Linux VPN Server - Privacy en beveiliging

maandag 26 januari 2009 20:35

Acties:

Verwijderd

Topicstarter

Ik ben al enige tijd op zoek naar een Linux VPN server die volledig compatible is met de standaard windows client. Ik heb Openswan gevonden, maar deze werkt blijkbaar enkel met PSK-code of met certificaten. Ik zou echter graag gewoon een zelfde systeem hebben als VPN met RRAS in windows. Dus enkel met een gebruikersnaam en wachtwoord.

Heeft iemand dit al ooit geinstalleerd of hebben jullie tips waar ik naar moet zoeken?

Alvast bedankt
Maarten

maandag 26 januari 2009 21:02

Acties:

Equator

Crew Council

#whisky #barista

Dat ga je waarschijnlijk niet vinden ook.. MS gebruikt of PPTP of L2TP over IPSec. Beide zijn MS eigen implementaties.
Er zijn we VPN servers die op linux draaien, waarmee je met een windows client kan verbinden, maar niet met de standaard dialup/vpn adapter in Windows.

maandag 26 januari 2009 21:13

Acties:

ChaserBoZ_

Monowall doet gewoon MS PPTP

http://m0n0.ch/wall/

daar kun je verbinding mee maken via de standaard ingebouwde PPTP client en voilá

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 26 januari 2009 21:14

Acties:

Verwijderd

Equator schreef op maandag 26 januari 2009 @ 21:02:
Dat ga je waarschijnlijk niet vinden ook.. MS gebruikt of PPTP of L2TP over IPSec. Beide zijn MS eigen implementaties.
Er zijn we VPN servers die op linux draaien, waarmee je met een windows client kan verbinden, maar niet met de standaard dialup/vpn adapter in Windows.

Ik gebruik zelf Openswan, xl2tpd en ipsec-tools onder Debian. Daarmee kan prima met de native VPN client van Windows worden ingelogd. Het is absoluut even lastig om te configureren, maar daarna werkt het prima.

Ik had nog een bookmark slingeren, die documentatie heb ik (denk ik) destijds gebruikt.

maandag 26 januari 2009 22:24

Acties:

Verwijderd

OpenVPN?

maandag 26 januari 2009 22:39

Acties:

Verwijderd

Verwijderd schreef op maandag 26 januari 2009 @ 22:24:
OpenVPN?

Heeft geen native Windows client ondersteuning. Daar is een aparte client voor nodig.

dinsdag 27 januari 2009 16:47

Acties:

Verwijderd

Topicstarter

Alvast bedankt voor de reacties, ondertussen heb ik met succes (via pptpd) een VPN verbinding kunnen opzetten tussen een Windows en een Linux machine. Maar nu heb ik nog volgend probleem (waarschijnlijk routing probleem):

Ik heb 2 windows client die via VPN verbinding maken met de Linux Server: ppp0 en ppp1
linux server: 192.168.1.1
ppp0: 192.168.1.10 (netmask: 255.255.255.255 - gw:192.168.1.10)
ppp1: 192.168.1.11 (netmask: 255.255.255.255 - gw:192.168.1.11)

Ik kan van client 1 (x.x.x.10) en van client 2 (x.x.x.11) pingen naar de server (x.x.x.1).
Ik kan van de server (x.x.x.1) pingen naar de 2 clients (x.x.x.10 en x.x.x.11).
Maar ik kan niet pingen van client 1 (x.x.x.10) naar client 2 (x.x.x.11)

ip-forwarding ligt aan in linux, en de route tabel (van de linux server) ziet er als volgt uit:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.10 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.11 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.0 * 255.255.255.0 U 1 0 0 eth0
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth0

Op de clients krijg ik volgende melding (bij pingen):
Antwoord van 192.168.1.1: De doelhost is niet bereikbaar.

Melding bij tracert (vb: naar 192.168.1.10):
1 <1 ms <1 ms <1 ms 192.168.1.1
2 192.168.1.1 rapporten: De doelhost is niet bereikbaar.

Dus ergens moet de server de aanvraag niet doorsturen naar de juiste ppp verbinding.

Weet iemand waar ik eventueel een foutje zou gemaakt hebben? Of heb ik iets over het hoofd gezien?

Alvast bedankt
Maarten

dinsdag 27 januari 2009 16:53

Acties:

gertvdijk

In je route tabel zie je toch dat 192.168.0.x en de rest via eth0 gaan? Daarom is 192.168.1.x niet bereikbaar vanaf een pppX interface. Als je forwarding mogelijk wil maken moet je een iptable regeltje maken in de 'FORWARD' chain of een bridge maken (ebtables).

[ Voor 15% gewijzigd door gertvdijk op 27-01-2009 16:54 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

dinsdag 27 januari 2009 17:02

Acties:

Verwijderd

Topicstarter

In de route tabel staat toch dat de server om ip-adres 192.168.1.10 te bereiken via ppp0 moet gaan? Dus als ik op client 2 (ppp1 - 192.168.1.11) ping naar 192.168.1.10 dan weet de server toch dat hij dit via ppp0 moet doen?

Is het mogelijk om mij even te helpen met de regel in de iptable?

Alvast bedankt
Maarten

dinsdag 27 januari 2009 17:16

Acties:

gertvdijk

Verwijderd schreef op dinsdag 27 januari 2009 @ 17:02:
In de route tabel staat toch dat de server om ip-adres 192.168.1.10 te bereiken via ppp0 moet gaan? Dus als ik op client 2 (ppp1 - 192.168.1.11) ping naar 192.168.1.10 dan weet de server toch dat hij dit via ppp0 moet doen?

Ja, maar je zal de server moeten vertellen dat het verkeer geforward mag worden. Ik weet er het fijne ook niet van, maar ik heb het volgende gedaan op mijn OpenWRT doosje:

iptables -A FORWARD -i br-lan -o eth0.1 -j ACCEPT

waarbij bij mij br-lan en eth0.1 twee verschillende LANs zijn, waarbij ik ook nog moet MASQUERADEn.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

woensdag 28 januari 2009 14:07

Acties:

Verwijderd

Topicstarter

Nu kan ik inderdaad pingen van ene client naar de andere client. Ik wil echter nog een stap verder gaan, ik probeer hiervan een kleine tekening te maken

.... NETWERK 1 ...... NETWERK 2
............. | ....................... |
........ CLIENT 1 ....... CLIENT 2
............. _|___________|_
............. | VPN Server |
............. ------------------------
............... | ................... |
....... CLIENT 3 .......... CLIENT 4
............ | ........................ |
.... NETWERK 3 ........ NETWERK 4

(de puntjes "." zijn enkel om mijn tekening te maken, en hebben verder geen enkel nut)

Zoals je kan zien heb ik bijvoorbeeld 4 LAN's. Tussen de clients en de server ligt "Het internet", de clients maken via VPN verbinding met de VPN Server (Linux).

Nu zou ik graag hebben dat bijvoorbeeld NETWERK 1 en NETWERK 3 met elkaar verbonden zijn en NETWERK 2 en NETWERK 4 met elkaar verbonden zijn. Netwerk 1-3 en Netwerk 2-4 mogen niks van elkaars bestaan afweten (zelfs niet als ze in zelfde subnet zouden liggen).

Dus eigenlijk komt het er op neer dat ik van die VPN Server een switch zou willen maken die niets anders doet dan gewoon alle verkeer die van Client 1 komt doorstuurt naar Client 3, zonder zich af te vragen wat of voor wie het is.

[ Voor 19% gewijzigd door Verwijderd op 28-01-2009 14:11 ]

woensdag 28 januari 2009 14:19

Acties:

gertvdijk

Probleem gaat zijn dat je nu twee keer moet gaat NAT'en; naast de NAT die je VPN server nu al doet moet de client het ook gaan doen. Immers, client3 moet het verkeer van de VPN server kunnen doorduwen naar netwerk3 (met eigen ip range neem ik aan). Daarmee fungeren je clients meer als VPN server en je VPN server meer als router voor de VPNs.

De iptables om je netwerk af te schermen liggen voor de hand. Ze zijn analoog aan de ACCEPT regel, maar vervang ACCEPT door REJECT of DROP en vervang de source/dest als interface naar IPs.
Er is overigens nog een subtiel verschil tussen iptables (routeren) en ebtables (bridgen). Met ebtables kan je namelijk hele hippe trucen doen, want dan gaat niet allen tcp/udp verkeer erover, maar ook ruwe ARPs enzo, alsof je dus op een switch zit. Maar ik kan je daarover geen tutorial geven, ik ben ook nog maar een beginnend iptables'er.

[ Voor 44% gewijzigd door gertvdijk op 28-01-2009 14:24 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 29 januari 2009 11:53

Acties:

Verwijderd

Topicstarter

Iemand enig idee hoe ik dit kan oplossen?

vrijdag 30 januari 2009 01:40

Acties:

MrNGm

Zorg er iig voor dat de verschillende netwerken ook daadwerkelijk verschillende subnetten gebruiken (of andere IP reeks, 10.x, 172.x, etc)

Dit is de routing tabel van m'n router (WRT54GL met DD-WRT v23SP2) en daaronder van mijn VPN server. 192.168.2.3 is mijn VPN server en 10.8.0.0/24 is het subnet voor inkomende VPN clients

Destination LAN IP	Subnet Mask	Gateway	Interface
192.168.2.0	255.255.255.0	0.0.0.0	LAN & WLAN
10.8.0.0	255.255.255.0	192.168.2.3	LAN & WLAN
94.x.x.0	255.255.248.0	0.0.0.0	WAN
0.0.0.0	0.0.0.0	94.x.x.1	WAN

code:

Mantuae:~# ip r
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1
192.168.2.0/24 dev eth1  proto kernel  scope link  src 192.168.2.3
10.8.0.0/24 via 10.8.0.2 dev tun0
default via 192.168.2.1 dev eth1

Stel dat ik dus vanaf een remote lokatie op VPN inlog, dan komt er een tunnel en de remote client krijgt een IP adres uit de reeks 10.8.0.0/24. De route voor 192.168.2.0/24 worden ook geadvertised (NL woord?) naar de remote client. Wil de remote op 192.168.2.x, dan gaat dat via tun0 (Linux) richting 10.8.0.1 (de VPN gateway). Deze stuurt het door naar eth1 (lokale netwerk), geheel volgens de routing regels.
Wil een host uit het 192.168.2.0/24 segment een VPN client op 10.8.0.0/24 bereiken, dan gaat er eerst een verzoek naar de router (WRT54GL) en die heeft in z'n routing tabel staan dat verkeer voor 10.8.0.0/24 via de gateway 192.168.2.3 moet. 192.168.2.3 heeft vervolgens in z'n routing tabel staan dat 10.8.0.0/24 via tun0 moet (de tunnel interface)

Kortom:
Van VPN naar lokaal: 10.8.0.0/24 (tun0) => 10.8.0.1 (gateway) => (192.168.2.3) (eth1) => 192.168.2.0/24
Van lokaal naar VPN: 192.168.2.0/24 => 192.168.2.1 => 192.168.2.3 (gateway) (eth1) => 10.8.0.0/24 (tun0)

Helpt dit een beetje?

Ik heb overigens geen forwarding regels in iptables gezet. /proc/sys/net/ipv4/ip_forward staat wel aan (1)

Doe eens in een console de volgende commando's (mits je iproute hebt geinstalleerd) en post ze (apart) in een [code] blok, daarmee behoud je tabs etc.
ip a
ip r
Indien nodig, maskeer je de publieke IP adressen.

Editje: Dit alles is overigens met OpenVPN geregeld. Maar aangezien dit een routingprobleem schijnt te zijn, kijk voor de zekerheid nog even man pptpd.conf door onder ROUTING CHECKLIST en kies de voor jou beste situatie

[ Voor 7% gewijzigd door MrNGm op 30-01-2009 01:54 . Reden: addendum & zin wat beter geformuleerd ]