Re: SuSE 9.1 als VPN-Server

Autor: Thomas Heidemann (thomas.heidemann_at_gmx.net)
Datum: 21. Jun 2004


Hallo Burkhard,

On Monday 21 June 2004 16:17, burkhard schaefer wrote:
> Hallo an alle,
>
> ich soll an unserer Schule einen Linux-Router aufbauen (mit SuSE9.1),
> der für einige W2K-Clients einen VPN-Zugang zu bestimmten Daten
> ermöglicht.
>
> Kann mich da jemand von Euch beraten, wie das am besten zu
> bewerkstelligen ist?

Es gibt prinzipiell zwei Möglichkeiten, ein solches VPN aufzubauen.
Kommt darauf an, wie gut du dich schon mit der Materie auskennst und
welche Anforderungen deine Schule hat.

Zum einen kannst du IPSec implementieren. Dieser öffentliche Standard
ermöglicht ein Zusammenspiel zwischen verschiedener Client- und
Server-Hersteller.
Zum anderen kannst du eines der momentan etwas in Mode gekommenen sog.
SSL-VPN's aufbauen.
Beide haben meiner Meinung nach ihre Vor- und Nachteile aber wenn du
dich mit VPN's noch nicht so auskennst, halte ich den SSL-basierten
Ansatz für "einfacher".

Mit SuSE 9.1 kommt das Paket FreeS/WAN mit, welches den IPSec-Standard
implementiert. Dokumentationen gibt es in Hülle und Fülle im Netz[1].
Als Nachfolger kommt nun OpenSWAN[2], welches jetzt auch von SuSE
gesponsort wird, aber nicht im Lieferumfang enthalten ist. Die
Konfiguration ist zwar nicht immer einfach (besonders wenn es um das
Thema Authentifizierung) geht, aber dafür hast du eben ein
IPSec-kompatibles VPN.
Auf Client-Seite kannst du dann verschiedene Produkte einsetzen. Ab
Windows2000 unterstützt auch Microsoft von Haus aus IPSec, so dann du
eigentlich keine Client-Applikation mehr benötigst.

Unabhängig davon habe ich auch schon OpenVPN[3] implementiert. Dieses
SSL-VPN ist auch bei SuSE 9.1 schon dabei. Dessen Konfiguration finde
ich wesentlich einfacher als die der beiden SWAN's. Gerade der Punkt
"Verbindungsaufbau aus einem privaten (NAT) Netzwerk" ist hier
wesentlich einfacher. Dafür ist das OpenVPN (noch) nicht
mehrbenutzerfähig, d.h. dass immer nur ein Client das VPN benutzen
kann. Das könnte man zwar mit mehreren OpenVPN-Instanzen mit versch.
Konfigurationen lösen, ist aber etwas unschön!

Ich habe in der Firma schon beide Varianten implementiert und würde dir
zu FreeS/WAN bzw. OpenSWAN raten, da du hier einfach flexibler bist.

Als dritte Möglichkeit sehe ich noch die Verwendung von ipsec-tools[4],
[5], das auf der Kernel-interne IPSec Implementierung aufbaut und
eigentlich aus dem BSD-Umfeld kommt. Aber ob sich das schon für ein
VPN-Gateway eignet, kann ich nicht sagen.

An die anderen: Hab ich etwas vergessen? Quatsch erzählt?

[1] http://www.freeswan.org
[2] http://www.openswan.org
[3] http://openvpn.sf.net
[4] http://ipsec-tools.sf.net
[5] http://www.kame.net
>
> Dank und Gruß

Bitte. Hoffentlich konnte ich dir erste Anhaltspunkte geben.

> Burkhard

Grüße
Thomas (der seit Jahren auch mal wieder was schreibt)

-- 
Thomas Heidemann
thomas.heidemann_at_gmx.net



Dieses Archiv wurde generiert von hypermail 2.1.7 : 21. Jun 2004 CEST