VPN opzetten tussen Linux en Windows

Wat je wil kun je oplossen met Freeswan in een roadwarrior configuratie. Je moet dan gebruik maken van de X.509 patch die je hier vindt: http://www.strongsec.com/freeswan/ Op: http://vpn.ebootis.de/ vind je een gratis client die je kunt gebruiken voor win2k of XP.

Ik heb een keer zo'n ipsec gateway gebouwd met ESP mode ipv AH mode, maar ik dacht dat AH ook mogelijk was. De Howto die ik heb gebruikt vind je hier: http://www.natecarlson.com/linux/ipsec-x509.php Het heeft even geduurd voordat het werkte, omdat ik wat vage foutmeldingen had. Uiteindelijk werkte alles en was het een mooie oplossing waar je zonder gebruik van username/password veilig kunt inloggen. Je gebruikt namelijk een certificaat wat je genereert op je gateway.

Nog even een tip. Je krijgt geen ip adres uitgedeeld in het subnet van het lokale netwerk. Wat je dus moet doen is op je router gaan NAT-en met iptables. Eventueel heb ik nog wel een voorbeeld script voor je hoe ik dat destijds heb gedaan.

[ Voor 4% gewijzigd door Verwijderd op 18-12-2002 18:27 ]

Misschien niet wat je zoekt kwa veiligheid maar windows clients ondersteunen in
ieder geval het PPTP protocool.

Een opensource PPTP server kan je vinden op http://www.poptop.org

Ik heb hier idd ook wat Dawns_sister zegt. Poptop server.
Werkt als een inbelverbinding, maar niet met modem/isdn maar over IP. Je belt zeg maar naar een IP adres. Alleen ik weet niet zeker of dit standaard beveiligd is.

Maar je kan dan iig in windows een VPN connectie aanmaken en dan het IP adres van je linux machine opgeven. Daar draait een pptp server (poptop).
Dit zet je vrij snel op en is niet moeilijk.

het makkelijkst (vind ik) is om op die windows pc rechts n vpn pptp server op te zetten en op de linuxbak pptpclient te gebruiken

Het blijkt dus wel mogelijk om de data te encrypten over PPTP. Middels de standaard beveiliging die in windows zit (40 bit of 128 bit). Echter de PPP daemon op de linux server moet wel de juiste patches hebben om dit te ondersteunen.

De beveiliging heet MPPE.

Voor meer info :

http://jefe.org/Newschool.../newHOWTO-PoPToP.html#1.1

Helaas heeft microsoft's implementatie van PPTP een slechte naam op het gebied van veiligheid.
Zie bv: http://www.counterpane.com/pptp.html

Weet niet hoever dit ook opgaat voor PoPToP.

Volgens systeembeheerder op school die nu ook bezig is met een VPN met Freeswan, kan sindskort met de laatste versie van Frees/WAN ook een linux aan een windows bak gekoppeld worden. Moet het zelf nog ff bekijken, ben hier nu bezig met 2 linux gateways.

Exclusive_nl heb je wel alle links gelezen die in mijn vorige bericht stonden? Er staat keurig een howto (3e link) bij hoe je verbinding kan maken tussen een linux gateway en een XP client. Het programma waar ik een link naar gaf is niets meer dan een configuratie frontend voor de standaard IPSEC client die in windows 2000/XP zit. Dit zou je dus zelfs weg kunnen laten als je het zou willen. Wel is het zo dat ze naast dat programma een command line ipsec client installeren, maar dat is gewoon software van Microsoft zelf (gratis te downloaden).

Zelf een inbelverbinding configureren voor ipsec moet wel mogelijk zijn in win2k/xp, maar ik ben daar na veel proberen en informatie lezen nooit uitgekomen en het is ook vrij veel werk. In principe is het meer bedoeld voor een ipsec verbinding tussen 2 win2k machines met tunnel mode. IPSEC implementatie van Microsoft is zoals gewoonlijk nogal slecht en onvolledig en via grafische interface kun je volgens mij niet alles instellen. Het lijkt mij zowiezo sneller en makkelijker om op de clients de frontend van ebootis.de te gebruiken.

Zover ik weet heb je ook bij de nieuwste versie van freeswan nog steeds de X.509 patch nodig om win2k/xp clients te kunnen gebruiken.

Verder moet je als veiligheid belangrijk is ver uit de buurt blijven van PPTP. Daarvan zijn testen te vinden op internet die aantonen dat passwords van 12 karakters nog geeneens veilig zijn en binnen enkele uren kunnen worden gekraakt. (ik heb zo snel geen link voorhanden). Ook de standaard L2tp implementatie die Microsoft gebruikt in win2k/xp gebruikt te weinig bits om echt veilig te zijn.

Verwijderd schreef op 18 December 2002 @ 18:02:
Ik wil graag een beveiligde verbinding opzetten tussen twee systemen. Dit met als doel dat het systeem onderdeel wordt van het netwerk. Ik zla ff een kleine weergave hieronder zetten.

Netwerk ------ Linux(2.4.19) server/router ------- (internet) -------- Windows client (XP)

Aangezien dit beveiligd dient te zijn heb ik gekeken naar VPN. Ik heb het boek van Oreilly over VPN bekeken en o.a. hier de search en frees/wan. Echter gaat dat altijd uit van Linux <-----> Linux bakken. Het is hier dus de bedoeling dat het via een Windows client gaat die via een VPN verbinding inlogt met user/pass op de Linux server. Deze tunnel wou ik graag beveiligen met ipsec (AH). (Dit is ook allemaal meegebakken in de kernel).

Mijn vraag is: Is dit met FreeS/WAN te bereiken en heeft iemand daar een duidelijke beschrijving voor hoe dat moet. En graag ook eigen ervaringen.

Ik gebruik zelf DHCP over IPSEC, maar alleen SSH Sentinel ondersteund dat aan de Windows kant.

Het grote voordeel hiervan is dat je ook andere zaken via DHCP kan meegeven, oa WINS en Novell zaken.

IPSEC verbinding maken met freeswan is inderdaad stap 1.

Inloggen op een samba PDC kan wel eens wat lastiger worden als je gebruik maakt van NAT op je gateway. Daar heb je helaas nog geen antwoord op gegeven, maar ik gok van wel.

In dat geval moet je dus denk ik met een netbios forwarder gaan werken, want netbios heeft embedded ip adressen en dat werkt niet lekker samen met NAT. De configuratie die ik destijds heb gemaakt was alleen voor ssh, http en ftp verkeer en dat werkte probleemloos. Ik denk dat je netbios verkeer wel werkend moet kunnen krijgen met een netbios forwarder. Zie: http://nbfw.sourceforge.net/

[ Voor 3% gewijzigd door Verwijderd op 19-12-2002 17:41 ]

Om nou een nieuw topic hierover te openen vind ik een beejte overbodig dus plaats ik het wel hier als jullie dat niet erg vinden
Hoe is het dan mogelijk om vanaf een linux bak bv dit te doen:

Linux(gentoo)-------->router-------->adsl modem------->win2k bak

Ik bedoel namelijk hij blijft mijn interne ip pakken bij het zenden en opzetten van een server altijd 192.blabla(dus werkt ie nooit)
Ik gebruik geen dhcp alleen de router als gateway(192.168.0.1) en dan dns invullen.
Dat poptop zit ook in de portage:

net-dialup/pptpd
Latest version available: 1.1.2
Latest version installed: [ Not Installed ]
Size of downloaded files: 112 kB
Homepage: http://poptop.lineo.com/
Description: Linux Point-to-Point Tunnelling Protocol Server


Want ik wil dan de bak als server zetten(de router blockt geen poorten ofzo) is dit dan wel mogelijk met een router?

[ Voor 4% gewijzigd door RickDB op 19-12-2002 17:44 ]

Wat doet in dit geval de NAT? De linux machine of de router?

Dat zou ik zo effe niet weten, nog niet zoveel verstand van NAT's en forwarden helaas..
Volgens mij regelt de router alles zelf(zo'n sitecom ding), ik verbind alleen met eth0 via de gateway van de router, router belt dus in op de adsl modem.
Hoe zou ik dit kunnen controleren of er een NAT draait bij linux?

[ Voor 9% gewijzigd door RickDB op 19-12-2002 17:56 ]

Exclusive_nl: jouw config was mij al duidelijk. Als je vanaf je roadwarriors je shares op internet netwerk (dus je windows bakken) wilt benaderen heb je inderdaad nbfw nodig (zie link eerdere post). Als je alleen je PDC wilt benaderen heb je waarschijnlijk geen nbfw nodig afhankelijk van op welke interface Samba luistert.

Rick164: Je router doet waarschijnlijk de NAT en dan zul je op je router een portforward moeten maken naar je server op je interne netwerk. Je moet TCP poort 1723 en IP protocol 47 (GRE) dan forwarden naar je poptop server. Als je nog meer vragen hebt is het misschien handiger om een eigen thread te openen, want dit werkt een beetje verwarrend.

wat heb je tegen certificaten? Een certificaat is je userauthenticatie. Dit is op het moment de enige manier om een win2k machine te laten inloggen op freeswan. Tenminste als je niet allemaal clients wil gaan aanschaffen, want dan heb je wel meer opties.

Staat trouwens ook allemaal in de freeswan FAQ en documentatie. Dus ik stel voor dat je eerst wat gaat lezen, want ik heb je denk ik leesvoer genoeg gegeven. Meer info heb ik niet tenzij je met specifieke vragen komt en met deze info is het mij ook gelukt om zo'n gateway op te zetten.

[ Voor 25% gewijzigd door Verwijderd op 19-12-2002 18:24 ]

Je haalt dingen door elkaar. Je hebt authenticatie voor je ipsec tunnel. Als die eenmaal staat kun je je authenticeren bij de samba PDC. Dit staat volledig los van elkaar en die PDC authenticatie kun je prima via passwords doen. Ik denk alleen dat je in stappen moet werken en eerst maar eens een ipsec tunnel moet gaan opzetten. Die ipsec tunnel staat ook volledig los van welk protocol je vervolgens door de tunnel stuurt.