Linux:VPN Setup

Inhaltsverzeichnis 1 Beteiligte Dateien 1.1 Programm-Dateien 1.2 Konfigurations-Dateien 2 Konfiguration des VPN-Tunnels 2.1 Ermitteln der Daten fuer die neue Verbindung 2.2 Erstellung eines Schluessels (shared secret) fuer die Verbindung 2.3 Loecher in die Firewall bohren 2.4 SuSE 9.1 Client

[bearbeiten] Beteiligte Dateien

Zu allererst müssen natürlich alle benötigten Dateien auf der Firewall existieren. Diese kopierst Du am einfachsten mittels scp von einer anderen Firewall.

[bearbeiten] Programm-Dateien

Folgende Script- und Binär-Dateien werden für den Aufbau eines Tunnels benötigt:

• /usr/sbin/vpnd
• /root/bin/check-vpnd
• /etc/init.d/vpn
• /etc/init.d/vpn_startstop

[bearbeiten] Konfigurations-Dateien

Folgende Konfigurations-Dateien werden für den Aufbau eines Tunnels benötigt:

• /etc/vpnd.connections
• /etc/vpn.ipchains

Und folgende Dateien müssen für jeden Tunnel angelegt werden ({tunName} sei der Name der Verbindung):

• /etc/vpnd.{tunName}.conf
• /etc/vpnd.{tunName}.key

[bearbeiten] Konfiguration des VPN-Tunnels

[bearbeiten] Ermitteln der Daten fuer die neue Verbindung

Am besten beginnst Du die Konfiguration, indem Du Dir erst mal überlegt, was Du brauchst. Folgende Fragen sollten beantwortet sein:

• Wie nenne ich die neue Verbindung? Wir verwenden üblicherweise ein Kürzel der Server-Location und ein Kürzel der Client-Location, verbunden durch ein Minus-Zeichen. Also z.B. fr-kn_suedkurier
• Welche externe IP-Adresse hat mein VPN-Server?
• Hat mein VPN-Client extern eine statische IP-Adresse oder wechselt sie? Falls statisch, wie lautet die IP-Adresse?
• Welches internes Netz hat mein VPN-Server?
• Welches internes Netz hat mein VPN-Client?
• Welchen Port kann ich benutzen? Um es sich einfacher zu machen, sollte man für Client und Server den gleichen Port verwenden. Der VPN-Server akzeptiert nämlich eingehende Verbindungen nur, wenn sie von einem vorher definierten Source-Port kommen. Also muß man sowohl beim Server als auch beim Client prüfen, welchen Port man benutzen kann.

[bearbeiten] Erstellung eines Schluessels (shared secret) fuer die Verbindung

Der VPN-Client authentifizt sich neben IP-Adresse (falls bekannt) und Absender-Port vor allem durch einen beiden Partnern bekannten Schlüssel. Daher mußt Du nun einen Schlüssel für die neue Verbindung erstellen. Das geht mit folgedem Befehl:

vpnd -m /etc/vpnd.{Name der Verbindung}.key

Dies legt einen neuen Schlüssel mit dem angegeben Namen im Verzeichnis /etc/ an.

[bearbeiten] Loecher in die Firewall bohren

Nun muß der gewählte Port in der Firewall-Konfiguration des VPN-Servers freigeschaltet werden. Im Client muß man normalerweise nichts tun, außer die Client-Firewall hat Beschränkungen auf ausgehende Verbindungen. Im Server stellt man in einer der folgenden Dateien (je nach SuSE-Version) den Port ein:

• SuSE 7.x mit Kernel < 2.4: /etc/rc.config.d/firewall.rc.config
• SuSE 7.x mit Kernel >= 2.4: /etc/rc.config.d/SuSEFirewall2.rc.config
• SuSE 8.x/9.x: /etc/sysconfig/SuSEfirewall2

[bearbeiten] SuSE 9.1 Client

Damit der Client unter SuSE 9.1 läuft muss noch eine Interface-Konfiguration in

/etc/sysconfig/network

hinterlegt werden