Vpn

Diskutiere Vpn im Netzwerke Forum Forum im Bereich Hardware & Software Forum; Hallo, ich habe ein großes problem. ich bin nun an meinen grenzen angelangt. ich möchte mir VPN aneignen. Testumgebung...
Neues Thema erstellen Antworten
  • Vpn Beitrag #1
A

axel_foley

Bekanntes Mitglied
Dabei seit
02.05.2007
Beiträge
130
Reaktionspunkte
0
Hallo,

ich habe ein großes problem.
ich bin nun an meinen grenzen angelangt.
ich möchte mir VPN aneignen.

Testumgebung:
PC1---Firewall1-----Firewall2---PC2

PC1: MS Windows XP Pro
- 192.168.1.2/24

Firewall1: Zyxel Zywall 2
- Intern: 192.168.1.1/24
- Extern: 100.0.0.1/8

Firewall1 und Firewall2 sind direkt verbunden.
Bei beiden Firewalls ist in der Testumgebung die Firewallfunktionalität deaktiviert.

Firewall2: Zyxel Zywall 2
- Intern: 10.0.0.1/8
- Extern: 100.0.0.2/8

Gut, nun zur Firewallkonfiguration:

FW1:
------------
Active: JA
Keep Alive: Nein
NAT Traversal: Nein
Name: VPNTest1
Key Management: IKE
Negotiation Mode: Main
---
Extended Authentification: Nein (Wenn das VPN funktioniert, probier ich das auch)
- Server Mode (Search Local USer first then RADIUS)
- Client Mode: User Name/Password
---
Local
- Client to Side _ IP: Nein
- Site to Side: JA
Subnet: 192.168.1.1/24
---
Remote
Subnet: 10.0.0.0/8
---
DNS Server: Nein (interner DNS Server wird nicht benötigt)
---
Authentification Key
- Certificate
- Pre Shared Key
Local ID Type: IP/DNS/E-Mail ???
Content: ???
Peer ID Type: IP/DNS/E-Mail ???
Content: ???
---
My IP Address: 0.0.0.0
Secure Gateway Adress: 0.0.0.0 ???
Encapsulation Mode: Tunnel
---
ESP: Ja
AH: Nein
Encryption Algorithm: AES
Authentication Algorithm: MD5
------------

1) Was muss auf den PC`s eingestellt werden?
2) was muss ich bei den ??? wählen?
3) was muss ich tun um auf die anderen rechner zu gelangen über VPN bzw. über VPN die andere Firewall anzusprechen(z.b.: zum konfigurieren über www)

Vielen Dank im Voraus

Axel
 
  • Vpn Beitrag #2
A

axel_foley

Bekanntes Mitglied
Dabei seit
02.05.2007
Beiträge
130
Reaktionspunkte
0
Hallo,

ich habe mich eingearbeitet in IPsec und verstehe es eigentlich gewissermasen.

Um das was ich getan habe weiterzugeben und auch ein paar fragen zu stellen, schreib ich hier mal alles rein :)

Wenn ich schon dabei bin, wie bearbeitet man selbst verfasste beiträge?

Was habe ich gemacht:

Testumgebung:
PC1---Firewall1-----Firewall2---PC2
Firewall1 und Firewall2 sind direkt verbunden.

PC1: MS Windows XP Pro
- 192.168.1.2/24
- GW: 192.168.1.1

Firewall1: Zyxel Zywall 2
- Intern: 192.168.1.1/24
- Extern: 100.0.0.1/8

Firewall2: Zyxel Zywall 2
- Intern: 10.0.0.1/8
- Extern: 100.0.0.2/8

PC2: MS Windows XP Home
- 10.0.0.2/8
- GW: 10.0.0.1

Beide Firewalls lassen ausgehenden Datenverkehr zu und blockieren eingehenden, ausgenommen sind IKE und IPSec-Tunnel.

Gut, nun zur genauen Firewallkonfiguration:

FW1:
Code: 
Active: JA
Keep Alive: JA
NAT Traversal: Nein
Name: VPN_1
Key Management: IKE
Negotiation Mode: Main
---
Extended Authentification:
     - Server Mode (Unter Local User habe ich einen Benutzer angelegt mit passwort)
---
Local
     - Site to Side
          Subnet: 192.168.1.1/24
---
Remote
	Subnet: 10.0.0.0/8
---
DNS Server: Nein (interner DNS Server wird nicht benötigt/ist nicht vorhanden.)
---
Authentification Key
     - Certificate: VPNFW1 (Selbst erstelltes, welches in der Anderen FW zugelassen werden muss.)
       [Local ID Type: E-Mail
       Content: [email][email protected][/email]] Automatisch wegen Zertifikat vorgegeben.
       Peer ID Type: E-Mail
       Content: [email][email protected][/email]
---
My IP Address: 0.0.0.0 (entspricht der WAN adresse.)
Secure Gateway Adress: 100.0.0.2
Encapsulation Mode: Tunnel
---
ESP: Ja
AH: Nein
Encryption Algorithm: AES
Authentication Algorithm: SH1
-----
Advanced Setup:
Protocol:0
Enable Replay Detection   YES  
Local Port   
  Start: 0   
  End:   0   
Remote Port   
  Start: 0   
  End:   0

Phase 1    
 Negotiation Mode:   Main  
 Encryption Algorithm:   DES  
 Authentication Algorithm:   MD5  
 SA Life Time: 28800    
 Key Group:   DH1  

Phase 2    
 Active Protocol:   ESP
 Encryption Algorithm:   AES
 Authentication Algorithm:   HA1  
 SA Life Time: 28800   
 Encapsulation:   Tunnel
 Perfect Forward Secrecy(PFS):   DH2
FW2:
Code: 
Active: JA
Keep Alive: JA
NAT Traversal: Nein
Name: VPN_2
Key Management: IKE
Negotiation Mode: Main
---
Extended Authentification:
     - Client Mode: (USer und passwort, welcher in der anderen Firewall eingegeben wurde.)
---
Local
     - Site to Side
          Subnet: 10.0.0.0/8
---
Remote
	Subnet: 192.168.1.1/24
---
DNS Server: Nein (interner DNS Server wird nicht benötigt/ist nicht vorhanden.)
---
Authentification Key
     - Certificate: VPNFW2 (Selbst erstelltes, welches in der Anderen FW zugelassen werden muss.)
       [Local ID Type: E-Mail
       Content: [email][email protected][/email]] Automatisch wegen Zertifikat vorgegeben.
       Peer ID Type: E-Mail
       Content: [email][email protected][/email]
---
My IP Address: 0.0.0.0 (entspricht der WAN adresse.)
Secure Gateway Adress: 100.0.0.1
Encapsulation Mode: Tunnel
---
ESP: Ja
AH: Nein
Encryption Algorithm: AES
Authentication Algorithm: SH1
-----
Advanced Setup:

Protocol:0
Enable Replay Detection   YES  
Local Port   
  Start: 0   
  End:   0   
Remote Port   
  Start: 0   
  End:   0

Phase 1    
 Negotiation Mode:   Main  
 Encryption Algorithm:   DES  
 Authentication Algorithm:   MD5  
 SA Life Time: 28800    
 Key Group:   DH1  

Phase 2    
 Active Protocol:   ESP
 Encryption Algorithm:   AES
 Authentication Algorithm:   HA1  
 SA Life Time: 28800   
 Encapsulation:   Tunnel
 Perfect Forward Secrecy(PFS):   DH2

Ich hoffe andere können dies auch verwenden :)
Ich habe hier die ltzte Einstellung übernommen, ich habe fast alle kombinationen probiert, jedoch nur in der Testumgebung und nicht im Internet.
Funktionieren tut es, und ich hoffe, sie ist auch sicher!

Ich verstehe im prinzip die ganze funktionalität, trotzdem gibt es noch einiges, was mir noch die gehirnzellen ins kochen bringt.

- Wie ist die beste sicherheit, also, was muss hier eingestellt werden? (Phase 1 / 2 unterschiedliche Verschlüsselung?,...)
- Wie kann man die Datendurchsatzrate erhöhen, ohne das die sicherheit wirklich beeinträchtigt wird?
- Wie kann man die Verbindungsaufbaudauer verkürzen, ohne das die sicherheit wirklich beeinträchtigt wird?
Cu
Axel
 
  • Vpn Beitrag #3
Egal88

Egal88

Super-Moderator & Mr. Powerforen 2012
Teammitglied
Dabei seit
13.05.2000
Beiträge
10.828
Reaktionspunkte
4
Ort
hinter'm Mond ...
Mir ist nicht ganz klar, was mit Phase 1 und Phase 2 gemeint ist?

Wer übrigens keine Firewalls/Router mit VPN-Funktionalität hat, kann das Ganze z.B. auch mit OpenVPN machen: SEHR sicher und stabil, und auch recht peformant.
 
  • Vpn Beitrag #4
A

axel_foley

Bekanntes Mitglied
Dabei seit
02.05.2007
Beiträge
130
Reaktionspunkte
0
Egal88 schrieb:
Mir ist nicht ganz klar, was mit Phase 1 und Phase 2 gemeint ist?
Zum Vergrößern anklicken....

Phase 1:
Der Main Mode (dem Aggressive Mode vorzuziehen) wird in der ersten Phase der Verschlüsselungsvereinbarung und Authentifizierung (Internet Key Exchange) genutzt.
Phase 2:
Der Quick Mode wird in der zweiten Phase von IKE zur Anwendung gebracht (Schutz durch die IKE SA). Die gesamte Kommunikation in dieser Phase erfolgt verschlüsselt. Wie in der ersten Phase wird zunächst ein Vorschlag (Proposal) gemacht. Dieser wird zusammen mit einem Hashwert und dem Nonce übertragen. Später werden die Schlüssel neu berechnet, und es fließen keinerlei Informationen aus den zuvor generierten SAs ein. Dies stellt sicher, dass niemand von den zuvor generierten Schlüsseln auf die neuen schließen kann (PFS). Dies wird erreicht, indem ein zusätzlicher Diffie-Hellman Austausch stattfindet. Die Geheimnisse zur Schlüsselbildung werden verworfen, sobald der Austausch abgeschlossen ist.

Mehrere Quick Modes können zur gleichen Zeit stattfinden und durch die gleiche IKE SA geschützt sein. Um die verschiedenen Wechsel unterscheiden zu können, wird das message ID Feld des ISAKMP-Headers herangezogen. Der Status eines solchen Austausches wird durch die Cookies identifiziert.

Quelle: Wiki

Egal88 schrieb:
Wer übrigens keine Firewalls/Router mit VPN-Funktionalität hat, kann das Ganze z.B. auch mit OpenVPN machen: SEHR sicher und stabil, und auch recht peformant.
Zum Vergrößern anklicken....

firewall bietet aber unter gewissen umständen mehr schutz und übernimmt die rechenleistung. denn um so sicherer der IPSec-Tunnel ist, desto mehr Rechenleistung wird benötigt.
Wenn die endgeräte, die rechenleistung nicht aufbringen können bzw. vpn clients nicht unterstützen wird es eine schwere arbeit....

tut mir léid, musste das jetzt loswerden, da meine endgeräte vpn in keiner art unterstützen können.

gibt es von OpenVPN auch Sourcecode?

axel
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Neues Thema erstellen Antworten
Thema:

Vpn

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Neueste Beiträge

Statistik des Forums

Themen
213.180
Beiträge
1.579.174
Mitglieder
55.879
Neuestes Mitglied
stonetreck
Oben