1. Einführung
Oft möchte man zwei Netzwerke
über mehr oder weniger weite Entfernungen miteinander verbinden.
Oder man will mit einem Notebook oder von zu Hause auf das
Firmennetzwerk zugreifen. Wenn es nur um den Download verschiedener
Dateien geht eignet sich hierfür schon ein FTP-Zugang. Wenn man
jedoch Wert auf Sicherheit legt und auch verschiedene Netzwerkdienste
nutzen will benutzt man am besten ein
Virtual
Private Network (VPN) auf der Basis von
IPSec (
Internet Protocol SECurity - die
Norm für
authentischen und
vertraulichen Datenaustausch auf
IP-Ebene im Internet). Hiermit werden zwei Knoten (
VPN-Gateways) miteinander verbunden
und die Daten die über diese Verbindung laufen werden
verschlüsselt. Als Leitung benötigt man keine Direktverbindung
(z.B. eine teuere Direktverbindung von Knoten zu Knoten) sondern man
kann das 'unsichere' Internet zur Übertragung nutzen.
Für ein VPN ist normalerweise eine feste IP-Nummer notwendig.
Flatrate-Nutzer müssen nun jedoch nicht aufhören zu lesen.
Diese müssen später bei Trennen und Wiederaufbau der
Verbindung ihren
VPN-Gateway
stoppen und neu starten. Ein wenig komplizierter wird es wenn
beide Gateway nur eine dynamische
IP-Nummer haben. Dann sollte man auf einen Nameserverdienst (z.b.
DNS2Go) zurückgreifen oder
muß sich mit mehr oder weniger komplizierten Scripten aushelfen.
Zum Aufbau eines VPN-Gateways
benötigt man mindestens zwei Netzwerkinterfaces (meist die
Netzwerkkarte und die Internetverbindung). Ich gehe davon aus,
daß die Netzwerkgrundkonfiguration (Netzwerkkarte, ISDN- Karte/
Modem, DSL usw.) schon vorgenommen wurde. Weiterhin ist auch der
Internetzugang eingerichtet. Wer noch Probleme mit den Begriffen Gateway oder Routing hat sollte sich zuerst ein
wenig mit diesen vertraut machen.
Mit den Beispielen dieser Howto werden
die VPN-Server für folgende Verbindungen eingerichtet:
- Netzwerk - Netzwerk (N2N): Verbindung zwischen zwei
Firmennetzwerken; man
kann z.B. auf Freigaben der Rechner im anderen Netz zugreifen
- Roadwarrior - Gateway (Roadwarrior): Zugriff von
einem Arbeitsplatz mit dynamischer
IP-Adresse (Roadwarrior genannt)
- Gateway - Gateway (G2G): wird seltener gebraucht;
z.B. kann der Admin Daten zwischen
den Servern sicher austauschen
- Netzwerk - Gateway (N2G): Zugriff aus dem Netzwerk
der Zweigstelle auf den Gateway der Zentrale
In den Beispielen haben wir eine Zentrale und eine Zweigstelle. Die Zentrale besitzt eine Standleitung
über einen für VPN tauglichen Router und die Zweigstelle eine DSL-Standleitung.
Bei beiden wird ein Linux-VPN-Gateway
mit FreeS/WAN eingerichtet. Bei der Zentrale werden im Gegensatz zur Zweigstelle auch Verbindungen
für Roadwarrior
möglich sein. Netzwerkinfos:
- Zentrale:
- Name des VPN-Gateways: erde
- OS: Linux
- Netz: 192.168.0.0/24
- IP-Nummer:
192.168.0.254
- Internet-IP-Nummer:
193.158.2.160
- Zweigstelle
- Name des VPN-Gateways: mars
- OS: Linux
- Netz : 192.168.1.0/24
- IP-Nummer:
192.168.1.254
- Internet-IP-Nummer: 238.195.2.100
- Roadwarrior
- Netz:
192.168.2.0/24
- OS: M$ Windows 2000
Internet-IP-Nummer:
dynamisch
Die Netzwerkadressen müssen sich natürlich
unterscheiden, da es ansonsten zu Routingproblemen käme. Sie
können also nicht überall die oft benutzte Maske 192.168.0.0/24 haben
- der VPN-Gateway wüsste ja nicht ob ein Paket von 192.168.0.5 an
192.168.0.22 lokal oder
über den VPN-Tunnel
übertragen werden muß.
Die Beispiele dieser HOWTO ist
orientieren sich zur Zeit noch eng an der SUSE-Distribution.
Abweichungen zu anderen Distributionen sind jedoch soweit ich weiß
nur gering (meist Pfadangaben). Daher dürften auch Benutzer von
anderen Distributionen hiermit weiterkommen.
Wichtig ist, dass der VPN-Gateway nicht
hinter einem Router stehen sollte, da dann oft kein VPN-Tunnel
aufgebaut werden kann. U.a. wird das für den verschlüsselten
Datentransport benutzte Protokoll 50
(ESP - Encapsulating Security Payload) von den einigen Routern
nicht unterstützt bzw. falsch weitergeleitet (In unserem Beispiel
kann der Router die natürlich ;) ).
1.1 Ablehnungshinweise und Copyright
Dieses Dokument wurde von mir
geschrieben, weil ich selbst keine sinnvolle Step-by-Step-Dokumentation
über die Einstellungen finden konnte. Dieses Dokument ist noch sehr
lückenhaft. Man ist selbst dafür verantwortlich, was mit der
eigenen Hardware geschieht. Falls die Hardware in Rauch und Flammen
aufgeht (...nahezu unmöglich!) übernehme ich dafür keine
Verantwortung. DER AUTOR ÜBERNIMMT KEINE HAFTUNG FÜR EVENTULLE
FOLGESCHÄDEN AUFGRUND DER ANWENDUNG DER IN DIESEM DOKUMENT
BEREITGESTELLTEN INFORMATIONEN.
Falls Sie beabsichtigen, dieses
Dokument in eine Veröffentlichung aufzunehmen, nehmen Sie bitte
Kontakt zu mir auf. Ich werde dann mein Möglichstes tun, Ihnen die
aktuellsten Informationen zur Verfügung zu stellen. In der
Vergangenheit wurden längst überholte Versionen von Linux-HOWTO-Dokumenten veröffentlicht, was den Entwicklern
ständigen Kummer bereitete, da sie mit Fragen gequält wurden,
die in den neueren Versionen bereits beantwortet waren.
Das Dokument darf gemäß der
GNU General Public
License verbreitet werden. Insbesondere bedeutet dieses,
daß der Text sowohl über elektronische wie auch physikalische
Medien ohne die Zahlung von Lizenzgebühren verbreitet werden darf,
solange dieser Copyright Hinweis nicht entfernt wird. Eine kommerzielle
Verbreitung ist erlaubt und ausdrücklich erwünscht. Bei einer
Publikation in Papierform ist Dirk
Bender hierüber zu zu informieren.
1.2 Weitere Dokumentationen
Diese Howto ist kein Ersatz für
die Man-Pages. Sie soll nur als Step-by-Step-Anleitung dienen. Die
nächstbeste Informationsquelle sind die Dokumentationsdateien, die
mit Linux selbst ausgeliefert werden. Es gibt bereits einige davon und
die meisten können im Verzeichnis
/usr/doc und seinen
Unterverzeichnissen gefunden werden. Einige Informationen habe ich aus
dem
Linux Magazin und der
c't. Auch auf meiner Homepage (
Linux Dokumentationen)
sind einige Dokumentationen über Linux, Netzwerk usw.
zusammgengestellt.
1.3 Linux Newsgruppen
Falls die oben genannten
Dokumentationen und diese HOWTO die Fragen nicht klären
können, dann kann man sich an die Linux-Newsgruppen wenden.
Natürlich sollte man es zuerst mit der Lektüre der Newsgruppe
versuchen, anstatt blindlings eine Frage zu schicken. Es ist
nämlich gut möglich, daß dieselbe Frage bereits gestellt
wurde.
1.4 Neue Versionen dieses Dokuments
Neue Versionen dieses Dokuments erhält man auf meiner Homepage:
Linux
Dokumentationen