StrongSWAN L2TP IPSec VPN mit PSK und DynDNS Konfiguration

[chridazi]

Hallo,

ich habe vor einen VPN-Server mit StrongSWAN aufzusetzen. Dieser soll letztendlich nur als Fileserver dienen und verschiedenen Clients mit wechselnden IP-Adressen (DSL) Zugriff auf Samba-Freigaben ermöglichen. Der Server (interne IP 192.168.178.2) sitzt hinter einem NAT-Router (Fritz!Box FON WLAN 7390, interne IP 192.168.178.1) welcher ebenfalls per DSL mit dem Internet verbunden ist. DynDNS auf dem Router ist konfiguriert (nennen wir es "server.no-ip.org"). Das ganze soll mittels PreSharedKeys laufen. Bei den Clients handelt es sich überwiegend um Win7 bzw. WinXP, Installation von zusätzlicher Software auf den Clients soll vermieden werden. Es wäre wichtig, daß nach erfolgreichem Verbindungsaufbau der Server sowie andere verbundene Clients in der Windows Netzwerkumgebung der Clients angezeigt werden. Sowohl die Clients als auch der Server sollen IP Adressen in einem eigenen Subnet erhalten (192.168.100.0/24). Derzeit läuft all dies mittels PPTP, welches jedoch als teilweise unsicher gilt und somit auf den Müll soll. Im Internet findet man eine Menge Anleitungen zu StrongSWAN, jedoch fast nur für Zertifikate oder aber feste IP-Adressen. Falls jemand eine entsprechende Konfiguration am laufen hat oder eine Seite kennt, wo dies ausfürlich beschrieben wird, wäre ich sehr dankbar für ein wenig Hilfe.

Freue mich auf eure Antworten.

PS: Um Crosspostings zu vermeiden sei erwähnt, daß ich meine Frage auch bereits (erfolglos) in anderen Foren gepostet habe:
http://forum.ubuntuusers.de/topic/strongswan-l2tp-ipsec-vpn-mit-psk-und-dyndns-k/#post-4826527

 

[spoensche]

Du weisst schon, was die Besonderheiten von IPSec sind, was NAT-T ist und das PPTP nicht teilweise als unsicher gilt sondern durchweg unsicher ist?

 

[chridazi]

Von PPTP weiß ich, daß es als "schlampig" implementiert gilt und schwache Passwörter schon länger zu knacken sind. Seit kurzem ist es aber wohl so, daß man PPTP innerhalb von Stunden generell ausgehebelt bekommt. Also hast du natürlich recht - es ist komplett unsicher. Daher mein Streben nach einer anderen Lösung. Was IPSec VPNs angeht bin ich ziemlicher Neuling und soweit ich gelesen habe ist es gerade über DSL-Router hinweg nicht ganz simpel, da NAT die IP-Adressen in den Headern austauscht. Das führt zum dritten Punkt: NAT-T. Diese Technik wird meines erachtens von Programmen wie Teamviewer, Hamachi, Skype, ... eingesetzt um eine Verbindung durch einen NAT-Router zu ermöglichen. Kommt für mich eher nicht in Frage da man einen "Drittrechner" dafür benötigt (oder irre ich mich da?). IPSec über NAT hinweg soll aber irgendwie mittels ESP funktionieren. SSTP kommt leider nicht in Frage, da es meines Wissens noch keine Linux-Server Lösung dafür gibt. OpenVPN fällt ebenfalls flach, da man eine Client-Software auf Windows installieren müsste. Es sollte an sich ja auch mit IKEv2 funktionieren, da der Datenverkehr da über UDP läuft. Jedoch weiß ich auch da nicht wie StrongSWAN zu konfigurieren wäre und fürchte auch, daß clientseitig Port 4500 (UDP) in der Router-Firewall geöffnet werden müsste (maximal Notlösung). Falls es natürlich in meinem Fall (DynDNS, NAT) weder mit L2TP oder IKEv2 geht wäre das schon etwas bedauerlich. Aber vielleicht hat ja jemand eine Idee?

 

[spoensche]

IPSec ist eine Protokollerweiterung für IP.
NAT-T (NAT Traversall) ist für IPSec zwingend erforderlich, wenn keine statischen IP´s zwischen zwei Endpunkten vorhanden sind.
"Normales" NAT modfiziert den IP- Header so, dass eine IPSec basierte Verbindung nicht möglich ist. IKE ist ein Bestandteil von IPSec.

Dein Router verwendet NAT, damit deine Rechner im LAN überhaupt ins Internet kommen.
Teamviewer und Hamachi verwenden kein IPSec. Skype verwendet höchstens SSL.

Ich würde dir vorschlagen, dass du dich erst mal mit den minimal Grundlagen von IPSec vertraut machst, weil es ein sehr komplexes und techn. anspruchsvolles Thema ist und wir dir dann bei der Umsetzung helfen. Was spricht gegen eine Clientsoftware? Bei OpenVPN hättest du den Vorteil, dass es wesentlich einfacher zu administrieren ist.

 

[/dev/null]

Hi chridazi,

ich weiß jetzt nicht, ob es kontraproduktiv ist, wenn ich dir eine andere Lösung vorschlage. Denn das, was spoensche gerade geschrieben hat:

Ich würde dir vorschlagen, dass du dich erst mal mit den minimal Grundlagen von IPSec vertraut machst, weil es ein sehr komplexes und techn. anspruchsvolles Thema ... .

könntest du damit zumindest etwas umgehen. Trotzdem lege ich dir die o.g. Aussage ans Herz.

IPSec "über einen Router" ist technisch sehr anspruchsvoll. Aber IPSec mit einem Router als Endpunkt ist überhaupt kein Problem. Zumal ein entsprechendes VPN ja von Hause aus in der Firmware der Fritz-Boxen implementiert ist.
Die gesamte Konfiguration des "AVM-VPN" ist auf deren Webseite sehr gut beschrieben. Und als Client kannst du sowohl für die WinDOSen und für Linux den ebenfalls sehr gut dokumentierten "Shrew-Client" benutzen. Du kannst die AVM-Konfiguration sogar noch etwas erweitern, so dass du wirklich mit dem ersten Versuch auch mit einem Android-Smartphone das VPN nutzen kannst. (Ich telefoniere damit und der entsprechenden AVM-App aus dem Ausland über meine dt. Telefon-Flatrate ...)

Der externe Client erhält dann eine IP aus deinem heimischen Netz. Und wie du dann auf deinen Server kommst (und nicht erwünschte andere interne Verbindungen verhinderst) ist dann reine "Netzwerkerei".
Nebenbei kannst du dann auch noch etwas "Strom" sparen, denn du kannst deinen Server schlafen legen und via Fritz-Box und WOL bei Bedarf aufwecken.

MfG Peter

 

[spoensche]

@/dev/null:
Wieso kontraproduktiv? Viele Wege führen zum Ziel.
Ich habe keine Fritzbox, von daher kann ich dazu nicht viel sagen.

 

[/dev/null]

Hi spoensche,

Mit "kontraproduktiv" meinte ich an dieser Stelle, dass <user> damit vermeiden kann, sich ernsthaft mit diesem Thema zu befassen. Damit hätte ich dich ja, was deine Aussage mit dem "befassen" betrifft, ein wenig "ausgetrickst".
Es ist wirklich so: exakt die Anweisungen auf der Webseite von AVM befolgen und das VPN läuft. Muss ja auch so sein, denn sonst hätten die ja unendlich viel Support an der Backe.
Andererseits sind Erfolgserlebnisse ja auch etwas wert ;-)

Ich habe mir eine recht komplexe Multikonfiguration mit folgenden Möglichkeiten zusammengebastelt.
- Nur ins interne Netz,
- sämtlichen Traffic übers VPN (Hotspot-Betrieb ...),
- mit AVM-Client (für die WinDOSe), Shrew-Client (Linux) und VPNCilla (auf dem Androiden), und jede für beide der o.g. Routingeinträge. => 6 Konfigurationen
Es sind ständig alle Möglichkeiten aktiv, und je nach Client wähle ich online die richtige aus.
(Das steht aber nicht bei AVM ...)

Das einzige, was mir am AVM-VPN nicht gefällt ist, das AVM voll auf PSK setzt und die Möglichkeit asymmetrische Schlüssel zu verwenden, rausgepatcht hat. Aber die 6 PSK dürfen ja immerhin unterscheidlich und bis zu 64 Byte lang sein ... .

MfG Peter