it-azad
Goto Top

VPN mit IPSec einrichten und verstehen

Hallo zusammen,

ich interessiere mich sehr für Sicherheitsthemen in der IT-Welt und jetzt
will ich mich in den Bereich VPN einarbeiten. Hoffe ich bin hier im richtigen
Bereich gelandet.

Ich habe als Testumgebung zu Hause die Möglichkeit mit einem Netgear FSM7328s,
einem Cisco Catalyst Express 500,
einer Fritzbox 7240,
2 Rechnern (Win7 Enterprise, Win7 Ultimate mit je 8GB RAM)
und VMware8.0 zu arbeiten.

Zusätzlich habe ich noch einen alten Netgear VPN FVS318,
den ich aber erst mal aussenvor lassen möchte, um mich in die Materie ohne Hardware
VPNs einzuarbeiten. Wenn irgendwann die Erfahrung größer ist besorge ich mir dann
einen gescheiten VPN Router (z.B Vigor2820?) zum testen.


Nun habe ich mir in der Theorie ausgemalt, dass ich von extern auch mal vom Laptop
oder Android Smartphone (Galaxy S Plus) per VPN Verbindung auf meinen Rechner daheim
möglichst sicher zugreifen kann.

Ich hatte an IPSec gedacht, nur habe ich folgenden Satz gelesen und der verwirrt mich
Laien etwas:
"Um einen IPSec-Tunnel zu einem Client aufzubauen, der sich hinter einem Router befindet,
muss dieser NAT-T unterstützen."


Mein Gedanke wie ich an das Ganze heran gehe war:

1. IPSec auf einem Win7 PC einrichten
2. FritzBox einrichten (FW mögliche fehlerquelle?)
3. Clients einrichten (evtl VMs?)

Möchte das ganze erst einmal verstehen (Theorie UND Praxis) und in der schlichtesten Form üben.
Also wenn möglich auch in meinem eigenen Heimnetz.Wenn ich von Außen auf meinen Server per VPN
zugreifen möchte, dann ist eine DynDNS zwingend notwendig, richtig?

Später möchte ich dann auch Zertifizierung per X.509, Radius fürs WLAN usw kennen lernen, aber
Schritt für Schritt.


Ist jemand von euch so nett und kann mich kritisieren, etwas anleiten oder aufklären?
Ich bin euch sehr dankbar.

Beste Grüße
Azad

Content-Key: 187625

Url: https://administrator.de/contentid/187625

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: transocean
transocean 07.07.2012 um 20:02:58 Uhr
Goto Top
Moin,

warum nicht die FritzeBox für VPN nehmen?

Alles Wissenswerte findest Du hier:

http://www.avm.de/de/Service/Service-Portale/Service-Portal/index.php?p ...


Gruß

Uwe
Mitglied: spacyfreak
spacyfreak 07.07.2012 aktualisiert um 20:22:47 Uhr
Goto Top
Ich hab da mal ne Anleitung geschrieben da das schon ein etwas komplizierteres Protokoll ist und ich mich da vor Jahren auch durchkämpfen musste..

IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen

Die NAT-T Thematik:

Zwischen 2 Standorten nimmt man in aller Regel Site-to-Site VPN.
Da wird IKE und ESP verwendet (IKE für Schlüsselaustausch, ESP für den Transport der eigentlichen Daten).

ESP ist ein Layer3 Protokoll und hat keine Ports.
Genau diese Eigenschaft macht ESP z. B. beim Zugriff von zu Hause aufs Firmennetz problematisch.

Wenn ich Remote Access VPN mache (kein Site-to-Site VPN) wird daher das ESP in UDP gekapselt, damit man
es über PAT Router (das ist so ziemlich jeder DSL Router den man daheim hat) "patten" kann.
Denn PAT (Port Address Translation) basiert darauf dass man PORTS benutzt.
Doch Ports gibts erst in OSI Layer4.


Sammlung der wichtigsten Punkte für Site-to-Site IPSEC VPNs

  • Symmetrische Encryption Domains
Heisst:
Wenn z. B. Standort1 in Dortmund mit Standort2 in Berlin VPN machen will, und Dortmund hat im LAN 10.20.30.0/24, und Berlin hat im LAN 192.168.10.0/24, muss auf beiden Seiten der VPN Verbindung die so genannte "Encryption Domain" konfiguriert werden. Die Netze müssen dabei exakt stimmen.
Ich kann auf dem Dortmunder VPN Server nicht als gegenüberliegendes Netz z. B. 192.168.0.0/16 konfigurieren, wenn in der Encryption Domain auf dem VPN Server in Berlin "192.168.10.0/24" konfiguriert ist. Die Netze die man über die VPN Verbindung erreichen möchte, müssen auf beiden Seiten gleich konfiguriert sein.
Ausserdem kann man nicht einen VPN Tunnel aufbauen zum selben Netz, z. B. wenn in Dortmund 10.10.10.0/24 und in Berlin ebenfalls 10.10.10.0/24 benutzt wird, geht das schon routingtechnisch nicht, da der Daten absendende Client ja davon ausgehen muss (nach TCP/IP-Protokoll) dass der Zielserver z. B. 10.10.10.20 im LOKALEN LAN existiert - das Ethernetframe wird also nichtmal zum lokalen VPN Server geroutet sondern bleibt in der Broadcastdomäne.

  • VPN-GW IP
Jeder VPN Teilnehmer muss natürlich die IP-Adresse des gegenüberliegenden VPN-Servers mit dem man die VPN Verbindung aufbauen will, kennen.
Da gibts jedoch auch Ausnahmen, z. B. bei DMVPN "wählt" sich der Remote Router beim zentralen VPN Server ein, und kann auch eine dynamische DSL IP haben.
Normalerweise haben jedoch idealerweise beide VPN Seiten eine feste öffentliche IP Adresse.

  • IKE/IPSEC Parameter
Auf beiden Seiten sollten die VPN Parameter übereinstimmen.
Wähle ich in Dortmund z. B. für IKE Phase 1 3DES/MD5/86400Sekunden/DH-Group5, und in Berlin AES256/MD5/5000Sekunden/DH-Group2, dann kann keine VPN Verbindung aufgebaut werden da sich beide VPN Server nicht auf passende Parameter einigen können

  • Port / Protokollfreischaltungen
Damit die VPN VErbindung aufgebaut werden kann, muss an einer Firewall die eventuell vor dem VPN Server steht, einiges geöffnet werden.
IKE (UDP500), ESP (IP-Protokoll 50), NAT-T (UDP4500 wenn man ESP in UDP kapselt) sind die wichtigsten Ports für IPSEC VPN.
Mitglied: IT-Azad
IT-Azad 07.07.2012 um 21:12:32 Uhr
Goto Top
Vielen herzlichen Dank für deine Mühen!!! Hast mir sehr geholfen!
Nun kann ich mir ein besseres Bild von der Thematik machen.
Auch danke für deinen Link!

Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?
Mitglied: 104286
104286 07.07.2012 um 21:35:16 Uhr
Goto Top
Hallo Azrad,

offenbar bist du noch sehr unerfahren, was IT-Foren angeht. Du wirst hier keinen finden, der dir IPSec erklärt. Die meisten haben selber keine Ahnung und den wenigen, die es können, ist es zu mühselig.

Also versuche es im Selbststudium.

Um IPsec zu üben und zu verstehen brauchst du übrigens nur einen PC und Internet. Also kauf dir nicht vorschnell neue Technik. Wenn du mal durchblickst, wirst du dich sonst ärgern.

Viel Grüße
leo
Mitglied: aqui
aqui 08.07.2012 aktualisiert um 12:32:52 Uhr
Goto Top
Wieso ? Das oben zitierte Tutorial vom Kollegen spacyfreak erklärt es doch auch für Laien recht leicht und verständlich !
Ein weiteres Tutorial hier was das Thema mehr praxisbezogen beleuchtet findest du hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Außer IPsec gäbe es noch SSL basierte VPNs wie das sehr verbreitete OpenVPN. Auch dazu findest du ein praxisbezogenes Tutorial hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ebenso zu PPTP basierten VPNs.

Damit ist es eigentlich ein Leichtes das schnell und einfach umzusetzen !
Mitglied: spacyfreak
spacyfreak 08.07.2012 um 20:00:08 Uhr
Goto Top
Zitat von @IT-Azad:


Die feste öffentliche IP Adresse die wie in deinem Beispiel nötig
ist, die kann ich quasi nur durch DynDNS erreichen?

Mit DynDNS kann man einen Server, dessen IP-Adresse sich gelegentlich ändert, mit DNS-Namen erreichen.
Sobald der Server mal wieder dynamisch eine andere IP-Adresse erhält, meldet die DynDNS Software an den DynDNS Server die neue IP-Adresse und läuft. Ist aber eher eine private Lösung.

Soweit ich dein Vorhaben verstehe willst du Remote Access VPN machen, also Windows7 IPSEC-Client soll eine VPN Verbindung mit VPN Server zb von Netgear aufbauen.
Dazu einfach die Anleitungen lesen vom Hersteller, das dürfte nicht schwierig sein sich da durchzuklicken.