[VPN] Freebsd <-> WinXP

Ben bezig met een VPN op te zetten tussen Freebsd als server en WinXP als client.
Het gaat helaas allemaal niet zo lekker. Heb helaas ook niet echt de ideale test situatie (zie uitleg later).

De bedoeling is dat je met je WinXP middels een IPSEC verbinding kunt inloggen op de freebsd machine. De WinXP client heeft steeds een ander ip adres, de client logt soms in via een DSL verbinding, en soms via GPRS.

De meeste howto's zijn overigens server <-> server, dat is dus niet waar ik naar zoek. Heb wel een paar howto's gevonden die wel vertellen wat ik wil.

Bijvoorbeeld: http://www.sigsegv.cx/FreeBSD-WIN2K-IPSEC-HOWTO.html , deze is erg informatief, alleen kreeg ik racoon niet lekker draaiend (alle certificaten voor de server en voor de client zijn wel goed, en geimporteerd in winxp maar worden nu niet gebruikt), dus heb ik hiervoor http://www.daemonnews.org/200101/ipsec-howto.html voor gebruikt, die maakt geen gebruik van certificaten maar van een shared key, imo maakt dat nie zo heel veel uit. Als ik tcpdump –i xl0 –x –X –s 14400 doe zie ik inderdaad ook dat het een encrypted verbinding is.

Het probleem is een beetje dat ik nu eerst een ipsec verbinding moet opzetten en dus iedere x wanneer ik wil inloggen met een ander ip, alle config files moet omzetten, en dat is niet de bedoeling, want de eindgebruiker moet ipc alleen moeten dubbelklikken op 't icoon en dan moet het gewoon werken.

Als vpn server gebruik ik PoPToP, werkt nog niet helemaal soepel qua ip's uitdelen, maar dat is een kwesti van config werk.

Maar het is dus gewoon niet de bedoeling dat eerst de verbinding al IPSEC moet zijn, maar dat het pas IPSEC moet worden wanneer je inlogt met PoPToP. Waarschijnlijk moet ik hier dan een ander pakket voor hebben??? FreeSwan is naar ik heb gelezen alleen voor server <-> server.

Om even terug te komen op dat mijn test situatie niet ideaal is: Ik heb een freebsd 5.1 server draaiend op ip 192.168.0.165, en een WinXP client met ip 192.168.0.155, beide verkregen middels dezelfde DHCP server (in FBSD staat ie wel static er in). Onze firewall verbiedt het mij om naar een eventueel thuis op te zetten vpn te connecten (daar draait ook een FBSD server namelijk).

Wie o wie kan mij raad geven, of verwijzen naar een howto die duidelijk genoeg is om er voor te zorgen dat ik via PoPToP middels IPSEC kan inloggen.

Even ter info, ik heb uiteraard gezocht met search, en deze twee howto's dus ook gevonden met de search.

Mijn bedoeling is gewoon dat wanneer k een vpn verbinding wil opzetten naar m'n server dat die dus gewoon secure is en dus via IPSEC loopt. Dit wil ik realiseren met de STANDAARD windows xp of 2k vpn client.

Hoe het nu is, is als volgt: de verbinding tussen host en client is volledig IPSEC, dus ALLES wat over die lijn loopt is geencoded. Dan maakt het dus niet meer uit of je inlogd met VPN of via FTP of wat dan ook... alles is secure. Dit is OPZICH wel leuk, maar werkt dus niet als je vanaf meerdere IP's wilt connecten.

Ik kan nu gewoon inloggen, krijg goede ip, dus alles werkt goed. Behalve 't beveiligins verhaal. 't Draait dus wel goed, alleen is dit een constante IPSEC verbinding, en de verbinding moet dus alleen IPSEC worden wanneer er gewerkt word met vpn...

veel duidleijker weet ik het niet te beschrijven..

Verwijderd schreef op 20 januari 2004 @ 16:28:
plaatjes helpen vaak wel om het duidelijker te krijgen voor anderen en jezelf

Je wilt dus altijd een IPsec lijntje naar de server en daaroverheen FTP'en en / of VPN gebruiken? een VPN over een VPN is misschien iets overdreven? over wat je wel of niet wil encrypten kun je toch ook gewoon in je route tabel aanpassen op de client? 10.0.0.0/24 via ipsec0 of hoe dat ook in XP heet en de rest gewoon via de default route van je ISP laten gaan.

De meeste VPN servertjes (iig FREES/WAN, alleen Linux?) kun je een dynamisch IP aan de andere kant laten hebben, wordt gebruikt bij de road-warrior config.

Mmmmm.. is het echt zo onduidelijk????

ik heb nu twee machines:

PC1: freebsd server met raccon en poptop draaiend.
PC2: winxp op een laptop

PC1 staat bij een klant, daar moet PC2 een VPN verbinding naar maken.

Het verbinding maken is geen probleem, ik kan gewoon inloggen. Het enige probleem is dat de verbinding niet secure is. Dit moet wel.

Nu heb ik het voor elkaar dat er middels racoon en de IPSEC snap-in van WinXP de verbinding secure is. MAAR, dit is een constante verbinding. En word gekoppelt aan het IP adres van de WinXP machine (wat geen probleem zou zijn al zou de winxp machine op altijd dezelfde IP zou staan, dit is echter NIET het geval, soms zit ie via GPRS en soms via z'n DSL thuis). Het een onwijze werk om dit iedere keer om te gooien, en ook niet de bedoeling.

Mijn probleem is dus dat ik een IPSEC verbinding wil die opgezet word via de VPN .. Dus dat je in je connectie scherm op winxp aangeeft dat de verbinding tot stand moet worden gebracht middels L2TP (ofzo).. ..

duidelijker dan dit weet ik het niet te omschrijven, ook niet met plaatjes..

smokalot schreef op 20 januari 2004 @ 16:52:
[...]

Volgens mij wil ie dus juist GEEN VPN over VPN, maar pas een VPN op het moment dat ie de VPN verbinding is begonnen met de client.

Dus:
windows start op, en kan gewoon (niet-secure) ftpen, httpen, pingen, sshen, weet ik wat.

Dan is er behoefte aan veiligheid, en wil je dus een VPN opzetten. Dus je dubbelklikt op de verbinding, en de VPN wordt geinitieerd. Vanaf dat moment is al het verkeer veilig.

Kan zijn dat ik het verkeerd begrijp, maar zo zou ik het zelf ook graag zien

En dit is dus ook wat ik bedoel. Alleen gaat meteen wanneer windows wordt gestart de IPSEC snapin van Windows zijn best doen om alles richting server secure te laten verlopen.. maakt niet zo heel veel uit, is wel handig, maar dit kan dus niet wanneer hij een ander ip adres krijgt dan snapt de server dit niet meer... omdat er in zowel de server config als de client config (snap in) harde ip adressen zijn gegeven (is noodzakelijk, anders wil ie de hele wereld gaan securen, en dat lukt niet zo)..

Wat ik dus wil is wanneer ik de behoefte heb om een VPN op te zetten naar 't werk, en dus op het bedrijfsnetwerk kom.. wil ik dubbelklikken op 't vpn verhaal in windows, eventueel een wachtwoord + gebruikersnaam ingeven, en boem alles is secure... wat er nu over de lijn loopt tussen winxp en 't bedrijfsnetwerk...

Verwijderd schreef op 21 januari 2004 @ 00:41:
Onder FreeBSD kan je dan gebruik maken van MPD en dan inbellen met pptp!

Dit werk perfect en gebruik ik op mijn colo's.

En hoe is de beveiliging dan over de lijn?

Verwijderd schreef op 21 januari 2004 @ 12:19:
Point-to-Point Tunneling Protocol (PPTP) is a protocol (set of communication rules) that allows corporations to extend their own corporate network through private "tunnels" over the public Internet. Effectively, a corporation uses a wide-area network as a single large local area network. A company no longer needs to lease its own lines for wide-area communication but can securely use the public networks. This kind of interconnection is known as a virtual private network (VPN).
PPTP, a proposed standard sponsored by Microsoft and other companies, and Layer 2 Tunneling Protocol, proposed by Cisco Systems, are among the most likely proposals as the basis for a new Internet Engineering Task Force (IETF) standard. With PPTP, which is an extension of the Internet's Point-to-Point Protocol (PPP), any user of a PC with PPP client support is able to use an independent service provider (ISP) to connect securely to a server elsewhere in the user's company.

en al die verhalen dan van dat het nei veilig is en dat alles gewoon clear over de lijn gaat?

daarom is dus IPSEC verbinding naar voren gekomen volgens mij.. maar goed.. dat even terzijde..

MPD.. .. werkt goed na jouw mening, ik heb via ports 3.13 (/stand/sysinstall) geinstalleerd, in gewone ports was 3.16, maar die wilde niet installeren.

Volgens http://freebsdaddicts.org...ns&op=viewarticle&artid=6 geconfigureerd. 't Werkt echter niet.. moet er nog iets meer gebeuren naast dit?

Verwijderd schreef op 21 januari 2004 @ 17:42:
Waarom heb je dan poptop als je geen PPTP VPN wil gaan gebruiken? lijkt me redelijk overdreven.

Je moet gewoon die ipsec server in FreeBSD verbinding laten accepteren van 0/0 zoals PolarWolf zegt

Uhhh maar kan je dan ook via winxp op een vpn "inbellen"? Anders heb ik namelijk gewoon een complete misvatting over het hele vpn gebeuren... het is me namelijk ook nog niet gelukt om op die manier in te bellen op de server...

PolarWolf schreef op 21 januari 2004 @ 19:44:
[...]


Inbellen? Oh je bedoeld zoiets als met een standalone ipsec client ofzo? Ik ging gezien je hele verhaal er even vanuit dat je gewoon via een reguliere internet verbinding binnenkomt op de server. Mocht je een inbel server hebben waar je direct met een modem naartoe gaat dan zal het verhaal iets (maar niet veel) anders worden.

Volgens mij zit jij met de lamme PPtP implementatie in het hoofd, die zich inderdaad naar userspace aanbied als inbelverbinding. Als je dat wilt, dan zit je vast aan losse ipsec clients, zoals die van Shiva (voorheen Intel Netstructure, voorheen Shiva) of Cisco, ofzo.

Het gaat over een server die permantent met internet verbonden is (DSL), met daarachter een volledig netwerk. De baas van de tent wil thuis ook kunnen werken, hij heeft daar ook DSL. Hij wil dus gewoon gebruik kunnen maken van de netwerk shares, met pcanywhere een pc overnemen waarop controle apparatuur draait voor machiene's.. Hij heeft echter een laptop die ook via GPRS op het internet kan inbellen, op deze manier moet het ook mogelijk zijn om verbinding te maken met het netwerk... (dus je praat over verschillende ip's, namelijk van DSL en GPRS, waar de GPRS je vaak een ander ip krijgt).

Wij hebben hier voor het inbellen op een bedrijfsnetwerk (ander bedrijf) een implementatie van Nortel. Maar dan moet je dus idd een client van Nortel hebben.. dat sux imo.

Bij de standaard van MS kun je kiezen voor PPTP of L2TP, waar L2TP de IPSEC implementatie is van MS.

Of is het zo dat via die L2TP alleen de authentivicatie op IPSEC gebeurt?

Verwijderd schreef op 22 januari 2004 @ 11:11:
Als je ipsec gebruikt wordt niet alles gencrypteerd zoals hierboven. Alleen de vebinding tussen de 2 computers die jij gedefineerd hebt.

Je kan dan wel gewoon gebruik maken van alle diensten, maar zodra je dan naar die machine gaat gedefineerd in je ipsec voorwaarden dan is dat gencrypteerd.

Ik gebruik MPD of POPTOP omdat ik een VPN on demand wil en niet een permanente. Over MPD zijn diverse mooie howto's te vinden.

Ik denk zelf dat je iets verder moet zoeken en kijken.

Google groups is een hele mooie verzameling van mensen met de zelfde vragen en de oplossingen.

met poptop echt een hele duidelijke

http://www.freebsddiary.org/pptp.php

http://www.dellroad.org/mpd-doc/mpd.html

succes

Dus ipsec is alleen een implementatie die een permanente verbinding betreft? En dus niet mogelijk is icm een on demand verbinding?

Die link van freebsddiary ben ik idd al tegen gekomen, maar daar gaat het om een pptpclient, en bij mij gaat het om een server... das toch wel een verschil..

[ Voor 9% gewijzigd door Sa1 op 22-01-2004 11:31 ]

dat zou wel rlx zijn

ik heb nu dat poptop draaien, krijg ritsen en ritsen foutmeldingen, k doe het volgens de howto, maar 't lijkt wel alsof dat ding gewoon m'n config bestanden nergeerd. Hij geeft nix qua ip's uit.. geeft allemaal meldingen dat er of bad labels in ppp.conf of wrong configuration labels zijn.. maakt niet uit wat ik doe..
Opzich draait het wel, maar !, je kan met welke gebruikersnaam dan ook (als is het poep) inloggen.. dat kan niet de bedoeling zijn...

mpd had ik draaiend, en stond ook open op de poorten 500, maar daar kon ik dan weer geen verbinding naar maken... ofzo..

server draait achter nat router, maar protocol 47 en 50 + poorten 1723 tcp en 500 udp zijn doorgelust...

[ Voor 40% gewijzigd door Sa1 op 22-01-2004 14:15 ]

damanseb schreef op 22 januari 2004 @ 19:34:
ligt er ook maar net aan wat voorn toepassing(en) je wilt securen..

Waarom ingewikkelde VPN oplossingen als je klant alleen maar contact legt met een FTP server..
Als je klant inderdaad alleen maar FTP doet en je wil dit securen, neem dan gewoon een FTP Server met SSL (glftpd ofsow)

Slechts een hint/idee..

Maar hoe kom je er bij dat er slechts een ftp sessie opgezet moet worden? Ik moet nu even wachten tot ik weer beschikkring krijg over een pc dan kan ik weer verder gaan klieren..