlag gab, mich mit anderen Protokollen zu beschäftigen, war,
daß
es unmöglich ist, eine IPSec-Verbindung aufzubauen, wenn eine der
beiden Seiten hinter einem "masquerading router" steht. Hierfür 
müsste der Router speziell angepasst werden. Auch PPTP funktioniert

hier nach meiner Erfahrung nicht.

Natürlich könnte man argumentieren, daß man eben den Router richtig
einrichten sollte. Leider geht das nicht immer. In meinem Fall habe
ich voller Entsetzen festegestellt, dass E-Plus beim
Internet-Zugang
per GPRS dem Rechner eine private Adresse aus dem Bereich 10.x.x.x
zuteilt. Diese wird dann offensichtlich irgendwo maskiert, bevor
sie
ins Internet geschickt wird. Eine eigene IP-Adresse für jedes 
WAPpende GPRS-Handy war den Herrschaften wohl zu viel. Wer dann 
seinen Laptop benutzen und damit GPRS richtig ausnutzen will,
schaut
dabei in die Röhre...

Was ich benötigte, war ein Protokoll, das über eine einzelne TCP- 
oder UDP-Verbindung läuft (also keinen eigenen Pakettyp wie GRE
oder 
sowas benutzt). Nebenbei wäre es auch noch schön, wenn die Daten 
komprimiert werden würden (sowas ist bei der GPRS-üblichen 
Volumenabrechnung keine schlechte Idee).

Eine TCP-Verbindung als Basis kann grosse Probleme mit der Latenz 
bekommen, wenn einzelne Datenpakete verschwinden (TCPueberTCP). UDP
ist da als
verbindungsloses Protokoll auf jeden Fall besser, und auch die von
mir zu überwindende Firewall routet UDP-"Verbindungen" richtig.

'''Folgende (Debian-) Pakete habe ich mir angeschaut:'''

== IPSec ==

Benutzt als einzige Lösung kein separates Interface, sondern 
verschlüsselt das normale Interface, wenn der bestimmte Host
angesprochen wird. Das macht das Routing und die Firewall IMHO eher

komplizierter als einfacher.

Die Konfiguration - besonders mit zwei Dial-Up-Rechnern - ist nicht
trivial.

Es finden sich auch Windows-Clients (bei 2000/XP serienmäßig
dabei). 

== PPTP ==

Soll prinzipiell unsicher sein, deshalb bin ich davon abgekommen.
Benutzt spezielle GRE-Pakete, ist daher nur bedingt durch Firewalls
zu bekommen.

Es finden sich ab Win98 auch Windows-Clients.

== vtun ==

Sieht sehr gut aus, obwohl ich nicht feststellen konnte, wie gross
die Nutzerbasis ist. Vor allem kann man genau die Dinge alle 
einstellen und auswählen, die ich brauche: TCP/UDP als Basis, 
Komprimierung, Kryptographie, etc. Obwohl es prinzipiell nach der
Dokumentation gut aussieht, habe ich mich (bisher) noch nicht näher

hiermit beschäftigt.

Homepage: http://vtun.sourceforge.net

das howto ist mies...

http://www.linuxwiki.de/vtun

== tunnelv ==

In der Anleitung ist immer die Rede davon, dass es nur mit dem 
Beta-Kernel 2.1.x und nciht mit 2.0.x läuft?!? Wenn es inzwischen 
keiner für nötig gehalten hat, das zu ändern, scheint das Paket
nicht 
so oft benutzt zu werden bzw. sehr alt zu sein.

Als Basis dient eine TCP-Verbindung, Kompression ist nicht möglich,
die Verschlüsselung scheint gut zu sein.

== OpenVPN ==

Dieses Paket ist nur in der Debian-Sarge Distribution enthalten und
hängt natürlich prompt von einer neueren libc6 ab, so dass ich
zuerst
ein wenig vorsichtig war. Dennoch habe ich es getestet. Es läuft
über
UDP und unterstützt auch Kompression.

Es "horcht" für jede potentielle Verbindung auf einem eigenen Port.
Dadurch ist es schlecht geeignet, wenn man "richtig viele"
Verbindungen bekommen will (bzw. es fehlt noch eine Art
Eingangs-Verteiler).

== HTTP-Tunnel ==

Daneben gibt es noch ein paar Debian-Pakete, die dazu dienen,
Tunnel
über HTTP-Verbindungen, ggf. auch über Proxys, zu routen. Wer also 
nicht nur einen störrischen Router hat wie ich, sondern auch noch 
eine störrische Firewall, kann sich dort auch noch umschauen. Für 
mich kamen diese Pakete nicht in Frage, da sie wahrscheinlich die 
Datenmenge riesig aufblähen. Ausserdem ist TCPueberTCP keine gute
Idee.

[{Tag VPN}]