Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPNs mit DD-WRT, M0n0wall oder pFsense auf Basis von PPTP

Anleitung Netzwerke LAN, WAN, Wireless

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

27.05.2009, aktualisiert 13.06.2014, 37292 Aufrufe

Das nachfolgende Tutorial beschreibt die Einrichtung einer VPN Verbindung mit PPTP Protokoll am Beispiel eines Routers mit der freien DD-WRT Firmware bzw. der bekannten Router Firewall Lösung M0n0wall bzw. dessen Schwester pfSense um eine gesichterte Verbindung zweier lokaler Netzewerke über ein öffentliches Netzwerk (Internet) ermöglicht.
Allgemein gesagt eine VPN Verbindung zwischen diesen Firewall Routern die 2 oder mehr Netzwerke über das Internet koppelt ohne die Benutzung von VPN Clients auf den Einzel PCs.
Die PPTP Konfiguration ist aber parallel auch ohne Einschränkungen zur Einwahl für die klassischen VPN "bordeigenen" Einzel Clients bei Windows, Apple Mac, Linux und vieler Mobiltelefone mit PPTP Protokoll nutzbar !



Allgemeine Einleitung

Das folgende Tutorial lehnt sich sehr eng an das bei Administrator.de bereits bestehenden Tutorial zum Aufbau einer M0n0wall / pFsense Firewall an:
http://www.administrator.de/index.php?content=149915
Weitere Details zum Aufbau dieser Hardware findet man hier bzw. in der ebenfalls in dieser Rubrik als Tutorial vorgestellten IPsec_VPN-Kopplung_mit_Cisco_Routern.
Aus diesem Grunde wird nicht mehr detailiert auf die Installation der M0n0wall auf PC Mainbords oder embedded Mainbords an sich eingegangen, da das die beiden o.a. Tutorials bzw. die M0n0wall_Anleitung schon abdecken.
In loser Reihenfolge wird diese Rubrik weitere VPN Tutorials zur Kopplung von VPN Routern mit anderen Routern oder Firewalls behandeln.
Beide, DD-WRT Router wie Monowall/pfSense Firewall Router können sowohl je PPTP Server als auch Client sein. Beide eigenen sich also in jeglicher Kombination auch für Kopplungen untereinander oder als Client z.B. für die feste und permanente Einwahl via Router in Windows PPTP VPNs.


Hardware

DD-WRT
Mittlerweile ist DD-WRT eines der am häufigst eingesetzten freien Firmware Versionen auf DSL Routern wie z.B. dem Linksys WRT54GL oder Buffalo Routern wie dem WZR HP-G300NH und einigen NetGear Modellen geworden.
Die Hardware Basis ist wie oben bereits erwähnt ein Router mit geflashter DD-WRT Firmware. Ein "Klassiker" unter diesen Systemen ist der recht bekannte und sehr populäre Linksys WRT54GL WLAN Router, der bei allen bekannten Shops und Internet Discountern wie hier oder hier zu beziehen ist.
DD-WRT ist aber auch auf Routern des Herstellers Buffalo (z.B. das bekannte Modell WZR HP-G300-NH) und einige NetGear Systeme sowie vieler anderer Hersteller flashbar.
Eine vollständige Übersicht bietet die DD-WRT_Webseite oder das Hardware_Wiki der supporteten Systeme.

Auch Billigstrouter aus dem unteren Segment wie der ebenso weitverbreitete D-Link DIR-300 für ca. 25 Euro Straßenpreis und der TP-Link TL-WR841N der noch darunter liegt, sind DD-WRT fähig und können mit einem einfachen Mausklick geflasht werden mit der neuen Firmware die ein vielfaches Plus an Features bietet und solche Modelle erheblich aufwertet !
Das einfache Flashen der Firmware gestaltet sich problemlos über das Websetup des jeweiligen Routermodells, identisch wie bei einem Firmware Update.
Infos dazu bieten auch andere DD-WRT basierende Tutorials hier bei Administrator.de bzw. das Wiki und die DD-WRT Webseite:
http://www.administrator.de/index.php?content=123285#toc2
http://www.administrator.de/index.php?content=67666
usw.
Die hier vorgestellte Konfiguration wurde auf einem Linksys WRT54GL und einem D-Link DIR-300 mit aktuellem DD-WRT Image konfiguriert und wasserdicht getestet.
Auf welcher Hardware DD-WRT supportet ist kann man schnell in der Hardware Datenbank von DD-WRT HIER sehen oder HIER interaktiv suchen lassen.
Detailierte Infos zum DD-WRT Image findet man auch her:
http://www.administrator.de/OpenVPN_Server_installieren_auf_DD-WRT_Rout ...

Monowall / pfSense
Die Einrichtung der Monowall / pfSense hardware beschreibt im Detail ein separates Tutorial:
http://www.administrator.de/index.php?content=149915
Es muss hier keine eigene Appliance sein. Ein alter ausrangierter PC tut es natürlich auch. Bei Dauerbetrieb ist allerdings im Hinblick auf Verschleiss und Stromkosten eine kleine Appliance vorzuziehen !

Es wird vorausgesetzt das ein wenig Basiswissen zum Thema VPNs im allgemeinen vorhanden ist !
Als weitere Voraussetzung empfiehlt sich die Lektüre des Tutorial zum Koppeln zweier VPN Router mit DD-WRT Firmware und PPTP als Protokoll:
http://www.administrator.de/index.php?content=67666


Installation


Als VPN Laboraufbau, der aber 1 zu 1 auf eine Internet Konfiguration übertragbar ist, wird folgendes Szenario benutzt:


bd0a7954ec963564e45ac6be26057fc5-mono-pptp - Klicke auf das Bild, um es zu vergrößern

Zusätzlich kann diese PPTP VPN-Server Konfiguration der M0n0wall auch für jeden beliebigen PPTP Client wie ihn Windows, Linux und Mac OS-X sowie diverse PDAs (iPhone) an Bord haben zur VPN Einwahl benutzt werden !
Man schlägt also 2 Fliegen mit einer Klappe....
Ein entsprechendes Netzwerk Diagram für eine PPTP Clientanbindung mit dem bei MS (Windows) häufig benutzten PPTP VPN Protokoll sieht dann analog so aus:

5dac600e48ad7c03fc2c108b88494b94-pptpclient - Klicke auf das Bild, um es zu vergrößern


Hier die einzelnen IP Adresseinstellungen für das o.a. Setup:

IP Netz DD-WRT Router:
Lokales Netzwerk 172.16.1.0 /24
LAN Interface: 172.16.1.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.0.0 /24
WAN/DSL Interface 192.168.0.158, Maske: 255.255.255.0 *)

IP Netze M0n0wall:
Lokales Netzwerk 172.32.1.0 /24
Interface: LAN: 172.32.1.254, Maske: 255.255.255.0
Öffentliches Netzwerk 192.168.100.0 /24
Interface: WAN: 192.168.0.156, Maske: 255.255.255.0 *)

(* Als Laboraufbau wird hier nur beispielhalber ein öffentliches Netzwerk mit einer privaten RFC 1918 IP Adresse ersetzt. Diese IP Adressen müssen im real Life Aufbau durch die entsprechenden öffentlichen IP Adressen ersetzt werden bzw. haben IP Adressen des Providers die man mit einem DynDNS Account benutzen kann !!)


Konfiguration DD-WRT Router als PPTP Client

Die VPN PPTP Konfiguration des DD-WRT Routers ist entsprechend zum o.a. Aufbau recht einfach und relevant ist nur der PPTP Client der im Menü Services -> PPTP eingestellt werden muss:

889ce8841167fe46cd7ce2c5a7812076-monopptp4 - Klicke auf das Bild, um es zu vergrößern

Wichtig sind hier nur die VPN Server Adresse der M0n0wall (hier 192.168.0.156 bzw. in real life dann eine öffentliche IP oder ein Hostname) und die IP Netzwerk Adresse des remoten Netzwerkes.
Alle anderen Einstellungen kann man auf den Default Werten belassen !



Konfiguration M0n0wall oder pfSense Router/Firewall als PPTP Server

Hinweis vorweg: Natürlich muss nicht zwingend ein Monowall/pfSense Firewall Router als VPN Server dienen. Genausogut kann auch ein DD-WRT Router am anderen Ende als PPTP VPN Server konfiguriert werden. Diese Konstellation beschreibt ein separates_Tutorial bei administrator.de.

Dieses Tutorial beschreibt die VPN Server Einrichtung auf Monowall/pfSense:
Alle Einstellungen werden ausschliesslich im Menü -> VPN -> PPTP vorgenommen.

3fcaca2e462785165ee37be1e6ea05cc-monopptp1 - Klicke auf das Bild, um es zu vergrößern
Analog hier das Konfigurationsmenü bei pfSense:
48b3ee985575997fd0f49e6db7d7bbe1 - Klicke auf das Bild, um es zu vergrößern
Es ist lediglich der PPTP Server zu aktivieren und eine Server IP Adresse anzugeben.
Achtung !!:

  • Die Server IP Adresse muss einen freie IP Adresse aus dem lokalen Netzwerk sein und sie darf nicht Teil des IP DHCP Adresspools des lokalen Netzwerkes sein sofern DHCP auf der M0n0wall aktiviert ist !!
  • Die PPTP Server IP und auch der IP Pool für die PPTP Clients darf sich also keinesfalls mit genutzten IP Adressen aus dem lokalen Netzwerk überschneiden !!
  • Die Server IP des PPTP Servers muss eine freie IP Adresse in dem IP Segment bleiben !!
Diese Punkte sind sehr wichtig um später kein IP Adresschaos durch Doppelvergabe zu provozieren.
Tipp: Da man der Monowall ,und Routern im allgemeinen, meist eine IP Adresse im lokalen Netz mit der Hostadresse .1 oder der .254 gibt (also ganz oben oder ganz unten !) ist es empfehlenswert die PPTP Server IP dann auf die nächst folgende IP .2 oder analog die .253 zu setzen und diese IP nicht anderweitig im Netz zu benutzen !!
Die Remote Addressrange sind ebenfalls 16 Adressen (oder mehr) die nicht mit anderen IPs oder dem DHCP Pool kollidieren dürfen wie oben bereits angesprochen !
Sie vergibt der PPTP Server als IP Adresse an die sich einwählenden VPN Clients !
Damit ist der PPTP Server dann schon aktiv !

Als nächstes gilt es die PPTP Benutzer und Passwörter einzurichten, denn die M0n0wall ist VPN Server und muss die VPN Verbindungen authentisieren !
Das geschieht ebenfalls im Menü VPN -> PPTP oben im Reiter Users.
Mit einem Klick auf das + Zeichen legt man nun seine PPTP Benutzer an. Es wird nur der benutzername und ein Passowrt erfragt.
Danach die Konfig mit einem Klick auf Save sichern und danach mit Apply aktivieren.

Anpassen der VPN Firewall Regeln


Da die Monowall eine Firewall ist, ist wie bei Firewalls üblich erst einmal jeglicher Verkehr zwischen den Netzwerk Segmenten der Monowall geblockt. (Ausnahme ist nur das LAN Interface !)
Damit nun PPTP Benutzer frei kommunizieren können muss das PPTP VPN in der Monowall freigegeben werden.
Das erledigt eine Regel in der Rubrik Firewall -> Rules und dann wählt man oben den PPTP VPN Button

fb948e82e7906f1c7dd29f5a8f27939d-monopptp3 - Klicke auf das Bild, um es zu vergrößern

Ein Klick auf das + Symbol fügt eine Firewall Regel hinzu die so aussieht:

9afb13bb6a509c2a9e9f46e8950640bc-monopptp2 - Klicke auf das Bild, um es zu vergrößern

Diese Regel erlaubt VPN Benutzern alles im VPN Netz bzw. lokalem Netz.
Will man hier bestimmte Zugriffe einschränken sind weitere Regeln entsprechend zu konfigurieren.

Hier noch ein wichtiger Hinweis um Frustrationen zu vermeiden:
Betreibt man die M0n0wall direkt an einem DSL Anschluss mit einem DSL Modem ist generell der Zugang auf das WAN Interface von außen gesperrt wie bei einer Firewall ja üblich und auch gewollt.
Um eingehende PPTP Verbindungen möglich zu machen muss man den WAN Port für PPTP entsprechend öffnen.
Auch das geht mit einer Firewall Regel auf dem WAN Port die dann TCP 1723 und das GRE Protokoll erlaubt:

4faddd615c7dad15ba0f67baffc8f06f-monopptp5 - Klicke auf das Bild, um es zu vergrößern

Damit ist der VPN Tunnel fertig konfiguriert und einer VPN Nutzung steht nichts mehr im Wege !
Noch ein Hinweis um mögliche Probleme zu finden:
Die Troubleshooting Möglichkeiten im Web Setup des DD-WRT Routers sind sehr begrenzt. Man muss hier also blind vertrauen das alles klappt. Umso mehr ist eine sehr sorgfältige Konfiguration des DD-WRT PPTP Clients gefragt !
Die Monowall bietet dafür umso mehr Möglichkeiten. Erste Anlaufstelle sind immer die Logs unter dem Punkt Diagnostic.
Sie zeigen meist sofort auf wo es kneift und wo ggf. eine Konfig Änderung vonnöten ist !!


Zugang mit VPN PPTP Clients


Allgemeine Hinweise zum Betrieb von VPN Clients und Servern bzw. zum Realisieren von VPNs mit dem populären PPTP Protokoll beschreibt ein separates Tutorial im Einzelnen:
http://www.administrator.de/index.php?content=117700

Wie bereits oben bemerkt kann diese PPTP VPN-Server Konfiguration der M0n0wall auch für jeden PPTP Client wie ihn Windows, Linux und Mac OS-X sowie diverse PDAs (iPhone) an Bord haben zur VPN Einwahl benutzt werden !
So ist eine sicher VPN Anbindung remoter Mitarbeiter die Anwendungen im Netz nutzen oder ein Zugang zur Fernwartung parallel oder ggf. auch nur dafür, problemlos nutzbar.
Die Einrichtung des VPN Clients bei Windows erklärt:
http://www.administrator.de/index.php?content=117700#toc3

Die von Mac OS-X erklärt:
http://web.fh-lu.de/rz/projektfunklan.nsf/de/anleitung+vpn-

Die von Linux findet man hier:
http://pptpclient.sourceforge.net/

..und für das iPhone stellvertretend als Smartphone Beispiel hier:

5f5ef0da459060f624f9087d3652e913-iphone - Klicke auf das Bild, um es zu vergrößern

Entsprechende Threads zur allgemeinen PPTP Einrichtung findet man ebenso im Forum:
http://www.administrator.de/index.php?content=169454#694804


Allgemeine Tipps zum VPN Design

Es gehört zu den goldenen Regeln eines vorausschauenden VPN Designs das lokales und remotes Netzwerk NIEMALS gleich sein dürfen !!
Ist ja auch logisch, da so ein Routing der remoten Netze bei Gleichheit vollkommen unmöglich wird.

Viele Laien wählen als IP Netzwerk die allseits bekannten IP Netze 192.168.1.0 /24 oder 192.168.2.0 /24 usw. da diese oft per Default von allen Consumer DSL (Speedport usw.) und Kabelroutern verwendet werden und zuhauf im Einsatz sind.
192.168.178.0 /24 scheidet ebenfalls aus, da jede FritzBox dieses Netz lokal verwendet ! Niemand macht sich die Mühe das umzustellen und übernimmt oft kritiklos und häufig auch aus Unwissen diese Standard Einstellungen !
Die Folge davon ist das diese IP Netze in vielen öffentlichen Netzen wie in Hotels, Hotspots, Flughäfen und (leider) auch zahllosen Firmennetzen benutzt werden.
Tritt dann IP Adress Gleichheit der remoten und lokalen VPN Netze ein, macht das einen VPN Betrieb technisch unmöglich !

Es ist daher dringend angeraten beim Aufbau und Planung von VPN Zugängen etwas exotischere IP Netze zu wählen die einen IP Adresskonflikt dadurch nahezu unmöglich machen und einen störungsfreien VPN Betrieb ermöglichen bzw. fast garantieren.
Sieht man sich einmal den RFC-1918 etwas genauer an der die IP Adresskontingente für Private Netze global festlegt:
http://de.wikipedia.org/wiki/Private_IP-Adresse
erkennt man sehr schnell das man sich nicht mit den immer wiederkehrenden banalen 192.168er IP Adressen abfinden muss, sondern auch noch den Block im 172er und 10er Bereich zur freien Verfügung hat.
Wählt man nun bei der VPN Planung etwas IP netztechnisch "Exotisches" für die Adressierung wie z.B.
192.168.217.0 /24
oder
172.24.1.0 /24
oder
10.168.70.0 /24
oder auch
10.1.68.1.0 /24
oder oder oder....
kann man sich relativ sicher sein das ein IP Adresskonflikt durch gleiche IP Netze doch sehr sehr selten ist und man sich VPN Probleme gleich von Anfang an aus der (IP) Welt schafft und so einen störungsfreien Betrieb des VPNs auf Dauer erreicht !


Das Ende von PPTP als VPN Protokoll ?

Wer heute noch PPTP als VPN Protokoll einsetzt sollte nicht versäumen das hier zu lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Danach sollte man sich sehr wohl überlegen ob man dieses VPN Protokoll noch einsetzt.
Für den privaten Bereich und sofern man dort nicht Sicherheits relevante Daten überträgt, mag ein Einsatz noch sinnvoll sein, weil PPTP eben sehr einfach mit nur ein paar Mausklicks eingerichtet ist. Der Auwand das Passwort zu knacken ist sehr hoch und nicht nur finanziell und erfordert erhebliches Netzwerk- und Cryptowissen.
Im Firmeneinsatz ist die Nutzung nunmehr allerdings mehr als fraglich, wenn nicht grob fahrlässig mit ggf. juristischen Konsequenzen.
Diese Entscheidung muss jeder Netzwerk Admin selbst fällen.

Letzte Änderung: 09.2012
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux Netzwerk
VLAN WRT54GL (DD-WRT) und pfSense

Frage von dietzi zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst DD-WRT Zwei W-Lan Netzwerke (4)

Frage von schneerunzel zum Thema LAN, WAN, Wireless ...

Peripheriegeräte
WRT3200ACM: Linksys kündigt neuen OpenWRT- und DD-WRT-Router an

Link von runasservice zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...